項目規劃階段
作者:啟明星辰
2022-06-23
確定商用密碼應用等級
● 在信息系統規劃階段����,首先需要明確使用商用密碼保護的信息系統對象�,并確定信息系統的商用密碼應用等級��。
● 密碼應用等級一般參照網絡安全等級保護的級別確定�����。信息系統根據《信息安全技術 網絡安全等級保護定級指南》(GB/T 22240-2020)要求確定系統網絡安全等級保護級別時�,將同步確定對應的密碼應用等級�����。
● 對于尚未完成網絡安全等級保護定級的重要信息系統���,其密碼應用等級應至少為第三級���。
編制商用密碼應用方案
● 在確定密碼應用等級后�����,信息系統責任單位需要分析系統現狀�����,結合系統面臨的安全風險和風險控制需求進行分析�����,明確密碼應用需求����,根據系統的密碼應用等級�,依據《信息安全技術 信息系統密碼應用基本要求》(GB/T 39786-2021)和《信息安全技術 信息系統密碼應用設計技術要求》(征求意見稿)相關要求�,編制信息系統密碼應用方案�。
● 密碼應用方案設計是信息系統密碼應用建設的起點��,它直接決定著信息系統的密碼應用能否合規�����、正確����、有效地部署實施���。此外����,密碼應用方案也是開展信息系統密碼應用情況分析和評估工作的基礎條件���,是開展密評工作不可或缺的重要參考文件�,且密碼應用方案通過評審是密評項目立項的必要條件���。
● 在設計密碼應用方案時���,在遵循總體性�、科學性����、完備性和可行性原則的基礎上���,應重點關注兩個方面內容:一是信息系統支撐平臺的密碼應用����,主要解決物理和環境安全�����、網絡和通信安全����、設備和計算安全三個層面的密碼相關安全問題�����,并為業務應用提供密碼支撐服務��;二是信息系統業務應用的密碼應用�����,主要在應用與數據安全層面���,利用密碼技術處理具體業務在實際開展過程中存在的安全問題�,形成使用密碼技術保護的具體業務處理機制和流程���,這也是整個密碼應用方案的重中之重���。
● 從安全合規的維度來看��,不同信息系統的支撐平臺密碼應用方案存在一定的相似性�,但是在實際業務應用場景下����,密碼應用則是與業務應用強耦合的�。因此在設計密碼應用解決方案時��,應用和數據安全層面的相關要求往往發揮著指引性作用�����。通過對業務安全需求的梳理以及重要數據保護范圍的確定����,明確需要解決的安全風險以及需要建立的密碼應用措施�,緊緊圍繞業務應用進行密碼應用解決方案的設計����,提升方案的完備性和可行性�����。
● 結合標準規范要求�,密碼應用方案應主要包括系統現狀分析�、安全風險及控制需求�����、密碼應用需求��、總體方案設計�����、密碼技術方案設計����、管理體系設計與運維體系設計���、安全與合規性分析等內容�,并結合實際業務情況附加密碼產品和服務應用情況����、業務應用系統改造/建設情況�����、系統和環境改造/建設情況等內容�。
組織密碼應用方案評估與備案
● 信息系統責任單位編制密碼應用方案后�����,需要組織專家或委托密評機構對密碼應用方案進行評估���,審定后的密碼應用方案是開展信息系統建設��、驗收和評估等工作的重要依據��。
● 信息系統責任單位將通過評估的密碼應用方案與密評機構出具的系統《商用密碼應用安全性評估報告》在30個工作日內上報主管部門及所在地區(部門)密碼管理部門備案��。其中��,網絡安全等級保護第三級及以上信息系統���,評估結果應同時上報所在地區公安部門備案�。
快速鏈接
京公網安備11010802024551號