一、為什么要做商用密碼應(yīng)用安全性評(píng)估？

商用密碼應(yīng)用安全性評(píng)估（簡稱“密評(píng)”）是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性、有效性等進(jìn)行評(píng)估。

當(dāng)前，國際國內(nèi)網(wǎng)絡(luò)空間安全形勢嚴(yán)峻，安全事件層出不窮，網(wǎng)絡(luò)空間正在加速演變?yōu)楦鲊鵂幭鄵寠Z的新疆域、戰(zhàn)略威懾與控制的新領(lǐng)域、意識(shí)形態(tài)斗爭的新平臺(tái)、維護(hù)經(jīng)濟(jì)社會(huì)穩(wěn)定的新陣地、未來軍事角逐的新戰(zhàn)場。

對(duì)于我們國內(nèi)來說，核心技術(shù)受制于人的局面沒有得到根本性改變，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力依然很弱，信息產(chǎn)品也存在巨大的安全隱患，基于以上，將商用密碼應(yīng)用與新技術(shù)深度融合，在維護(hù)國家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益中將發(fā)揮不可替代的作用。然而我國商用密碼應(yīng)用目前不廣泛，不規(guī)范，大量系統(tǒng)依舊在使用已經(jīng)被警示的密碼算法，極不安全。

基于目前的嚴(yán)重情況，《中華人民共和國密碼法》于2020年1月1日起實(shí)施，《密碼法》第二十七條規(guī)定，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。

《中華人民共和國網(wǎng)絡(luò)安全法》也指出，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，并明確在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。采取技術(shù)措施和其他必要措施，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第三條和第二十條也分別指出涉及國家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡稱責(zé)任單位）應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。

重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)。

二、哪些重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)需要做密評(píng)？

基礎(chǔ)信息網(wǎng)絡(luò)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)；

重要信息系統(tǒng)：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、教育、公安、住建、工商、社保、衛(wèi)生計(jì)生、測繪地理信息等涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)；

重要工業(yè)控制系統(tǒng)：核設(shè)施、航空航天、智能制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)。

面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)：黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位、團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。

三、繼《密碼法》2020年1月施行以來，都有哪些地方出臺(tái)了針對(duì)密碼應(yīng)用的法規(guī)條例以指導(dǎo)各地相關(guān)部門執(zhí)行？

• 2019年12月30日 國務(wù)院辦公廳印發(fā)《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》 

• 2020年4月 廣東省印發(fā)《廣東省政務(wù)信息化項(xiàng)目建設(shè)管理辦法》 

• 2020年4月12日 河北省印發(fā)《河北省省級(jí)政務(wù)信息化項(xiàng)目建設(shè)管理辦法》 

• 2020年8月26日 河南省印發(fā)《河南省政務(wù)云管理辦法》 

• 2020年9月25日 江西省人民政府辦公廳印發(fā)《江西省政務(wù)信息化項(xiàng)目建設(shè)管理辦法》 

• 2020年9月 吉林省印發(fā)《吉林省政務(wù)信息化項(xiàng)目建設(shè)管理辦法》 

• 2020年12月9日 中國密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)組織編制了《信息系統(tǒng)密碼應(yīng)用測評(píng)要求》等5項(xiàng)指導(dǎo)性文件 

• 2021年3月17號(hào) 海南六部門聯(lián)合發(fā)布《關(guān)于進(jìn)一步明確省政務(wù)信息化項(xiàng)目密碼應(yīng)用有關(guān)要求的通知》 

• 2021年3月30日 廣西省印發(fā)《廣西政務(wù)信息化項(xiàng)目建設(shè)管理辦法》 

• 國家市場監(jiān)管總局、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布公告,正式發(fā)布國家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》,將于2021年10月1日起實(shí)施。

• 安徽省密碼管理局、安徽省財(cái)政廳印發(fā)《關(guān)于重要領(lǐng)域信息系統(tǒng)密碼應(yīng)用工作的通知》

• 北京市明確將密碼應(yīng)用建設(shè)過程中的新建項(xiàng)目所需經(jīng)費(fèi)列入同級(jí)政府固定資產(chǎn)投資，升級(jí)改造和運(yùn)行維護(hù)經(jīng)費(fèi)列入同級(jí)財(cái)政預(yù)算，并對(duì)密碼應(yīng)用情況進(jìn)行事前審查。

