《关键信息基础设施安全保护条例》发布，对密评有何影响？

《关键信息基础设施安全保护条例》（以下简称《条例》）发布后对商用密码应用安全性评估（以下简称密评）工作有什么影响呢？本文将从读者关心的《条例》发布后密评工作该如何开展进行解答。

Q1 关键信息基础设施需要开展的测评工作有哪些？

《条例》第十七条明确规定：运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估。

此外，《条例》还要求，在网络安全等级保护的基础上，保障关键信息基础设施安全稳定运行。等级保护制度作为我国信息安全保障的基本制度，对于关键信息基础设施同样适用。

但关键信息基础设施仅仅开展网络安全检测、风险评估、等级保护工作仍然不够。《条例》第六章附则中提出，“关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定”。这一条说的是，2020年1月1日起施行的《密码法》中的规定：“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。”

也就是说，对关键信息基础设施，在开展等级保护测评工作、关键信息基础设施安全检测评估和风险评估的基础上，其运营者还需开展商用密码应用安全性评估。这三个方面的安全测评共同保障关键信息基础设施的安全。

Q2 等级保护测评与密评的关系是什么？

等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准（GB/T 22239-2019信息安全技术网络安全等级保护基本要求），对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是信息系统安全等级保护工作的重要环节。

商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

等级保护与密评相互衔接、相互映照、相辅相成。从内容上看，密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项；从关键信息基础设施的定级来看，密评是参照等级保护对象应具备的安全保护能力要求，提出密码保障能力逐级增强的要求，一般来说，等级保护和密评的保护对象等级是一致的。

Q3 密评的评估流程有哪些？

密评测评过程分为四项基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

测评准备活动是开展测评工作的前提和基础，其主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

方案编制活动是开展测评工作的关键阶段，为现场测评提供最基本的文档和指导方案。该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，形成测评方案。

现场测评活动是开展测评工作的核心阶段。其主要任务是按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目，包括单项测评、单元测评和整体测评等，以了解系统的真实保护情况，获取足够证据，发现系统存在的密码应用的安全性问题。

分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、测评结论形成及报告编制六项主要工作内容。（司华锋）

声明：本文来自CFCA金融认证，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。