商密抽查,闻令即动丨促进密码合规,安恒密评工具箱来帮忙!
商密抽查新规发文
近日,国家密码管理局发布《国家密码局商用密码随机抽查事项清单(2024版)》的公告。自发布之日(2024年7月19日)起施行,2018年7月7日发布的《国家密码管理局关于印发商用密码随机抽查事项清单的通知》(国密局字〔2018〕268号)同时废止。
商密抽查新规简读
公告中主要参考商密相关法律、行政法规和国家有关规定分别对商用密码产品检测、商用密码应用安全性评估、商用密码应用、电子认证服务使用密码、电子政务电子认证服务等5个事项进行随机抽查,涉及抽查对象包括商用密码检测机构(商用密码产品检测业务)、商用密码检测机构(商用密码应用安全性评估业务)、要求商用密码保护的网络与信息系统运营者、电子认证服务使用密码许可单位、电子政务电子认证服务机构,针对不符合要求规定者给予相关处罚。
其中抽查在商用密码应用安全性评估业务机构方面有了更高的要求:
➣考量商用密码应用需求的全面性、合理性和针对性,对照相关标准规范选取适用指标的准确性,以及不适用指标论证的充分性;
➣分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽;
➣论证商用密码技术、产品和服务选用的合规性,密钥管理的安全性,以及使用商用密码解决安全风险的科学性;
➣对照商用密码应用方案,了解网络与信息系统基本情况,准确划定评估范围;
➣确定评估指标及评估对象,论证编制商用密码应用安全性评估实施方案;
➣依据商用密码应用安全性评估实施方案,开展现场评估,做好数据采集和信息汇总,研判商用密码保障系统配置及运行情况;
➣根据客观凭据逐项对评估指标进行判定,编制形成商用密码应用安全性评估报告。
所以详细的了解新规要求,以避免在未来的商密评估业务中出现不合规的风险是非常必要的。
安恒密评工具箱助力密码合规
2024新奥门资料在合规监管与评测工具方面深耕十余年,多次参与公安部等保检查工具规范标准撰写,在合规领域具备雄厚的技术积累。
密评工具箱研发方面参考了等保工具箱的思路,将密评检查项与技术检测合二为一,形成一体化的测评工具。目的在于辅助监管机构、测评机构、商密运营单位完成密码应用安全性评估,通过密评全流程测评指引,提供专业的密码安全检查工具,有效简化测评人员的操作手续,对整个测评过程起到强大的辅助作用,极大地提升测试效率,满足测评合规要求。
安恒密评工具箱核心能力
安恒工具箱帮助测评,面对合规抽检可满足如下:
➣支持现场测评、单元测评、整体测评、测评计分、等测评环节,可覆盖全部指标项,对评估指标进行判定,可满足商用密码应用检测需求的全面性
➣支持自动化输出报告,满足《商用密码应用安全性评估报告2023版》报告要求
➣提供8大核心密码合规性检测工具,可协助商用密码技术论证。
国家密码管理局发布的商用密码随机抽查事项清单是一个严格的执法检查手段。相信自动化、全面的、科学的评估手段,才能从容应对随机性的合规执法检查,真正的促进商用密码的合规的落地。