• 江蘇省財(cái)政廳、省密碼管理局聯(lián)合印發(fā)通知并頒布《江蘇省密碼產(chǎn)品采購管理目錄》

• 天津市委辦公廳、市政府辦公廳聯(lián)合印發(fā)《關(guān)于重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)規(guī)范使用密碼的通知》

• 貴州省委辦公廳、省政府辦公廳印發(fā)《貴州省重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)密碼應(yīng)用審核實(shí)施意見》

• 2021年7月，山東省濟(jì)南市密碼管理局聯(lián)合各主要單位印發(fā)《關(guān)于加強(qiáng)政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作的通知》

• 2021年6月10日，第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過《中華人民共和國數(shù)據(jù)安全法》，于2021年9月1日起施行。

• 2021年7月3日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》公布，于2021年9月1日起實(shí)施。

• 2021年8月20日，第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過《中華人民共和國個(gè)人信息保護(hù)法》，于2021年11月1日起施行。

• 2021年11月10日，重慶市人民政府辦公廳印發(fā)《重慶市人民政府辦公廳關(guān)于印發(fā)重慶市市級(jí)政務(wù)信息化項(xiàng)目管理辦法的通知》。

四、如果不做密評(píng)或者密評(píng)結(jié)果不合格會(huì)有什么影響？

《密碼法》第三十七條第一款規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違反本法第二十七條第一款規(guī)定，未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第二十八條第三款規(guī)定：對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》第二章第十條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，每年至少評(píng)估一次。

五、如何進(jìn)行信息系統(tǒng)密評(píng)及密改？

密碼應(yīng)用安全性評(píng)估包括兩部分重要內(nèi)容：一是信息系統(tǒng)規(guī)劃階段對(duì)密碼應(yīng)用方案的評(píng)審和評(píng)估；二是信息系統(tǒng)建設(shè)完成后開展的實(shí)際測評(píng)?？蓞⒖?/span>GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》中的條款為主線，主要從總體要求、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、密鑰管理和安全管理等方面進(jìn)行評(píng)測。由國家密碼管理局批準(zhǔn)的專業(yè)測評(píng)機(jī)構(gòu)進(jìn)行評(píng)測，如剛接觸商密并不熟悉，可委托第三方進(jìn)行方案設(shè)計(jì)，方案完成后需經(jīng)過專家討論或者測評(píng)機(jī)構(gòu)評(píng)審后進(jìn)行密改。

六、密碼應(yīng)用安全性評(píng)估的具體流程是什么？

1、測評(píng)準(zhǔn)備階段，主要是責(zé)任單位信息收集和系統(tǒng)自查，使測評(píng)機(jī)構(gòu)全面掌握被測系統(tǒng)密碼使用的詳細(xì)情況，為測評(píng)工作的開展打下基礎(chǔ)。

2、方案編制階段，正確合理確定測評(píng)對(duì)象、測評(píng)邊界、測評(píng)指標(biāo)等內(nèi)容，并依據(jù)技術(shù)標(biāo)準(zhǔn)、規(guī)范編制測評(píng)方案、測評(píng)結(jié)果記錄表格，測評(píng)方案應(yīng)通過技術(shù)評(píng)審并有相關(guān)記錄。

3、現(xiàn)場測評(píng)階段，嚴(yán)格執(zhí)行測評(píng)方案中的內(nèi)容和要求。

4、報(bào)告編制階段，給出測評(píng)結(jié)論，形成測評(píng)報(bào)告。

七、取得了密評(píng)報(bào)告后應(yīng)向哪些部門和機(jī)構(gòu)進(jìn)行備案？

根據(jù)現(xiàn)有規(guī)定，責(zé)任單位取得報(bào)告后，被測單位自行上報(bào)主管部門及所在地區(qū)（部門）密碼管理部門備案，測評(píng)機(jī)構(gòu)上報(bào)國家密碼管理局備案，等保三級(jí)及以上信息系統(tǒng)，評(píng)估報(bào)告還需由被測單位上報(bào)至所在地區(qū)公安部門備案。