商用密码应用安全性测评机构(简称密评机构)资质建设相关指导性材料包括:
1、《商用密码应用安全性测评机构能力要求》
2、《商用密码应用安全性测评机构能力评审实施细则(试行)》
3、《商用密码应用安全性测评机构管理办法(试行)》
4、《商用密码应用安全性评估管理办法(试行)》
相关政策法规和规范性文件层次关系如下,其中《密码法》是上位法,2023年4月14日审议通过《商用密码管理条例(修订草案)》。
一、密评机构能力自检表
| 类别 | 要求项 | 自检情况(Y/N) |
| 基本情况 | (1)在中华人民共和国境内注册,由国家投资、法人投资或公民投资成立的企事业单位 | |
| (2)产权关系明晰,注册资金 500 万元以上 | ||
| (3)成立年限在 2 年以上,从事信息系统安全相关工作 1 年以上,无违法记录 | ||
| 人员情况 | (1)配备测评技术负责人与质量负责人各1人,应熟悉信息系统密码应用安全性测评业务,从事商用密码或质量管理相关工作5年以上 | |
| (2)测评人员应为签订正式合同的员工,具有本科及以上学历和密码相关经验,且通过“密码应用安全性测评人员考核”的测评人员不少于10人 | ||
| (3)测评人员的审核以通过培训考核的测评人员名单为依据 | ||
| 测评实验室 | (1)工作场所不小于200平米,配有必要的防污染、防火、控制进入等安全措施 | |
| (2)对相关区域进行隔离(包括空间隔离、电磁场隔离等),采取措施消除影响 | ||
| 仪器设备 | (1)具备符合相关要求的机房及必要的软硬件设备,以满足技术培训、测评验证和模拟测试的需要(如密码相关标准符合性分析工具、网络数据分析工具、网络协议分析仪),对于国家密码管理部门认可的专用测评工具,或测评结构自己研发的测评工具应保证是最新版本或进行验证、校准 | |
| (2)具备完备的设备和工具管理制度 | ||
| (3)仪器设备具有完整的操作、维护规程,仪器设备使用说明书、校准报告、使用记录、定期维修核查制度和记录、存放地点及管理人等规范完整 | ||
| 测评实施能力 | (1)具有把握国家密码政策,理解和掌握相关技术标准,熟悉测评方法、流程和工作规范等方面知识及能力的测评人员,测评人员应能够依据测评结果做出专业判断及出具测评报告等 | |
| (2)具备密码应用安全性技术测评实施能力,包括身份鉴别、访问控制、数据安全、密钥管理、安全审计等方面作业指导书开发、使用、维护机获取相关结果的专业能力 | ||
| (3)具备密码应用安全性管理测评实施能力,包括人员、制度、实施、应急等方面测评指导书的开发、使用、维护及获取相关结果的专业判断 | ||
| (4)具备系统整体测评能力,能根据单位测评的结果记录部分、结果汇总部分和问题分析部分、进行综合分析、给出测评结论 | ||
| (5)具备搭建密码应用模拟系统的能力,以展示技术测评实施能力、管理测评实施能力和详细测评工作流程(证明密评能力的重要手段) | ||
| (6)依据测评工作流程,有计划有步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制(四个阶段:测评准备阶段、方案编制阶段、现场测评阶段和报告编制阶段) | ||
| 质量管理能力 | (1)建立质量管理体系,制定相应的质量目标,指定质量主管,并明确其管理职责 | |
| (2)根据国家有关保密规定制定保密管理制度,明确保密范围、保密职责及有关罚则等内容,定期对工作人员进行保密教育,防止发生泄露国家秘密、商业秘密、敏感信息和个人隐私的事件,测评人员应签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任 | ||
| (3)制定测评项目管理程序,主要应包括测评工作的组织形式、工作职责、测评各阶段的工作内容和管理要求等 | ||
| (4)保证管理系统的有效运行,持续改进自身的测评质量和管理水平,发现问题及时反馈并采取纠正措施,确保其有效性 | ||
| (5)制定投诉及争议处理制度,严格遵守制度并记录采取的措施 | ||
| 风险控制能力 | (1)充分估计测评过程可能给被测系统带来的风险(测评活动、测评设备和工具接入、测评活动残留数据的保护和清理、重要信息泄露) | |
| (2)针对以上风险制定规避和控制措施 |
二、密评机构能力评审程序
由国家秘密管理局组成评审专家组,组织专家评审,评审程序分为三个阶段。
| 阶段 | 评审内容 |
| 材料核查 | 专家组对申请单位提交的材料进行审查。申请材料包括: (1)《商用密码应用安全性测评机构申请表》 (2)从事与商用密码相关工作情况的说明 (3)开展测评工作所需软硬件及其他服务保障设施配备情况 (4)管理制度建设情况(需要提供相关制度的文本文件) (5)申请单位及其测评人员基本情况(需要提供人员的基本信息) (6)申请单位认为有必要提交的其他材料 (7)《商用密码应用安全性测评机构能力评估申请表》 |
| 现场评审 | 专家组前往申请单位,采取查看、问询、模拟考试、问卷考试等形式,对照《商用密码应用安全新评估测评机构能力要求》对机构进行评审(即上面密评机构能力自检表中的7项),并对照《商业密码应用安全性测评结构能力评审专家评分表》逐项打分。 |
| 综合评议 | 专家组组长召开会议,综合材料审查和现场评审情况进行研讨和评议。汇总专家评审情况,填写《商用密码应用安全性测评机构能力评审汇总表》,提交国家密码管理局。另增加实际测评能力仿真评价环节,确保申请机构有实战经验,而且能力特别突出。 |
三、密评机构申请流程
| 步骤 | 具体工作 |
| (1)机构提交申请材料 | 申请测评机构应提交的材料包括 (1)《商用密码应用安全性测评机构申请表》 (2)从事与商用密码相关工作情况的说明 (3)开展测评工作所需软硬件及其他服务保障设施配备情况 (4)管理制度建设情况(需要提供相关制度的文本文件) (5)申请单位及其测评人员基本情况(需要提供人员的基本信息) (6)申请单位认为有必要提交的其他材料 |
| (2)材料初审 | 国际密码管理局设立申请材料初审工作组,对申请材料进行初审,出具初审结论。初审结论按程序报批后,告知申请单位。 |
| (3)测评人员培训考核 | 通过初审的申请单位,应在60个工作日内参加培训、考核和能力评审。 |
| (4)机构能力评审 | 国家密码管理局设立测评机构能力评审专家组,负责申请单位的能力评审工作,具体就是开展材料审核、现场评审和综合评议。 |
| (5)确定机构名单 | 国家密码管理局组织召开综合评定会,研究形成综合评定结论,确定测评机构名单,并印发试点地区和部门。 |