一、為什么要做商用密碼應(yīng)用安全性評估？

商用密碼應(yīng)用安全性評估（簡稱“密評”）是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對其密碼應(yīng)用的合規(guī)性、正確性、有效性等進行評估。

當前，國際國內(nèi)網(wǎng)絡(luò)空間安全形勢嚴峻，安全事件層出不窮，網(wǎng)絡(luò)空間正在加速演變?yōu)楦鲊鵂幭鄵寠Z的新疆域、戰(zhàn)略威懾與控制的新領(lǐng)域、意識形態(tài)斗爭的新平臺、維護經(jīng)濟社會穩(wěn)定的新陣地、未來軍事角逐的新戰(zhàn)場。

對于我們國內(nèi)來說，核心技術(shù)受制于人的局面沒有得到根本性改變，對于關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護能力依然很弱，信息產(chǎn)品也存在巨大的安全隱患，基于以上，將商用密碼應(yīng)用與新技術(shù)深度融合，在維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益中將發(fā)揮不可替代的作用。然而我國商用密碼應(yīng)用目前不廣泛，不規(guī)范，大量系統(tǒng)依舊在使用已經(jīng)被警示的密碼算法，極不安全。

基于目前的嚴重情況，《中華人民共和國密碼法》于2020年1月1日起實施，《密碼法》第二十七條規(guī)定，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵基礎(chǔ)設(shè)施，其運營者應(yīng)當使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。

《中華人民共和國網(wǎng)絡(luò)安全法》也指出，網(wǎng)絡(luò)運營者應(yīng)當履行網(wǎng)絡(luò)安全保護義務(wù)，并明確在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護。采取技術(shù)措施和其他必要措施，維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

《商用密碼應(yīng)用安全性評估管理辦法（試行）》第三條和第二十條也分別指出涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡稱責任單位）應(yīng)當健全密碼保障體系，實施商用密碼應(yīng)用安全性評估。

重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)。

二、哪些重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)需要做密評？

基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)；

重要信息系統(tǒng)：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、教育、公安、住建、工商、社保、衛(wèi)生計生、測繪地理信息等涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)；

重要工業(yè)控制系統(tǒng)：核設(shè)施、航空航天、智能制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。

面向社會服務(wù)的政務(wù)信息系統(tǒng)：黨政機關(guān)和使用財政性資金的事業(yè)單位、團體組織使用的面向社會服務(wù)的信息系統(tǒng)。

三、繼《密碼法》2020年1月施行以來，都有哪些地方出臺了針對密碼應(yīng)用的法規(guī)條例以指導(dǎo)各地相關(guān)部門執(zhí)行？

• 2019年12月30日 國務(wù)院辦公廳印發(fā)《國家政務(wù)信息化項目建設(shè)管理辦法》 

• 2020年4月 廣東省印發(fā)《廣東省政務(wù)信息化項目建設(shè)管理辦法》 

• 2020年4月12日 河北省印發(fā)《河北省省級政務(wù)信息化項目建設(shè)管理辦法》 

• 2020年8月26日 河南省印發(fā)《河南省政務(wù)云管理辦法》 

• 2020年9月25日 江西省人民政府辦公廳印發(fā)《江西省政務(wù)信息化項目建設(shè)管理辦法》 

• 2020年9月 吉林省印發(fā)《吉林省政務(wù)信息化項目建設(shè)管理辦法》 

• 2020年12月9日 中國密碼學會密評聯(lián)委會組織編制了《信息系統(tǒng)密碼應(yīng)用測評要求》等5項指導(dǎo)性文件 

• 2021年3月17號 海南六部門聯(lián)合發(fā)布《關(guān)于進一步明確省政務(wù)信息化項目密碼應(yīng)用有關(guān)要求的通知》 

• 2021年3月30日 廣西省印發(fā)《廣西政務(wù)信息化項目建設(shè)管理辦法》 

• 國家市場監(jiān)管總局、國家標準化管理委員會發(fā)布公告,正式發(fā)布國家標準GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》,將于2021年10月1日起實施。

