干货|一张图看懂政务信息系统密评全过程

根据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法(试行)》等相关要求,政务信息系统在规划阶段、建设阶段和运行阶段均须开展商用密码应用安全性评估(以下简称“密评”)。

项目建设单位在项目各阶段如何开展密评?具体包含哪些工作?密评机构工信部电子五所,以广东省相关密评项目经验为例,从“项目建设单位”的角度出发,对政务信息系统密评全过程进行详细梳理,并总结了密评工作中的注意事项,为项目建设单位开展密评工作提供相应参考。

图解版

文字版

项目规划阶段

01、开始立项

项目建设单位开始筹备立项材料。

02、编制密码应用方案

项目建设单位(如广东省XX厅)组织相关单位编制密码应用方案,建议选择有密码方案编制经验的单位。

密码应用方案设计内容须与立项方案建设内容保持一致,确保后期建设可落地。

立项方案中需预留密码应用建设与密评经费,否则建设阶段工作无法开展。

03、委托密评机构开展方案评估

密码应用方案编制完成后,项目建设单位应委托密评机构(如工信部电子五所)开展方案评估。

通常情况方案将进行多轮评估修改,整个方案评估周期一般为2—4周,具体时间主要取决于方案编制质量与修改情况。

方案经过多轮修改通过评估后,密评机构将出具《密码应用方案评估报告》。

04、报密码管理部门审核

项目建设单位将通过评估的密码应用方案与密评机构出具的《密码应用方案评估报告》报送至密码管理部门(如广东省密码管理局)审核。

05、提交立项申报

项目获得批复后,进入项目建设阶段。

项目建设阶段

01、项目开始建设

项目建设单位需严格按照立项时通过评估的《密码应用方案》进行相应建设,否则项目验收时将无法通过系统评估。

02、委托密评机构开展系统评估

单次评估周期一般在1个月内

若首次评估未通过,则密评机构将出具《整改建议》,项目建设单位需对系统进行相应整改

评估通过后,密评机构将出具《密码应用安全性评估报告》

03、报密码管理部门审核

项目建设单位将通过评估的密码应用方案与密评机构出具的系统《密码应用安全性评估报告》报送至密码管理部门审核。

04、组织验收

项目验收通过后,进入项目运行阶段。

项目运行阶段

需定期开展密评,提前预留系统密评经费。

系统发生密码相关重大安全事件、重大调整或特殊情况时需及时组织评估。

注:

本文密评流程梳理参考广东省以下政策文件,其他省份密评流程以当地政策为准:

《广东省省级政务信息化项目管理办法》

《广东省省级政务信息化项目商用密码应用工作指引》

《广东省省级政务信息化服务项目立项审批细则》

《广东省省级政务信息化服务项目验收前符合性审查细则》

标签: