工业和信息化部 国家密码管理局
关于征集工业和信息化领域商用密码
典型应用方案的通知
工信部联办函〔2022〕216号
各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市密码管理局、通信管理局,有关中央企业:
为全面落实《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》,深入推进工业和信息化领域商用密码应用,推动商用密码产业高质量发展,现组织开展工业和信息化领域典型应用方案征集工作。有关事项通知如下:
一、征集方向
本次征集的典型应用方案,包括典型建设方案(在建项目)和典型解决方案(建成项目)。征集方向如下:
(一)面向通信基础设施的密码应用,包括但不限于基础信息网络、第五代移动通信(5G)、下一代互联网(IPv6),以及电信和互联网设备等的密码应用和解决方案。
(二)面向智能装备与控制系统的密码应用,包括但不限于智能船舶、智能网联汽车、数控系统、工控系统等的密码应用和解决方案。
(三)面向网络应用与服务的密码应用,包括但不限于网络实体鉴别、网络域名、智能终端中个人信息和数字资产保护等的密码应用和解决方案。
(四)面向新技术新应用的密码应用,包括但不限于工业互联网、大数据、云计算、区块链、人工智能等新技术新应用中的密码应用和解决方案。
(五)面向基础软硬件的密码应用,包括但不限于通用处理器、操作系统、工业软件等基础软硬件产品中的密码应用和解决方案。
(六)其他工业和信息化领域的商用密码应用和解决方案。
二、申报条件
(一)典型建设方案
1.申报主体为工业和信息化领域商用密码应用单位,以及提供商用密码技术、产品和服务的企事业单位等。相关单位可以组成联合体申报,申报单位应在中华人民共和国境内注册、具备独立法人资格,无行政处罚或企业失信行为等不良记录。
2.建设方案应充分突出申报方向的密码应用特性,具有较强的先进性、创新性,以及较高的可行性、适用性,并通过申报主体所在地省级密码主管部门认可。
(二)典型解决方案
1.申报主体为工业和信息化领域商用密码应用单位,可与提供商用密码技术、产品和服务的企事业单位等组成联合体。申报单位应在中华人民共和国境内注册、具备独立法人资格,无行政处罚或企业失信行为等不良记录。
2.解决方案应充分突出申报方向的密码应用特性,具备技术先进、可复制、可推广等特点,具有良好的应用效果,通过商用密码应用安全性评估并在属地省级密码管理部门完成备案(或解决方案经申报主体所在地省级密码主管部门认可)。
三、申报要求
(一)推荐工作遵循政府引导、企业自愿原则。各地工业和信息化主管部门、通信主管部门、密码主管部门,各中央企业负责组织征集推荐。各地工业和信息化主管部门、密码管理局、通信管理局(以下统称主管部门)分别推荐方案不超过5个(其中建设方案不超过2个),各中央企业推荐方案不超过3个(其中建设方案不超过1个)。推荐方案须按优先级顺序进行排列。
(二)申报主体根据申报类型填写《工业和信息化领域商用密码典型建设方案申报书》(附件1)或《工业和信息化领域商用密码典型解决方案申报书》(附件2)。已通过商用密码应用安全性评估并在属地省级密码管理局完成备案的,可直接向所在地主管部门或所属中央企业申报;尚未通过商用密码应用安全性评估的须由所在地省级密码主管部门审核认可后再进行申报。
(三)申报材料要言简意赅、重点突出、表述准确、逻辑严密,不涉及国家秘密及敏感信息。申报主体最多牵头申报3个方案,同一方向申报最多1个。
(四)各地主管部门、中央企业于10月31日前将汇总表(附件3)和申报书纸质版一式两份寄送至工业和信息化部商用密码应用产业促进联盟秘书处(北京市东城区安定门东大街1号,联系人:孙淑娴 010-64102740蔡一鸣 010-64102741)。同时,将附件1-3电子版发送至msc@miitccpa.org.cn。
(五)工业和信息化部、国家密码管理局将组织专家联合评审,按程序对外公布,并纳入工业和信息化部商用密码典型应用解决方案库。
四、联系方式
工业和信息化部:张梵锡 010-68205033
国家密码管理局:王 兵 010-59703637
附件:
1.工业和信息化领域商用密码典型建设方案申报书.docx
2.工业和信息化领域商用密码典型解决方案申报书.docx
3.工业和信息化领域商用密码典型应用方案推荐汇总表.docx
工业和信息化部 国家密码管理局
2022年9月28日
来源:工业和信息化部国家密码管理局
点击“阅读原文”下载附件
+
网安检测公司主营业务介绍
商用密码应用安全性评估服务:对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。
ISO27001体系建设咨询服务:基于ISO/IEC27001体系框架和标准,帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系,并协助通过ISO 27001认证。
网络安全等级保护测评服务:依据公安部关于网络安全等级保护的有关法律法规和要求,对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测,全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,出具《网络安全等级保护测评报告》。
信息系统审计服务:依据国家法律法规和行业监管,客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现,为高级管理层实施治理决策提供重要依据,满足监管合规要求。
ICP/EDI评测服务:包含符合性评测与风险评估。符合性评测根据相关规范的要求,针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测,查找差距,提出整改建议,促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估,评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性,指导用户方的信息安全保障建设,促进用户方安全管理水平和安全技术保护能力的提高,增强用户方的信息安全风险管理意识,降低用户方信息系统安全风险,确保信息系统的安全稳定运行。
APP个人信息安全合规评估服务:在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,确保APP个人信息保护满足监管要求。
信息安全风险评估服务:立足于全局观角度,根据行业与业务特点、信息系统生命周期过程,并融合多项安全标准规范,开展安全风险识别和安全能力评估,识别信息安全隐患、威胁以及所形成的安全风险,提出整改和优化建议,全面提高安全管理水平并落实监管要求。
安证云第三方电子数据保全服务:提供面向重点行业(政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等)行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务,加强数据的属地化管理,帮助客户一站式解决诉讼前和诉讼中的“取证难,举证难,出证难”等问题。
安全培训:提供CISP攻防领域渗透测试⽅向PTE/PTS(注册信息专业⼈员渗透测试⼯程师/专家),应急响应⽅向IRE/IRS(注册信息安全专业⼈员应急响应⼯程师/专家)等培训服务。
