詳解丨《政務信息系統密碼應用與安全性評估工作指南》
根據《國家政務信息化項目建設管理辦法》(以下簡稱《辦法》)(國辦發[2019]57號)密碼應用與安全性評估要求,依據《中華人民共和國密碼法》及商用密碼管理規定,中國密碼學會密評聯委會組織編制的《政務信息系統密碼應用與安全性評估工作指南》(以下簡稱《工作指南》)(2020版)在日前發布,隨后,在《國家密碼管理局關于請進一步加強國家政務信息系統密碼應用與安全性評估工作的函》中,國家密碼管理局函告相關單位,有關密碼應用與安全性評估工作可參考《指南》。
一、基本情況
《指南》由中國密碼學會密評聯委會組織相關專家編制,可用于指導非涉密的國家政務信息系統建設單位和使用單位規范開展商用密碼應用與安全性評估工作,也可供政務信息系統集成單位和商用密碼應用安全性評估機構參考。各級地方政務信息化項目建設單位和使用單位也可參照《指南》開展相關工作。
正文部分分為三章,第一章為政務信息系統密碼應用與安全性評估實施過程指南,依據《國家政務信息化項目建設管理辦法》和《商用密碼應用安全性評估管理辦法(試行)》,給出了政務信息系統規劃、建設、運行階段,項目建設單位和使用單位分別應當開展的密碼應用與安全性評估相關工作。第二章為政務信息系統密碼應用措施指南,主要依據GM/T 0054《信息系統密碼應用基本要求》(以下簡稱《基本要求》),介紹了密碼在政務信息系統中發揮的主要功能,并給出了密碼應用措施方面的建議,可供項目建設單位結合自身實際進行選擇和調整。第三章為政務信息系統密碼應用與安全性評估質量保障指南,給出了項目建設單位和使用單位、系統集成單位、密評機構在相關活動中的質量管理建議。此外,《指南》附錄1提供了密碼應用方案模板,可供項目建設單位在設計編制密碼應用方案時參考,附錄2提供了已發布的密碼國家標準和密碼行業標準目錄,附錄3選取政務信息系統中常見的電子公文處理系統,選擇最小業務場景,提煉基本密碼應用需求,設計了一個精簡的密碼應用方案示例,可為相關單位編寫密碼應用方案提供思路參考。
二、政務信息系統密碼應用與安全性評估實施過程指南
####(一)過程概述
《辦法》第十五條要求“項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估”,即政務信息系統中的密碼保障系統應做到“三同步一評估”,實施過程如下圖:
《辦法》所指項目建設單位、使用單位、審批部門、主管部門等承擔項目規劃、審批、建設和資金管理等職能部門中的密碼管理機構,應按職責做好相關項目密碼應用與安全性評估工作的指導、評價、督促,對密碼應用方案、密碼應用安全性評估報告及相關工作質量進行把關,對密碼應用、密碼保障系統建設、密評實施、整改時限等提出要求,向相關主責部門提出工作建議,有關情況及時向國家密碼管理部門報告。國家密碼管理部門將建立完善國家政務信息系統密碼應用信息庫,對國家政務信息系統密碼應用及其密評情況實施臺賬管理。
(二)規劃階段
在政務信息系統規劃階段,項目建設單位分析系統現狀,對系統面臨的安全風險和風險控制需求進行分析,明確密碼應用需求,跟進系統的網絡安全保護等級,依據《基本要求》等相關標準,參照密碼應用方案模板,編制密碼應用方案,從《商用密碼應用安全性評估試點機構目錄》(可通過訪問“國家密碼管理局官方網站-通知公告-國家密碼管理局第40號公告”獲取)中選擇商用密碼應用安全性評估機構(以下簡稱“密評機構”)進行密評。密碼應用方案通過密評是項目立項的必要條件。
(三)建設階段
在政務信息系統建設階段,系統集成單位在項目建設單位的明確要求下按照通過密評的密碼應用方案建設密碼保障系統,確保系統密碼應用符合國家密碼管理部門要求。建設階段涉及密碼應用方案調整優化的,應委托密評機構再次對調整后的密碼應用方案進行確認。系統建設完成后,項目建設單位委托密評機構對系統開展密評。系統通過密評是項目驗收的必要條件。
未通過密評的政務信息系統,項目建設單位針對評估中發現的安全問題及時整改,整改完成后可請密評機構進行復評,更新評估結果,仍未通過的,不得通過項目驗收。
(四)運行階段
在政務信息系統運行階段,項目使用單位定期委托密評機構對系統開展密評,網絡安全保護等級第三級及以上的政務信息系統,每年至少密評一次,可與關鍵信息基礎設施安全檢測評估、網絡安全等級測評等工作統籌考慮、協調開展。
