商用密码应用安全性评估服务投标方案.docxVIP

二、 技术方案(密评陪标1) 2.1项目概述概/服务要求(参考招标文件) 2.1.1服务地点 云南省境内/本次项目服务地点为XX州/市/县XXX单位 2.1.2服务期限 2 0 2 2 年 1 0 月 3 1 日前完成，每年11 月30日前提交相关报告。 2.1.3服务要求/范围 依据商用密码应用与安全性评估作业指导书开展XXX单位的商用密码应用 与安全性评估工作，出具《商用密码应用与安全性评估报告》并向当地国家密码 管理局报备，协助电站编制符合商用密码安全要求的《密码应用方案》,并协助 指导电站进行安全整改。 三级系统要求每年开展一次评估，二级系统要求每两年开展一次评估。 信息系统清单 序号 信息系统名称 等级 备注 2.1.4项目目标 基于等级保护定级等级对目标信息系统进行商用密码应用安全性评估，并出 具《商用密码应用与安全性评估报告》向当地国家密码管理局报备。 2.2服务方案 2.2.1密评概述 商用密码应用安全性评估是发挥密码作用的必要手段商用密码应用安全性 评估(“密评”)是商用密码检测认证体系建设的重要组成部分，是衡量商用密 码应用是否合规、正确、有效的重要抓手。开展密评是维护网络空间安全、规范 商用密码应用的客观要求，是深化商用密码“放管服”改革、加强事中事后监管 的重要手段，也是重要领域网络与信息系统运营者和主管部门必须承担的法定责 任。 (1)开展密评是应对网络安全严峻形势的迫切需要 建立密评体系，就是为了解决商用密码应用中存在的突出问题，为重要网络 与信息系统的安全提供科学评价方法，以评促建、以评促改、以评促用，逐步规 范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全 的现状，确保商用密码在网络与信息系统中的有效使用，切实构建起坚实可靠的 网络空间安全密码屏障。 (2)开展密评是系统安全维护的必然要求 商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统 安全的前提，构建成体系的、安全有效的密码保障系统，对重要网络与信息系统 有效抵御网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效， 涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个方面。有必 要委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的商用密码 应用安全进行专项测试和综合评估，形成科学准确的评估结果，以便及时掌握商 用密码安全现状，采取必要的技术和管理措施。 (3)开展密评是相关责任主体的法定职责 《中华人民共和国密码法》(以下简称《密码法》)规定，法律、行政法规和 国家苻关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使 用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性 评估。 《中华人民共和国网络安全法》(以下简称《网络安全法》)也指出，网 络运营者应当履行网络安全保护义务，并明确在网络安全等级保护制度的基础上， 对关键信息基础设施实行重点保护。采取技术措施和其他必要措施，维护网络数 据的完整性、必威体育官网网址性和可用性。《网络安全等级保护条例(征求意见稿)》强化密 码应用要求，突出密码应用监管，重点面向网络安全等级保护第三级及以上系统， 落实密码应用安全性评估制度。因此，针对网络安全等级保护第三级及以上信息 系统、关键信息基础设施开展密评，将是网络运营者和主管部门的法定责任。 2.2.2密评依据 根据《密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密 码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或 者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评 估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免 重复评估和测评。 根据《商用密码管理条例(修订草案征求意见稿)》第三十八条要求，非涉 密的关键信息基础设施、等级保护三级及以上系统，政务信息系统等网络与信息 系统，其运营者应当使用商用密码进行保护，制定商用密码使用方案，配备必要 的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或 者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统通过商 用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况 报送所在地区的市级密码管理部门备案。 2.2.3密评指标要求 三级指标要求 测评单元 测评指标 应 用 要 求 技术要求 物理 和环 境安 全 身份鉴别 宜采用密码技术进行物理访问身份鉴别， 保证重要区域进入人员身份的真实性； 宜 电子门禁记录 数据存储完整 性 宜采用密码技术保证电子门禁系统进出 记录数据的存储完整性； 宜 视频监控记录 数据存储完整 宜采用密码技术保证视频监控音像记录 数据的存储完整性。 宜 性