您当前的位置:首页 > 新闻 > 滚动 > 消息正文

《政务信息系统密码应用与安全性评估工作指南》公开发布

2020-09-29 11:28:00  来源:中国金融商报     编辑:LIZHENG

【业内动态】

《政务信息系统密码应用与安全性评估工作指南》公开发布

本报讯记者程红琳报道由中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)(以下简称《指南》)日前正式发布。《指南》对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位,落实国家密码管理有关要求,同步规划、同步建设、同步运行密码保障系统,给出了具体的指导。

具体而言,该《指南》用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。《指南》分为三章。第一章为政务信息系统密码应用与安全性评估实施过程指南;第二章为政务信息系统密码应用措施指南,并给出了密码应用措施方面的建议;第三章为政务信息系统密码应用与安全性评估质量保障指南,给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。

鉴于政务信息系统的验收约束机制,《指南》再次重申了密码应用方案的重要性。首先,对建设者而言密码应用方案通过密评是项目立项的必要条件。其次,系统通过密评是项目验收的必要条件。此外,在政务信息系统运行阶段,项目使用单位还应定期委托密评机构对系统开展密评,网络安全保护等级第三级及以上的政务信息系统,每年至少密评一次,该项工作可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。

结合当前密码技术、产品和服务的实际情况,《指南》在政务信息系统密码应用方面,给出了针对性的措施建议。具体应用领域包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、秘钥管理、安全管理等。如在网络和通信安全的密码应用方面,为实现对信息系统与外部实体之间网络通信的安全防护,确认通信实体的身份以及保护通信过程中的数据,《指南》提出,项目建设单位可结合政务信息系统的网络安全保护等级,部署IPSec VPN 类产品(符合 GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014《IPSec VPN网关产品规范》等标准),或是SSL VPN 类产品(符合GM/T 0024-2014《SSL VPN技术规范》、GM/T 0025-2014《SSL VPN网关产品规范》等标准)实现通信双方的身份鉴别,通信过程中敏感数据的机密性、完整性保护。

对国家政务信息系统建设、使用和集成单位等密码应用与安全性评估责任单位,《指南》对其开展密码应用方案编制、密码保障系统建设等活动提出了质量管理建议,同时提出了密评机构实施密码应用安全性评估的规范性要求。

此外,《指南》在附录中还给出了政务信息系统密码应用方案模板、密码相关标准、某部机关电子公文处理系统密码应用方案示例。为项目建设单位编写方案提供指导。

本报拥有此文版权,若需转载或复制,请注明来源于中国政府采购报,标注作者,并保持文章的完整性。否则,将追究法律责任。

    无相关信息
热门推荐
网友评论
返回顶部
{"remain":9971,"success":1}http://china.prcfe.com/global/2020/0929/83930.html