这是一份针对政务系统密码评估的全流程速查手册。其实这个指南出来的背景很简单,就是为了响应《国家政务信息化项目建设管理办法》里的要求。那本办法第十五条说,要把密码保障系统和项目一起规划、一起建设、一起运行,而且还要定期评估。所以,中国密码学会密评联委会就弄了这本《政务信息系统密码应用与安全性评估工作指南》,国家密码管理局后来也发函了,说不管是不是涉密项目,都可以参考这个指南来搞评估。 这书大概有3万字,分了三章。第一章是把“三同步一评估”拆成规划、建设、运行这三个大阶段,然后把每个阶段里该做的事情清单列出来,让项目建设单位、使用单位和密评机构都知道自己该干啥。第二章就详细讲了怎么按GM/T 0054这个标准来落实物理、网络、计算、数据、密钥和管理这些层面的密码措施。单位可以直接拿模板来填,想用哪些就选哪些。第三章主要从质量管理角度出发,要求项目建设单位、系统集成单位和密评机构都要按规矩办事,确保评估的质量不打折。 附录部分也很贴心。附录1有个密码应用方案的模板,你只要填填空就能用;附录2是国家标准和行业标准的目录;附录3还专门挑了电子公文这事儿给新手演示怎么写“瘦身版”方案,看着图走就行。那张流程图把“三同步一评估”整个过程画得明明白白,建议大家直接收藏了备用。 到了规划阶段,项目建设单位得先把风险分析和等级确定了。第一件事是盘点系统资产和业务风险;第二件事是对照那个标准写个密码应用方案;第三件事是去国家密码管理局公布的名录里找家机构出具报告,这报告可是立项的必备材料。接着还要同步推进选型和备案工作,方案通过了就能买设备招标了;同时别忘了把机构信息报给管理部门备案,免得以后麻烦。 建设阶段的重点是验收的时候一票否决没通过评估的项目。系统集成单位必须严格按照通过密评的方案来施工,不能擅自删减模块;要是因为业务变动要改方案得重新找机构确认。密码保障系统做完了还得先自检再请机构来测评;整体联调通过密评才能验收;要是没通过就必须整改完再复评,否则就没法通过验收。 运行阶段就是要把年度体检变成习惯。第三级及以上的系统每年都得测评一次;第二级的系统两年测一次;这还能跟关键信息基础设施检测这些一起搞,省得重复花钱。要是法律法规或者业务场景变了也得及时改方案再测评。 质量保障这一块有三条铁律必须遵守。项目单位要负责规划方案的备案和运行中的值守应急机制;系统集成单位要准备好组织架构图这些“五图一书”外加承诺书;密评机构得拿着“七把尺子”去量体系完整不完整、控制有效没效、问题改没改等等,要是有一项不合格就得打回去重做。 最后小结一下就是这么几个节点:规划定级→方案密评→建设测评→验收上线→运行年评,环环相扣;那六个层面的措施可以直接复制粘贴;三方的责任也很清楚;质量红线是不能碰的。把这份指南打印出来贴在墙上吧,下次检查就不用临时抱佛脚了。