根据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法(试行)》等相关要求,政务信息系统在规划阶段、建设阶段和运行阶段均须开展商用密码应用安全性评估(以下简称“密评”)。
项目建设单位在项目各阶段如何开展密评?具体包含哪些工作?密评机构工信部电子五所,以广东省相关密评项目经验为例,从“项目建设单位”的角度出发,对政务信息系统密评全过程进行详细梳理,并总结了密评工作中的注意事项,为项目建设单位开展密评工作提供相应参考。
图解版
文字版
项目规划阶段
01 开始立项
项目建设单位开始筹备立项材料。
02 编制密码应用方案
-
项目建设单位(如广东省XX厅)组织相关单位编制密码应用方案,建议选择有密码方案编制经验的单位。
-
密码应用方案设计内容须与立项方案建设内容保持一致,确保后期建设可落地。
-
立项方案中需预留密码应用建设与密评经费,否则建设阶段工作无法开展。
03 委托密评机构开展方案评估
-
密码应用方案编制完成后,项目建设单位应委托密评机构(如工信部电子五所)开展方案评估。
-
通常情况方案将进行多轮评估修改,整个方案评估周期一般为2—4周,具体时间主要取决于方案编制质量与修改情况。
-
方案经过多轮修改通过评估后,密评机构将出具《密码应用方案评估报告》。
04 报密码管理部门审核
项目建设单位将通过评估的密码应用方案与密评机构出具的《密码应用方案评估报告》报送至密码管理部门(如广东省密码管理局)审核。
05 提交立项申报
项目获得批复后,进入项目建设阶段。
项目建设阶段
01 项目开始建设
项目建设单位需严格按照立项时通过评估的《密码应用方案》进行相应建设,否则项目验收时将无法通过系统评估。
02 委托密评机构开展系统评估
-
单次评估周期一般在1个月内
-
若首次评估未通过,则密评机构将出具《整改建议》,项目建设单位需对系统进行相应整改
-
评估通过后,密评机构将出具《密码应用安全性评估报告》
03 报密码管理部门审核
项目建设单位将通过评估的密码应用方案与密评机构出具的系统《密码应用安全性评估报告》报送至密码管理部门审核。
04 组织验收
项目验收通过后,进入项目运行阶段。
项目运行阶段
-
需定期开展密评,提前预留系统密评经费。
-
系统发生密码相关重大安全事件、重大调整或特殊情况时需及时组织评估。
注:
本文密评流程梳理参考广东省以下政策文件,其他省份密评流程以当地政策为准:
《广东省省级政务信息化项目管理办法》
《广东省省级政务信息化项目商用密码应用工作指引》
《广东省省级政务信息化服务项目立项审批细则》
《广东省省级政务信息化服务项目验收前符合性审查细则》
声明:本文来自赛宝商密通,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/614.html
