新知一下
海量新知
6 6 1 0 5 6 8

干货|密码应用方案详解

信创咨询 | 信创领域的最新资讯和咨询研究 2020/10/22 09:05

密码应用安全性评估包括两部分重要内容:

  • 信息系统规划阶段的 密码应用方案 评估

  • 信息系统建设完成后的 信息系统商用密码应用安全性评估

2020年01月21日,国务院办公厅印发的《国家政务信息化项目建设管理办法》“第九条规 定:有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的 国家政务信息化项目 ,应当按规定履行审批程序并向国家发展改革委备案。 备案文件应当包括 …… 密码应用方案和密码应用安全性评估报告 等内容。”

目前,密码应用方案及评估结果已经作为 项目规划立项的重要依据 申报使用财政性资金项目的必备材料

密码应用方案是什么?

对于新建/改造信息系统,密码应用方案一般由 系统 责任单位组织商用密码从业单位编写,密码应用方案包括3个子方案,分别是:

  • 《密码应用解决方案》

  • 《实施方案》

  • 《应急处置方案》

责任单位编写密码应用方案后,委托 商用密码测评机构对方案进 行评估。

密码应用方案设计是信息系统密码应用的起点,它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外,密码应用方案还是开展信息系统密码应用情况分析和评估工作的基础条件,是开展密评工作不可或缺的重要参考文件。密码应用方案需依照《信息系统密码应用基本要求》,结合信息系统的实际情况进行设计,并保证其具有总体性、科学性、完备性和可行性。

1. 密码应用解决方案

新知达人, 干货|密码应用方案详解

密码应用解决方案主要包括系统建设规划背景、系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系设计、安全与合规性分析等几个部分,并附加密码产品和服务应用情况、业务应用系统改造/建设情况、系统和环境改造/建设情况等内容。

2. 实施方案

新知达人, 干货|密码应用方案详解

实施方案是密码应用方案具体项目实施、落地的一整套解决方案。实施方案应包括项目概述、项目组织、实施内容、实施计划、保障措施、经费概算等内容。

3. 应急处置方案

新知达人, 干货|密码应用方案详解

应急处置方案应当首先对潜在的安全威胁(风险)进行分析,重点识别在项目实施过程中和在密码系统/设备运行过程中可能发生的安全事件,并对安全事件进行分类和分级描述。应急处置方案应明确应急处置组织的结构与职责,并针对潜在安全威胁给出技术和管理上的应急响应机制及风险防范措施。应急处置方 案还应当包括在安全事件发生后的信息公告流程和损失评估程序,并给出各个应急处置方案的激活条件。

密码 应用 方案评估如何开展?

密码应用方案的评估工作主要涉及到以下三个主体:

1.系统责任单位

系统责任单 位是密评的责任单位, 需要协调方案编制与评估工作 提供密码应用需求,配合密码方案设计。

2.方案编制单位

系统责任单位可自行或委托系统开发商、集成商、相关咨询单位等作为 方案编制单位,根据系统责任单位的需求进行密码应用方案的设计、编制与修订。

3. 方案 评估 单位

密码应用方案编制完成后, 系统责任单位可委托商用密码测评机构对方案进行评估,提出密码应用方案修订 建议,最终出具密码应用方案评估报告。评估结果作为项目规 划立项的重要依据和申报使用财政性资金项目的必备材料。

更多“密码应用”相关内容

更多“密码应用”相关内容

新知精选

更多新知精选