AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
商密抽查,聞令即動丨促進密碼合規,安恒密評工具箱來幫忙!
商密抽查新規發文
近日,國家密碼管理局發布《國家密碼局商用密碼隨機抽查事項清單(2024版)》的公告。自發布之日(2024年7月19日)起施行,2018年7月7日發布的《國家密碼管理局關于印發商用密碼隨機抽查事項清單的通知》(國密局字〔2018〕268號)同時廢止。
商密抽查新規簡讀
公告中主要參考商密相關法律、行政法規和國家有關規定分別對商用密碼產品檢測、商用密碼應用安全性評估、商用密碼應用、電子認證服務使用密碼、電子政務電子認證服務等5個事項進行隨機抽查,涉及抽查對象包括商用密碼檢測機構(商用密碼產品檢測業務)、商用密碼檢測機構(商用密碼應用安全性評估業務)、要求商用密碼保護的網絡與信息系統運營者、電子認證服務使用密碼許可單位、電子政務電子認證服務機構,針對不符合要求規定者給予相關處罰。
其中抽查在商用密碼應用安全性評估業務機構方面有了更高的要求:
?考量商用密碼應用需求的全面性、合理性和針對性,對照相關標準規范選取適用指標的準確性,以及不適用指標論證的充分性;
?分析商用密碼應用流程和機制是否具備可實施性、商用密碼保護措施是否達到相應的商用密碼應用要求、相關描述是否詳盡;
?論證商用密碼技術、產品和服務選用的合規性,密鑰管理的安全性,以及使用商用密碼解決安全風險的科學性;
?對照商用密碼應用方案,了解網絡與信息系統基本情況,準確劃定評估范圍;
?確定評估指標及評估對象,論證編制商用密碼應用安全性評估實施方案;
?依據商用密碼應用安全性評估實施方案,開展現場評估,做好數據采集和信息匯總,研判商用密碼保障系統配置及運行情況;
?根據客觀憑據逐項對評估指標進行判定,編制形成商用密碼應用安全性評估報告。
所以詳細的了解新規要求,以避免在未來的商密評估業務中出現不合規的風險是非常必要的。
安恒密評工具箱助力密碼合規
安恒信息在合規監管與評測工具方面深耕十余年,多次參與公安部等保檢查工具規范標準撰寫,在合規領域具備雄厚的技術積累。
密評工具箱研發方面參考了等保工具箱的思路,將密評檢查項與技術檢測合二為一,形成一體化的測評工具。目的在于輔助監管機構、測評機構、商密運營單位完成密碼應用安全性評估,通過密評全流程測評指引,提供專業的密碼安全檢查工具,有效簡化測評人員的操作手續,對整個測評過程起到強大的輔助作用,極大地提升測試效率,滿足測評合規要求。
安恒密評工具箱核心能力
安恒工具箱幫助測評,面對合規抽檢可滿足如下:
?支持現場測評、單元測評、整體測評、測評計分、等測評環節,可覆蓋全部指標項,對評估指標進行判定,可滿足商用密碼應用檢測需求的全面性
?支持自動化輸出報告,滿足《商用密碼應用安全性評估報告2023版》報告要求
?提供8大核心密碼合規性檢測工具,可協助商用密碼技術論證。
國家密碼管理局發布的商用密碼隨機抽查事項清單是一個嚴格的執法檢查手段。相信自動化、全面的、科學的評估手段,才能從容應對隨機性的合規執法檢查,真正的促進商用密碼的合規的落地。
