商用密码应用安全性测评机构资质流程

商用密码应用安全性测评机构(简称密评机构)资质建设相关指导性材料包括:
1、《商用密码应用安全性测评机构能力要求》
2、《商用密码应用安全性测评机构能力评审实施细则(试行)》
3、《商用密码应用安全性测评机构管理办法(试行)》
4、《商用密码应用安全性评估管理办法(试行)》
相关政策法规和规范性文件层次关系如下 , 其中《密码法》是上位法 , 2023年4月14日审议通过《商用密码管理条例(修订草案)》 。
一、密评机构能力自检表
类别
要求项
自检情况(Y/N)
基本情况
(1)在中华人民共和国境内注册 , 由国家投资、法人投资或公民投资成立的企事业单位
(2)产权关系明晰 , 注册资金 500 万元以上
(3)成立年限在 2 年以上 , 从事信息系统安全相关工作 1 年以上 , 无违法记录
人员情况
(1)配备测评技术负责人与质量负责人各1人 , 应熟悉信息系统密码应用安全性测评业务 , 从事商用密码或质量管理相关工作5年以上
(2)测评人员应为签订正式合同的员工 , 具有本科及以上学历和密码相关经验 , 且通过“密码应用安全性测评人员考核”的测评人员不少于10人
(3)测评人员的审核以通过培训考核的测评人员名单为依据
测评实验室
(1)工作场所不小于200平米 , 配有必要的防污染、防火、控制进入等安全措施
(2)对相关区域进行隔离(包括空间隔离、电磁场隔离等) , 采取措施消除影响
仪器设备
【商用密码应用安全性测评机构资质流程】(1)具备符合相关要求的机房及必要的软硬件设备 , 以满足技术培训、测评验证和模拟测试的需要(如密码相关标准符合性分析工具、网络数据分析工具、网络协议分析仪) , 对于国家密码管理部门认可的专用测评工具 , 或测评结构自己研发的测评工具应保证是最新版本或进行验证、校准
(2)具备完备的设备和工具管理制度
(3)仪器设备具有完整的操作、维护规程 , 仪器设备使用说明书、校准报告、使用记录、定期维修核查制度和记录、存放地点及管理人等规范完整

商用密码应用安全性测评机构资质流程

文章插图
测评实施能力
(1)具有把握国家密码政策 , 理解和掌握相关技术标准 , 熟悉测评方法、流程和工作规范等方面知识及能力的测评人员 , 测评人员应能够依据测评结果做出专业判断及出具测评报告等
(2)具备密码应用安全性技术测评实施能力 , 包括身份鉴别、访问控制、数据安全、密钥管理、安全审计等方面作业指导书开发、使用、维护机获取相关结果的专业能力
(3)具备密码应用安全性管理测评实施能力 , 包括人员、制度、实施、应急等方面测评指导书的开发、使用、维护及获取相关结果的专业判断
(4)具备系统整体测评能力 , 能根据单位测评的结果记录部分、结果汇总部分和问题分析部分、进行综合分析、给出测评结论
(5)具备搭建密码应用模拟系统的能力 , 以展示技术测评实施能力、管理测评实施能力和详细测评工作流程(证明密评能力的重要手段)
(6)依据测评工作流程 , 有计划有步骤地开展测评工作 , 并保证测评活动的每个环节都得到有效的控制(四个阶段:测评准备阶段、方案编制阶段、现场测评阶段和报告编制阶段)