密评是什么单位发起的?密评资质单位有哪些要求?软件密评(软件密级评审)应运而生，作为评估软件安全性、合规性和保密性的关键手段，已逐渐成为行业规范和法律要求的重要组成部分。接下来就让小编来跟大家详细介绍一下。

　　一、软件密评的发起单位

　　软件密评(也称为软件密级评审)的目的是对软件进行安全性、合规性及保密性等方面的评估，确保软件在设计、开发和使用过程中符合相关的法律法规和行业标准。密评通常由具有相关资质的政府部门、行业监管机构或委托单位发起。

　　1. 国家信息安全管理部门

　　在中国，国家密码管理局(属于国家密码管理局办公室)是进行软件密评的重要发起单位之一。该机构负责管理、监督和推动与密码相关的技术和应用，尤其是涉及国家安全的敏感信息系统。

　　国家密码管理局：负责对涉及国家安全的应用软件进行密评，尤其是与数据加密、信息安全、军事防护等相关的软件。此类软件通常需要经过严格的密评程序，确保其不含有任何可能导致数据泄露或安全威胁的漏洞。

　　2. 行业监管部门

　　除了国家层面的密码管理局，各行业监管部门也会参与发起软件密评。不同的行业如金融、通信、医疗、政府采购等领域，都有专门的监管机构，负责对软件进行密级评审，确保其符合行业特定的安全要求。

　　国家信息化办公室：在中国，涉及政府数据、电子政务等领域的软件，通常由国家信息化办公室或其下属单位发起密评。

　　金融监管机构：例如，中国人民银行、银保监会等机构负责对金融系统中的软件进行密评，确保金融数据的安全性。

　　通信管理局：如工信部，监管通信软件，确保通信软件满足保密、安全性和合规性标准。

　　3. 其他权威评审机构

　　一些专业的评审机构或认证机构在特定情况下，也会参与软件密评的工作，尤其是在软件开发企业或组织未能自行完成评审时，相关机构会受政府或企业委托，进行相关的评审工作。

　　二、软件密评资质单位的要求

　　软件密评的执行过程要求具备一定资质的单位和人员进行参与，以确保评审结果的公正性和权威性。以下是关于软件密评资质单位的要求的详细分析：

　　1. 资质单位的法律基础与权限

　　软件密评单位需要具备相关的法律基础和认证资格，能够依法对涉及国家安全、社会公共利益的软件进行评审。这些单位通常需要具备如下法律基础和资质：

　　信息安全等级保护资质：该资质是软件密评单位的基础要求之一。根据《网络安全法》和信息安全等级保护管理办法，具备等级保护资质的单位才有资格对涉及信息安全的软件进行评审。

　　ISO认证：国际上许多软件密评工作都要求评审单位具备ISO/IEC 27001等国际信息安全管理体系认证，以确保评审标准和过程符合国际要求。

　　密码产品安全认证：针对涉及数据加密和密码保护的应用软件，密评单位需要获得由国家密码管理局或类似部门授予的密码产品安全认证资质。

　　2. 专业人员要求

　　进行软件密评的单位需具备一定数量的专业人员，尤其是具有信息安全、计算机科学、密码学等相关领域的知识和经验的评审人员。这些人员的基本要求包括：

　　高学历：大多数密评单位要求评审人员至少具备硕士及以上学历，并具有计算机、信息安全、网络安全、密码学等专业背景。

　　丰富的实践经验：评审人员通常需要有3-5年以上的信息安全、软件开发或安全评审相关工作经验，并通过相关的专业认证，如CISSP(Certified Information Systems Security Professional)等。

　　相关行业认证：部分密评单位要求其人员具备特定的行业认证，如CISA(Certified Information Systems Auditor)、CISM(Certified Information Security Manager)等，以确保其具备独立、公正的评审能力。

　　3. 技术设施要求

　　软件密评单位不仅要有专业的人员，还要具备完善的技术设施，以支撑评审工作的顺利进行。包括：

　　评审实验室与硬件设施：单位需具备能够进行软件安全性、合规性评估的硬件设备，如高性能服务器、工作站以及专门的安全测试设备。

　　安全测试平台：包括漏洞扫描、渗透测试、代码审计等工具，帮助评审人员对软件的安全性进行全面的测试。

　　4. 独立性与公正性

　　评审单位的独立性和公正性是密评工作顺利进行的前提。根据中国国家信息化部、密码管理局等部门的要求，评审单位需要具备独立评审资质，不得涉及利益冲突，确保评审结果的客观性和公正性。

　　5. 经验积累与行业影响力

　　经验丰富、在业内具有一定影响力的评审单位会被优先考虑。这些单位通常已在行业内积累了丰富的评审经验和行业口碑，能够更好地处理复杂的评审任务，尤其是对于涉及跨行业、跨领域的软件评审。

　　软件密评是保障信息安全、保密性以及合规性的关键环节，其发起单位通常包括政府相关部门、行业监管机构以及部分委托单位。与此同时，进行软件密评的单位必须具备一定的法律资质、专业人员资格、技术设施以及公正独立性。这些要求确保了评审过程的公正性和专业性，从而能够有效保障软件在实际使用中的安全性和可靠性。