国家密码管理局给各地发了个信,说以后搞非涉密的政务项目,可以参考中国密码学会密评联委会编的这本《政务信息系统密码应用与安全性评估工作指南》(2020版)。为啥出这本指南呢?其实是《国家政务信息化项目建设管理办法》规定的,搞信息化项目得“同步规划、同步建设、同步运行密码保障系统并定期评估”。 这本指南很厚,差不多3万字,分成了三章。第一章就是把“三同步一评估”的事儿给拆开讲,明确了建设单位、使用单位、密评机构这些人到底该干什么活。第二章是参考了GM/T 0054标准,从物理、网络这些层面给出了密码应用的建议模板,大家照着勾选就行。第三章是从质量管理上抓,对项目单位、集成单位和密评机构提了不少过程控制和整改闭环的要求。附录还挺实用,给了方案模板、标准目录和操作场景案例。 现在咱们分阶段来讲规划阶段。这时候得先把密码方案变成硬门槛。项目建设单位得先盘点资产和风险,搞个《安全风险清单》。然后对照标准和系统定级结果,写个密码应用方案。还得去国家密码管理局公布的“密评试点机构名录”里挑一家机构来出具密评报告,这个报告是项目立项必须要的东西。方案过了以后,采购和招标就能开始了。 这时候还有两件事得同步推进。一件是把密评机构的名字、评估范围和时间节点报给密码管理部门备案。另一件是开展密码产品的采购和集成招标。这样做是为了防止后面因为机构变了或者时间改了导致返工。 到了建设阶段就把通过密评作为验收的一票否决项。系统集成单位必须严格按方案施工,不能随便把密码模块删掉。如果业务有调整要变方案,必须重新找密评机构确认过才行。 工程完工后要先自检,再请密评机构来现场测评。只有系统整体联调通过了密评,才能进入项目验收环节。要是没通过必须在规定时间内整改并复评,不然验收就没门儿了。 运行阶段就是把“年度体检”变成常态。第三级及以上的系统每年都得测一次。可以和关键信息基础设施的检测评估或者等级测评一起做,省得重复花钱。 一旦法律法规、技术标准或者业务场景有了大变化,使用单位就得及时修订密码应用方案并重新测评。 最后就是质量保障方面的三条铁律。项目单位在规划阶段要输出完整方案并备案;在运行阶段要建立值守和应急响应机制。系统集成单位得准备好“五图一书”(组织架构图、任务分解图等等),还得签承诺书。 密评机构得拿七把尺子量一量:体系完整性、控制有效性这些指标。只要有一把尺子不合格就打回重做。 总结一下就是这五个节点环环相扣:规划定级→方案密评→建设测评→验收上线→运行年评。六大层面的措施也很具体,三方的责任也很清晰。 把这份指南打印出来贴墙上吧,下次检查就不用再抓瞎了。