为解决当前密码应用存在的问题,国家颁布实施了《密码法》《商用密码应用安全性评估管理办法(试行)》《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估(以下简称密评)提出要求,希望通过密评促进商用密码的使用和管理规范。那么,等保三级系统密评和密码应用具体有哪些要求呢?
(一)等保三级系统密评的合规性要求
等保三级系统是指等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害的系统。为保障系统的安全,要使用商用密码和进行定期密评。
根据《商用密码应用安全性评估管理办法(试行)》第十条规定,重要领域网络和信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估。评估未通过,责任单位应当限期整改并重新组织评估。关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。其他信息系统定期开展检查和抽查。
(二)等保三级系统密码应用的技术要求
GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》(以下简称《要求》)从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出信息系统的密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。
《要求》规定,等保三级系统总共有“14宜7应1可”要求。其中“应”表示严格,在正常情况下均应这样做的;“宜”表示允许稍有选择,在条件许可时首先应这样做的;“可”表示有选择,在一定条件下可以这样做的。
扫一扫
1355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
