服务介绍
商用密码应用安全评估(简称“密评”),是指对信息系统密码应用的合规性、正确性和有效性进行评估。《商用密码应用安全性评估管理办法(试行)》第三条、第二十条规定:网络安全等级保护三级及以上信息系统应当实施商用密码应用安全性评估。
密码测评不合格的影响
《密码法》规定:关键信息基础设施的运营者违本法第二十七条规定,未按照要求使用商用密码,或未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处十万元以上一百万元以下罚款。
如何进行商密建设
信息系统商密建设的主要参考依据的是GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》标准。运营者可委托第三方进行方案设计,后由专家论证或测评机构评审。方案应包含密码应用设计、实施和应急三部分,其中最重要最复杂的是密码应用设计方案。
等级保护三级密码应用方案要求
根据国标《GB/T 39786-2021信息安全系统密码应用基本要求》规定:等级保护三级密码应用方案必须符合技术和管理两个方面的要求。