《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南》公開發(fā)布

【業(yè)內(nèi)動態(tài)】

《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南》公開發(fā)布

本報訊記者程紅琳報道由中國密碼學(xué)會密評聯(lián)委會組織編制的《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南》(2020版)（以下簡稱《指南》）日前正式發(fā)布。《指南》對國家政務(wù)信息系統(tǒng)建設(shè)、使用和集成單位等密碼應(yīng)用與安全性評估責(zé)任單位，落實國家密碼管理有關(guān)要求，同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)，給出了具體的指導(dǎo)。

具體而言，該《指南》用于引導(dǎo)非涉密國家政務(wù)信息系統(tǒng)建設(shè)單位和使用單位規(guī)范開展商用密碼應(yīng)用與安全性評估工作。《指南》分為三章。第一章為政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估實施過程指南；第二章為政務(wù)信息系統(tǒng)密碼應(yīng)用措施指南，并給出了密碼應(yīng)用措施方面的建議；第三章為政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估質(zhì)量保障指南，給出了項目建設(shè)單位和使用單位、系統(tǒng)集成單位、密評機構(gòu)在相關(guān)活動中的質(zhì)量管理建議。

鑒于政務(wù)信息系統(tǒng)的驗收約束機制，《指南》再次重申了密碼應(yīng)用方案的重要性。首先，對建設(shè)者而言密碼應(yīng)用方案通過密評是項目立項的必要條件。其次，系統(tǒng)通過密評是項目驗收的必要條件。此外，在政務(wù)信息系統(tǒng)運行階段，項目使用單位還應(yīng)定期委托密評機構(gòu)對系統(tǒng)開展密評，網(wǎng)絡(luò)安全保護等級第三級及以上的政務(wù)信息系統(tǒng)，每年至少密評一次，該項工作可與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評等工作統(tǒng)籌考慮、協(xié)調(diào)開展。

結(jié)合當(dāng)前密碼技術(shù)、產(chǎn)品和服務(wù)的實際情況，《指南》在政務(wù)信息系統(tǒng)密碼應(yīng)用方面，給出了針對性的措施建議。具體應(yīng)用領(lǐng)域包括：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、秘鑰管理、安全管理等。如在網(wǎng)絡(luò)和通信安全的密碼應(yīng)用方面，為實現(xiàn)對信息系統(tǒng)與外部實體之間網(wǎng)絡(luò)通信的安全防護，確認通信實體的身份以及保護通信過程中的數(shù)據(jù)，《指南》提出，項目建設(shè)單位可結(jié)合政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全保護等級，部署IPSec VPN 類產(chǎn)品（符合 GM/T 0022-2014《IPSec VPN技術(shù)規(guī)范》、GM/T 0023-2014《IPSec VPN網(wǎng)關(guān)產(chǎn)品規(guī)范》等標準），或是SSL VPN 類產(chǎn)品（符合GM/T 0024-2014《SSL VPN技術(shù)規(guī)范》、GM/T 0025-2014《SSL VPN網(wǎng)關(guān)產(chǎn)品規(guī)范》等標準）實現(xiàn)通信雙方的身份鑒別，通信過程中敏感數(shù)據(jù)的機密性、完整性保護。

對國家政務(wù)信息系統(tǒng)建設(shè)、使用和集成單位等密碼應(yīng)用與安全性評估責(zé)任單位，《指南》對其開展密碼應(yīng)用方案編制、密碼保障系統(tǒng)建設(shè)等活動提出了質(zhì)量管理建議，同時提出了密評機構(gòu)實施密碼應(yīng)用安全性評估的規(guī)范性要求。

此外，《指南》在附錄中還給出了政務(wù)信息系統(tǒng)密碼應(yīng)用方案模板、密碼相關(guān)標準、某部機關(guān)電子公文處理系統(tǒng)密碼應(yīng)用方案示例。為項目建設(shè)單位編寫方案提供指導(dǎo)。

本報擁有此文版權(quán)，若需轉(zhuǎn)載或復(fù)制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責(zé)任。