政務信息系統運行期間的密碼應用安全應遵循持續改進的原則,根據安全需求、系統脆弱性、風險威脅程度、系統環境變化以及對系統安全認識的深化等,及時檢查、總結、調整現有的密碼應用措施,確認系統各項密碼技術和管理措施是否落實到位。弱系統約束條件發生重要變化,必要時,項目使用單位需修訂密碼應用方案,對系統進行升級改造。運行后的政務信息系統密評未通過的,項目使用單位按要求對系統進行整改后再次開展密評,整改期間項目使用單位應保證系統的安全性。
三、政務信息系統密碼應用措施指南
依據《基本要求》,結合當前密碼技術、產品和服務的實際情況,給出了針對政務信息系統密碼應用的措施建議。項目建設單位也可結合實際,自主選擇適合的密碼技術、產品和服務,以滿足相關密碼應用要求。
總體上,項目建設單位需從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等四個層面采用密碼技術措施,建立安全的密鑰管理方案,并采取有效的安全管理措施,對政務信息系統進行保護。政務信息系統需使用經檢測認證合格的商用密碼產品或服務,使用的商用密碼算法、技術應用遵循密碼相關國家標準和行業標準,沒有標準可遵循時刻提請國家密碼管理部門組織對相關算法、技術進行安全性審查。政務信息系統采用電子認證服務的,項目建設單位需選擇具有電子政務電子認證服務資質的機構(機構目錄可通過訪問“國家密碼管理局官方網站-在線服務-行政審批結果查詢”獲取)。
物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全及密鑰管理和安全管理方面的具體措施,可參見《指南》正文(點擊關注本公眾號,后臺回復“pgzn”,即可下載《政務信息系統密碼應用與安全性評估工作指南(2020版)》完整版pdf資料。)
四、政務信息系統密碼應用與安全性評估質量保障指南
針對國家政務信息系統建設、使用和集成單位等密碼應用與安全性評估責任單位,開展密碼應用方案編制、密碼保障系統建設等活動提出了質量管理建議,同時提出了密評機構實施密碼應用安全性評估的規范性要求。
(一)項目建設單位和使用單位
項目建設單位需按照《指南》要求,在政務信息系統規劃階段,跟進系統網絡安全保護等級,參照密碼應用方案模板,編制政務信息系統密碼應用方案,并委托密評機構對密碼應用方案進行密評。在系統建設階段,項目建設單位應要求并監督系統集成單位按照通過密評的密碼應用方案建設密碼保障系統,并在建設完成后,委托密評機構對系統開展密評。政務信息系統投入運行后,項目使用單位應委托密評機構定期對系統進行密評。
編制政務信息系統密碼應用方案應遵循總體性、完備性、適用性等原則。
(二)系統集成單位
系統集成單位應嚴格按照通過密評的密碼應用方案開展工程實施、建設密碼保障系統。
系統集成單位需做好系統建設過程中的質量控制,明確系統建設實施的組織架構、任務分工及人員安排,明確責任機構和責任人。跟進密碼應用方案中的實施保障方案,明確密碼保障系統建設實施對象的邊界及密碼應用范圍、任務要求,分析系統建設階段的重難點問題,提出建設階段可能存在的風險點及應對措施。系統集成單位需制定實施計劃,包含實施路線圖、進度計劃、重要節點等,按照計劃確定實施步驟、分階段描述任務分工、實施主體、階段交付物等,并提供保障措施,包含系統建設階段的組織保障、人員保障、經費保障、質量保障、監督檢查等措施。
(三)密評機構
密評機構負責對政務信息系統的密碼應用方案進行密評,并對政務信息系統開展密評。
密評機構對政務信息系統的密碼應用方案進行密評時,需依據《基本要求》等標準要求,分析密碼應用方案是否對政務信息系統中需要保護的資產、數據提供了體系化、完備、適用的密碼保障措施。若政務信息系統密碼應用方案中存在不適用指標,需對不適用指標及其論證材料進行評估,審核不適用的具體原因的合理性,并審核是否存在可滿足安全要求并達到等效控制的其他替代性風險控制措施。
密評機構對政務信息系統開展密評時,需依據《基本要求》《商用密碼應用安全性評估管理辦法(試行)》《信息系統密碼產品要求(試行)》《商用密碼應用安全性評估測評過程指南(試行)》《商用密碼應用安全性評估測評作業指導書(試行)》等標準規范、指導性文件及管理要求,對照通過密評的密碼應用方案,核查不適用指標的條件是否成立、替代性風險控制措施是否落實,從而確定適用和不適用的測評指標,然后從總體要求、物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理、安全管理等方面開展評估,根據政務信息系統當前的安全狀況,給出評估結果并提出有針對性的整改建議。
- 文章來源:廣東省商用密碼協會
