密评是商用密码应用安全性评估的简称,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。
2021年3月,国家市场监督管理总局、中国国家标准化管理委员会发布了GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处理四个方面提出了第一级到第四级的密码应用管理要求。
为客户提供系统商用密码应用安全性评估的咨询工作。包括政策的解读、需求分析、流程讲解、系统定级指导等。
在系统规划设计阶段,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等标准规范,从总体要求、密码功能要求、密码技术应用要求(包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、密钥管理以及安全管理五个方面协助客户完成商用密码应用安全方案设计。
根据差距测评报告及整改方案(物理环境整改方案,软硬件设备采购方案),协助客户完成软硬件安全加固配置方案,管理制度体系建设。
等级保护是我国在信息安全保障领域的一项基本制度,开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务,是企业义不容辞的信息安全义务。
纳入等级保护监管范围的企业需要根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素进行定级及备案工作。
等级保护咨询服务是面向等保客户提供的专业性安全服务,其目标是通过差距报告解读、管理制度建设、安全评估、安全整改等服务内容,加强和完善客户在管理和技术方面的安全保障能力,缩小安全现状与等级保护要求之间的差距,协助客户顺利完成等保测评工作。
根据等级保护对安全管理的要求,提供安全管理制度设计和执行指导。加强和完善客户在管理和技术方面的安全保障能力,缩小安全现状与等级保护要求之间的差距;根据等级保护要求,协助客户完成安全产品的选型和采购、部署工作;协助客户顺利完成信息系统的定级、备案工作。
2、漏洞扫描及渗透测试服务利用工具软件及人工方式对客户的业务系统进行安全漏洞扫描以及渗透测试,并出具相关测试报告,给出安全整改加固建议。
3、安全差距分析服务根据安全等保的测评要求,对业务系统进行预测评,找出安全问题和测评要求的差距,输出差距分析报告,缩短正式测评及整改修复的时间。
4、安全加固服务根据漏洞扫描、渗透测试、安全差距分析中存在安全问题,进行加固服务。包括主机操作系统、中间件、数据库等。
5、等保测评辅助服务测评期间,协助测评公司和客户完成信息调研表的填报、现场测评安排以及相关工作的协调、沟通等工作。
