商用暗号化アプリケーションのセキュリティ評価機関 (秘密評価機関と呼ばれる) の資格構築に関連するガイド資料には、次のものが含まれます。
1.「商用暗号アプリケーションセキュリティ評価機関の能力要件」
2.「商用暗号アプリケーションセキュリティ評価機関の能力審査実施規則(試行)」
3.「商用暗号アプリケーション安全性評価機関に対する行政措置(試行)」
4.「商用暗号アプリケーションの安全性評価に関する行政措置(試行)」
関連する政策、規制、規範文書の上下関係は以下のとおりであり、このうち「暗号法」が上位法となり、4月14日に「商業暗号管理規則(改正案)」が検討・承認されました。 、2023年。
1. 秘密評価機関の能力自己点検票
| カテゴリー | 要件 | セルフテストのステータス (Y/N) |
| 基本的な状況 | (1)中華人民共和国の領域内に登録され、国家投資、法人投資または国民投資によって設立された企業および機関 | |
| (2) 財産権関係が明確であり、登録資本金が500万元以上であること | ||
| (3) 設立して2年以上、情報システムセキュリティに関する業務に1年以上従事し、違法な経歴がないこと。 | ||
| 職員 | (1) 評価技術担当者と品質担当者をそれぞれ1名ずつ配置し、情報システムパスワードアプリケーションの安全性評価業務に精通し、商用暗号化や品質管理関連業務に年以上従事していること。 5年 | |
| (2) 評価者は、正式な契約を締結し、学士以上の学位を取得し、パスワード関連の経験を有する社員とし、「パスワードアプリケーションセキュリティ評価者評価」に合格した評価者10名以上とする。 | ||
| (3) テスターの審査は、トレーニングと評価に合格したテスターのリストに基づいて行われます。 | ||
| 評価ラボ | (1) 作業場は200平方メートル以上で、公害防止、防火、立入管理等必要な安全対策を講じていること。 | |
| (2) 関係箇所を隔離(空間隔離、電磁界隔離等を含む)し、影響を排除する措置を講じます。 | ||
| 装置 | (1) 関連要件を満たすコンピュータ室と、技術トレーニング、評価と検証、およびシミュレーションテストのニーズを満たすために必要なハードウェアおよびソフトウェア機器(パスワード関連の標準準拠分析ツール、ネットワークデータ分析ツール、国家暗号化管理部門が承認した特別な評価ツール、または評価機関自身が開発した評価ツールは、最新バージョンであるか、検証および校正されたものであることが保証される必要があります。 | |
| (2) 完全な設備と工具の管理システムを備えている | ||
| (3) 機器および装置の操作および保守手順が完全であり、機器および装置の取扱説明書、校正報告書、使用記録、定期保守点検の体制および記録、保管場所および管理者の仕様が完全であること。 | ||
| 実装能力の評価 | (1)評価者は、国の暗号化政策を把握し、関連する技術基準を理解し習得し、評価方法、手順、作業仕様に精通した知識と能力を有し、専門的な判断を下し、評価報告書を発行できること。評価結果など | |
| (2) 関連する結果を得るために ID 認証、アクセス制御、データ セキュリティ、キー管理、セキュリティ監査に関する作業指示を開発、使用、維持する専門的能力を含む、暗号アプリケーション セキュリティ技術評価を実装する能力を有する | ||
| (3)暗号アプリケーションのセキュリティ管理評価を実施する能力を有する。これには、人材、システム、実装、および緊急対応に関する評価ガイドの開発、使用、保守、および関連する結果を得るための専門的判断が含まれる。 | ||
| (4)システムの総合評価能力を有し、単体評価結果記録部、結果要約部、問題分析部に応じて総合的に分析し、評価結論を下すことができる。 | ||
| (5) 技術評価、経営評価、詳細評価ワークフローの実施能力を証明するためのパスワード適用シミュレーションシステムを構築できる(秘密評価の能力を証明する重要な手段) | ||
