《政务信息系统密码应用与安全性评估工作指南》公开发布
【业内动态】
《政务信息系统密码应用与安全性评估工作指南》公开发布
本报讯记者程红琳报道由中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)(以下简称《指南》)日前正式发布。《指南》对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位,落实国家密码管理有关要求,同步规划、同步建设、同步运行密码保障系统,给出了具体的指导。
具体而言,该《指南》用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。《指南》分为三章。第一章为政务信息系统密码应用与安全性评估实施过程指南;第二章为政务信息系统密码应用措施指南,并给出了密码应用措施方面的建议;第三章为政务信息系统密码应用与安全性评估质量保障指南,给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。
鉴于政务信息系统的验收约束机制,《指南》再次重申了密码应用方案的重要性。首先,对建设者而言密码应用方案通过密评是项目立项的必要条件。其次,系统通过密评是项目验收的必要条件。此外,在政务信息系统运行阶段,项目使用单位还应定期委托密评机构对系统开展密评,网络安全保护等级第三级及以上的政务信息系统,每年至少密评一次,该项工作可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。
结合当前密码技术、产品和服务的实际情况,《指南》在政务信息系统密码应用方面,给出了针对性的措施建议。具体应用领域包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、秘钥管理、安全管理等。如在网络和通信安全的密码应用方面,为实现对信息系统与外部实体之间网络通信的安全防护,确认通信实体的身份以及保护通信过程中的数据,《指南》提出,项目建设单位可结合政务信息系统的网络安全保护等级,部署IPSec VPN 类产品(符合 GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014《IPSec VPN网关产品规范》等标准),或是SSL VPN 类产品(符合GM/T 0024-2014《SSL VPN技术规范》、GM/T 0025-2014《SSL VPN网关产品规范》等标准)实现通信双方的身份鉴别,通信过程中敏感数据的机密性、完整性保护。
对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位,《指南》对其开展密码应用方案编制、密码保障系统建设等活动提出了质量管理建议,同时提出了密评机构实施密码应用安全性评估的规范性要求。
此外,《指南》在附录中还给出了政务信息系统密码应用方案模板、密码相关标准、某部机关电子公文处理系统密码应用方案示例。为项目建设单位编写方案提供指导。
本报拥有此文版权,若需转载或复制,请注明来源于中国政府采购报,标注作者,并保持文章的完整性。否则,将追究法律责任。
责任编辑:LIZHENG
点击排行
欢迎订阅中国政府采购报
我国政府采购领域第一份“中”字头的专业报纸——《中国政府采购报》已于2010年5月7日正式创刊!
《中国政府采购报》由中国财经报社主办,作为财政部指定的政府采购信息发布媒体,服务政府采购改革,支持政府采购事业,推动政府采购发展是国家和时代赋予《中国政府采购报》的重大使命。
《中国政府采购报》的前身是伴随我国政府采购事业一路同行12年的《中国财经报?政府采购周刊》。《中国政府采购报》以专业的水准、丰富的资讯、及时的报道、权威的影响,与您一起把握和感受中国政府采购发展事业的脉搏与动向。
《中国政府采购报》为国际流行对开大报,精美彩色印刷;每周二、周五出版,每期8个版,全年订价276元,每月定价23元,每季定价69元。零售每份3元。可以破月、破季订阅。 可以破月、破季订阅。
欢迎订阅《中国政府采购报》!
订阅方式:邮局订阅(请到当地邮局直接订阅)
