近日�����,由中國互聯(lián)網(wǎng)金融協(xié)會(huì)組織的《商用密碼管理?xiàng)l例》解讀培訓(xùn)在京召開��,金融機(jī)構(gòu)��、密評(píng)試點(diǎn)機(jī)構(gòu)����,以及密碼供給側(cè)的企業(yè)代表參加了培訓(xùn)�����。北京威廉希尔股份有限公司(簡稱:威廉希尔)研究院院長夏魯寧博士受邀出席���,并結(jié)合密評(píng)政策標(biāo)準(zhǔn)與“三同步一評(píng)估”的總體要求�����,對(duì)編制密碼應(yīng)用方案的具體策略與關(guān)鍵注意事項(xiàng)��,進(jìn)行了授課講解����。
密評(píng)從2018年開始啟動(dòng)、逐步推進(jìn)�,伴隨著《密碼法》、新版《商用密碼管理?xiàng)l例》等法律法規(guī)的施行��,以及后續(xù)其他密評(píng)相關(guān)的標(biāo)準(zhǔn)規(guī)范發(fā)布���,其制度體系建設(shè)日趨完善�����,密評(píng)的常態(tài)化實(shí)施也即將開展��。2022年����,金標(biāo)委基于GB/T 39786發(fā)布了金融行業(yè)信息系統(tǒng)商用密碼應(yīng)用的三項(xiàng)行業(yè)標(biāo)準(zhǔn)�����,為密碼應(yīng)用與評(píng)估要求在金融領(lǐng)域的落地奠定了基礎(chǔ)��。
密碼應(yīng)用安全性評(píng)估的標(biāo)準(zhǔn)和指導(dǎo)文件體系
威廉希尔公司認(rèn)為,密評(píng)是建立在風(fēng)險(xiǎn)控制基礎(chǔ)上的測評(píng)���,是檢驗(yàn)密碼應(yīng)用是否合規(guī)�����、正確、有效����,是否將信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制在可接受范圍內(nèi)的量化評(píng)價(jià)。其中�����,在信息系統(tǒng)規(guī)劃階段����,針對(duì)密碼應(yīng)用方案的編制與評(píng)估,是后續(xù)密碼應(yīng)用工作能否順利開展的關(guān)鍵���。
三同步一評(píng)估
編制密碼應(yīng)用方案是信息系統(tǒng)規(guī)劃階段中最重要�、也是最困難的環(huán)節(jié)��,往往需要業(yè)務(wù)專家和密碼專家協(xié)作完成。威廉希尔公司建議:
密碼應(yīng)用方案編制環(huán)節(jié)可“三步走”
第一步:明確“用密碼保護(hù)誰�����?”
從環(huán)境�����、網(wǎng)絡(luò)�、設(shè)備、數(shù)據(jù)四個(gè)層面�,劃定密碼應(yīng)用的系統(tǒng)范圍邊界;梳理系統(tǒng)業(yè)務(wù)流程�,識(shí)別和確認(rèn)保護(hù)對(duì)象;對(duì)業(yè)務(wù)數(shù)據(jù)分類分級(jí)�,澄清在給定業(yè)務(wù)中要保護(hù)的“重要數(shù)據(jù)”所在。
第二步:明確“用密碼保護(hù)到什么效果�����?”
從風(fēng)險(xiǎn)控制的角度來看���,就是采用密碼技術(shù)手段���,把業(yè)務(wù)風(fēng)險(xiǎn)控制在可接受范圍之內(nèi)��。因此�,要通過風(fēng)險(xiǎn)分析確定保護(hù)對(duì)象面臨的各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�,并予以分級(jí),結(jié)合風(fēng)險(xiǎn)的分級(jí)做出風(fēng)險(xiǎn)控制決策��,從而形成針對(duì)真實(shí)性�、機(jī)密性、完整性����、不可否認(rèn)性的密碼應(yīng)用需求���。密碼應(yīng)用需求的最終決策方是信息系統(tǒng)責(zé)任單位���,在合規(guī)的前提下,金融機(jī)構(gòu)要有決斷�����,是所有風(fēng)險(xiǎn)都應(yīng)對(duì)����,還是合理設(shè)定風(fēng)險(xiǎn)可接受的界限(涉及“高風(fēng)險(xiǎn)判定指引”中的高風(fēng)險(xiǎn)問題是一定要應(yīng)對(duì)的)��。
第三步:明確“用密碼怎么保護(hù)��?”
確定了密碼應(yīng)用需求���,即可針對(duì)性設(shè)計(jì)密碼應(yīng)用措施,形成密碼應(yīng)用技術(shù)架構(gòu)�����,并進(jìn)一步確定密碼應(yīng)用產(chǎn)品或服務(wù)的規(guī)格���。完成上述任務(wù)后�,依照標(biāo)準(zhǔn)的自評(píng)估是必要的�����,這既是對(duì)采取相應(yīng)措施后����,是否已經(jīng)“將風(fēng)險(xiǎn)控制在可接受范圍內(nèi)”的復(fù)盤,也是對(duì)方案是否能夠順利通過評(píng)估的自我考量����。
編制密碼應(yīng)用方案“三步走”
我國商用密碼歷經(jīng)20余年的發(fā)展�,如今已廣泛應(yīng)用于千行百業(yè)�。在新版商密管理?xiàng)l例帶來結(jié)構(gòu)化重塑的今天,威廉希尔公司作為密碼供給方����,希望能與產(chǎn)學(xué)研用側(cè)一道,共同推進(jìn)商用密碼應(yīng)用與創(chuàng)新發(fā)展����,筑牢數(shù)字經(jīng)濟(jì)安全屏障。
熱線
在線
在線
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)