• 安徽省密碼管理局、安徽省財政廳印發(fā)《關(guān)于重要領(lǐng)域信息系統(tǒng)密碼應(yīng)用工作的通知》

• 北京市明確將密碼應(yīng)用建設(shè)過程中的新建項目所需經(jīng)費列入同級政府固定資產(chǎn)投資，升級改造和運行維護經(jīng)費列入同級財政預(yù)算，并對密碼應(yīng)用情況進行事前審查。

• 江蘇省財政廳、省密碼管理局聯(lián)合印發(fā)通知并頒布《江蘇省密碼產(chǎn)品采購管理目錄》

• 天津市委辦公廳、市政府辦公廳聯(lián)合印發(fā)《關(guān)于重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)規(guī)范使用密碼的通知》

• 貴州省委辦公廳、省政府辦公廳印發(fā)《貴州省重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)密碼應(yīng)用審核實施意見》

• 2021年7月，山東省濟南市密碼管理局聯(lián)合各主要單位印發(fā)《關(guān)于加強政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作的通知》

• 2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《中華人民共和國數(shù)據(jù)安全法》，于2021年9月1日起施行。

• 2021年7月3日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》公布，于2021年9月1日起實施。

• 2021年8月20日，第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過《中華人民共和國個人信息保護法》，于2021年11月1日起施行。

• 2021年11月10日，重慶市人民政府辦公廳印發(fā)《重慶市人民政府辦公廳關(guān)于印發(fā)重慶市市級政務(wù)信息化項目管理辦法的通知》。

四、如果不做密評或者密評結(jié)果不合格會有什么影響？

《密碼法》第三十七條第一款規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項目建設(shè)管理辦法》第二十八條第三款規(guī)定：對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設(shè)單位不得新建、改建、擴建政務(wù)信息系統(tǒng)。

《商用密碼應(yīng)用安全性評估管理辦法（試行）》第二章第十條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)，每年至少評估一次。

五、如何進行信息系統(tǒng)密評及密改？

密碼應(yīng)用安全性評估包括兩部分重要內(nèi)容：一是信息系統(tǒng)規(guī)劃階段對密碼應(yīng)用方案的評審和評估；二是信息系統(tǒng)建設(shè)完成后開展的實際測評?？蓞⒖?/span>GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》中的條款為主線，主要從總體要求、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理和安全管理等方面進行評測。由國家密碼管理局批準的專業(yè)測評機構(gòu)進行評測，如剛接觸商密并不熟悉，可委托第三方進行方案設(shè)計，方案完成后需經(jīng)過專家討論或者測評機構(gòu)評審后進行密改。

六、密碼應(yīng)用安全性評估的具體流程是什么？

1、測評準備階段，主要是責任單位信息收集和系統(tǒng)自查，使測評機構(gòu)全面掌握被測系統(tǒng)密碼使用的詳細情況，為測評工作的開展打下基礎(chǔ)。

2、方案編制階段，正確合理確定測評對象、測評邊界、測評指標等內(nèi)容，并依據(jù)技術(shù)標準、規(guī)范編制測評方案、測評結(jié)果記錄表格，測評方案應(yīng)通過技術(shù)評審并有相關(guān)記錄。

3、現(xiàn)場測評階段，嚴格執(zhí)行測評方案中的內(nèi)容和要求。

4、報告編制階段，給出測評結(jié)論，形成測評報告。

七、取得了密評報告后應(yīng)向哪些部門和機構(gòu)進行備案？

根據(jù)現(xiàn)有規(guī)定，責任單位取得報告后，被測單位自行上報主管部門及所在地區(qū)（部門）密碼管理部門備案，測評機構(gòu)上報國家密碼管理局備案，等保三級及以上信息系統(tǒng)，評估報告還需由被測單位上報至所在地區(qū)公安部門備案。