| (6) 評価ワークフローに従って計画的かつ段階的に評価作業を実施し、評価活動の各リンク(評価準備段階、プログラム準備段階、評価開始段階の 4 つの段階)が効果的に管理されていることを確認します。現場評価段階と報告書作成段階) | ||
| 品質管理能力 | (1)品質マネジメントシステムを確立し、それに対応する品質目標を策定し、品質責任者を任命し、その管理責任を明確にします。 | |
| (2)国家機密規定に基づき機密管理体制を構築し、機密保持の範囲、機密保持責任および関連罰則等を明確にし、職員に対する機密保持教育を定期的に実施し、国家機密、商業機密の漏洩事件を防止する。機密情報と個人のプライバシーについては、テスターはセキュリティと機密保持の義務と法的責任を規定した「機密保持責任書」に署名する必要があります。 | ||
| (3)評価業務の組織形態、職務責任、業務内容、評価の各段階の管理要件などを中心とした評価プロジェクト管理手順を策定する。 | ||
| (4)マネジメントシステムの有効な運用を保証し、自らの評価品質と管理レベルを継続的に改善し、タイムリーなフィードバックと是正措置を講じて有効性を確保します。 | ||
| (5)苦情、これを遵守し、講じた措置を記録する | ||
| リスクコントロール能力 | (1) 評価プロセスがテスト対象システムにもたらす可能性のあるリスク(評価活動、評価機器やツールへのアクセス、評価活動で残存するデータの保護とクリーンアップ、重要情報の漏洩)を十分に推定します。 | |
| (2) 上記リスクの回避・抑制策の策定 |
2. 秘密評価機関の能力評価手順
国家機密局は評価専門家グループを組織し、専門家による評価を組織するものとし、評価プロセスは三段階に分けられる。
| ステージ | レビュー内容 |
| 材質検証 | 専門家グループは申請者部門から提出された資料を審査します。申請書類には次のものが含まれます。 (1) 「商用暗号アプリケーション安全性評価機関申請書」 (2) 商用暗号化に係る業務の説明 (3) 評価作業に必要なソフトウェア、ハードウェア、その他のサービスサポート設備の利用可能性 (4) 管理システムの構築(関連システムのテキスト文書の提供が必要) (5) 申請部隊及びその評価担当者の基本情報(担当者の基本情報は必須です) (6) その他申請単位が提出が必要と判断した資料 (7) 「商用暗号アプリケーションセキュリティ評価機関の能力評価申請書」 |
| 現場レビュー | 专家组前往申请单位,采取查看、问询、模拟考试、问卷考试等形式,对照《商用密码应用安全新评估测评机构能力要求》对机构进行评审(即上面密评机构能力自检表中的7项),并对照《商业密码应用安全性测评结构能力评审专家评分表》逐项打分。 |
| 综合评议 | 专家组组长召开会议,综合材料审查和现场评审情况进行研讨和评议。汇总专家评审情况,填写《商用密码应用安全性测评机构能力评审汇总表》,提交国家密码管理局。另增加实际测评能力仿真评价环节,确保申请机构有实战经验,而且能力特别突出。 |
三、密评机构申请流程
| 步骤 | 具体工作 |
| (1)机构提交申请材料 | 申请测评机构应提交的材料包括 (1)《商用密码应用安全性测评机构申请表》 (2)从事与商用密码相关工作情况的说明 (3)开展测评工作所需软硬件及其他服务保障设施配备情况 (4)管理制度建设情况(需要提供相关制度的文本文件) (5)申请单位及其测评人员基本情况(需要提供人员的基本信息) (6)申请单位认为有必要提交的其他材料 |
| (2)材料初审 | 国际密码管理局设立申请材料初审工作组,对申请材料进行初审,出具初审结论。初审结论按程序报批后,告知申请单位。 |
| (3)测评人员培训考核 | 通过初审的申请单位,应在60个工作日内参加培训、考核和能力评审。 |
| (4)机构能力评审 | 国家密码管理局设立测评机构能力评审专家组,负责申请单位的能力评审工作,具体就是开展材料审核、现场评审和综合评议。 |
| (5)确定机构名单 | 国家密码管理局组织召开综合评定会,研究形成综合评定结论,确定测评机构名单,并印发试点地区和部门。 |