商用密码
商用密码用于保护不属于国家秘密的信息。经过二十多年的发展,我国商用密码从无到有、从弱到强、取得了丰硕成果。特别是党的十八大以来,商用密码工作全面推进,在依法管理、科技创新、产业发展、应用推广等方面成绩斐然,基本满足了国民经济和社会发展对商用密码的应用需求,在保障国家网络与信息安全等方面发挥了重要作用。
密码行业标准体系
基础类标准
密码术语、密码标识子类标准;密码算法及使用子类标准;密码协议、密码产品子类标准。
应用类标准
密码服务子类标准;行业密码应用子类标准。
检测类标准
密码算法检测子类标准;密码产品检测子类标准;密码系统评测子类标准。
管理类标准
密码产品管理子类标准;密码检测/服务机构能力和质量管理子类标准;运维管理子类标准。
商用密码应用安全性评估的基本要求
测评机构
基本要求
承担商用密码应用安全性评估工作的测评机构,需要经过国家密码管理部门认定,取得相关资质。测评机构应当公正、独立的开展测评工作,全面、客观地反应被测系统的密码应用安全状态,不得泄露被评测对象的工作秘密和重要数据,不妨碍被测系统的正常运行。
测评人员
基本要求
从事商用密码应用安全性评估的测评工作人员应当通过密码管理部门组织的考核,遵守国家有关法律、技术标准,为用户提供 安全、客观、公正的评估服务,保证评估的质量和效果。
网络运营者
基本要求
规划阶段,依据商用密码技术标准,制定建设方案。系统建设完成后,估通过后,方可投入运行;投入运行后,定期开展商用 密码安全性评估;系统发生密码相关重大安全事件、重大调整或特殊紧急情况时,当及时开展安全性评估,依据评估结果采取 必要的安全防范措施;完成规划、建设、运行和应急评估后,应当在规定时间内将测评结果上报相关部门备案。
管理部门监
督检查要求
各地区(行业)密码管理部门根据工作需要,定期或不定期地对本地区重要领域网络和信息系统商用密码安全性评估工作落实情况进行检查。国家密码管理部门对全国的商用密码应用安全性评估工作落实情况发进行抽查。