完善的法律支撑体系-必须做
《中华人民共和国网络安全法》将等级保护制度上升到法律高度,并对密码应用做出明确规定。
《中华人民共和国电子签名法》规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益。
《中华人民共和国密码法》对密码应用的主要制度和要求也作了明确规定。强化密码应用要求,突出密码应用监管。
《中华人民共和国数据安全法》要求规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,
维护国家主权、安全和发展利益。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具
备保障持续安全状态的能力。
健全的规范和执行标准-怎么做
《商用密码管理条例 》将网络安全等级保护的推荐性的要求上升为具有强制力的国家规范。
《GBT 39786-2021 信息安全技术 信息系统密码应用基本要求》
《GMT 0115-2021 信息系统密码应用测评要求》
《GMT 0116-2021 信息系统密码应用测评过程指南》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估FAQ(第三版)》
《商用密码应用安全性评估量化评估规则》
《商用密码应安全性评估报告模板(2023版)》
专业的检查手段-密评【改造核心是业务系统,密码能力是基础】
密评的对象是业务系统本身,主要是业务系统自身的数据机密性、完整性等方面的要求,不是说用了有国密证书的软硬件系
统就可以过的,跟等保不一样。
用户超过100万,数据安全等至少定级为等保二级,从业务系统角度考虑,避免密码厂商的错误引导。
密改的核心是使用具备商用密码产品认证证书的密码产品保护密钥,使用密钥保护业务。
业务方需要在合规的前提下,将密改落到实处,在业务中切实使用国密算法保护业务安全,用最优的资源完成密改。
