《GB∕T 43206-2023 信息安全技术 信息系统密码应用测评要求》介绍,4月1日起正式施行
国家市场监督管理总局、国家标准化管理委员会发布《GB∕T 43206-2023 信息安全技术 信息系统密码应用测评要求》(以下简称《要求》),于4月1日开始正式实施。规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求,并给出了整体测评要求、风险分析和评价、测评结论的要求;适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。
在《商用密码管理办法》中,明确将密评对象明确为重要网络与信息系统,不仅涵盖了关键信息基础设施,还包含其他大量系统。因此,密评服务的客户群体包括但不限于关键信息基础设施运营者(如电信、能源、交通、金融等领域核心系统)、大型企业与机构(如银行、互联网公司、医疗保健机构等)、政府机关与公共部门(各级政府、事业单位及其处理政务数据、公民信息、公共服务数据的系统)、第三方服务提供商(云计算、大数据平台等)、中小型企业(处理敏感信息或依赖信息系统的核心业务)、特定行业与领域(如国防、电力、电商、在线支付等)。
《密码法》、《商用密码应用安全性评估管理办法》等法律法规要求信息系统要开展密码应用安全性评估。如果重要网络与信息系统的运营者没有按照要求进行密评,将受到严重的处罚。《密码法》明确规定,未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告。《办法》也规定重要网络与信息系统的运营者违反本办法规定,由密码管理部门责令改正;逾期未改正或者改正后仍不符合要求的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。
等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评作为等保的深化和补充,聚焦于密码技术在数据保护中的应用,确保数据在传输、存储、处理过程中的机密性、完整性和不可否认性,是更深层次的数据安全保障。
GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准是后续开展密码测评工作的重要依据。该标准由道普云母公司道普信息技术有限公司参编,如需技术交流探讨可私信我,欢迎在评论区交流讨论。
(谢绝转载,更多内容可查看我的专栏)