商用密码应用与安全性评估pdf

1基本情况1.1 商用密码应用安全性评估商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。

《密码法》第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

《商用密码应用安全性评估管理办法（试行）》第三条规定“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统”。

第十条规定“关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行”。

《国家政务信息化项目建设管理办法（国办发〔2019〕57 号）》中对政务信息系统的商用密码应用与评估工作提出了相应要求。

由此可知，关基、政务等领域必须开展商用密码应用建设与评估工作。

为了有效推进密评工作，在密码相关主管部门的推动下，GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》、GM/T 0115—2021《信息系统密码应用测评过程指南》、GM/T 0116—2021《信息系统密码应用测评要求》《商用密码应用安全性评估量化评估规则》《信息系统密码应用高风险判定指引》和《商用密码应用安全性评估FAQ》等标准和指导性文件相继出台，为密评工作的快速开展奠定了良好基础。

1.2 密评目前存在的主要问题密码技术应用具有专业性较强、技术复杂度高的特点，通常与业务系统联系紧密。

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。

商用密码应用安全性评估量化评估规则中国密码学会密评联委会二〇二〇年十二月目录1. 范围 (1)2. 规范性引用文件 (1)3. 原则 (1)4. 量化评估框架 (1)5. 量化规则 (2)6. 整体结论判定 (3)商用密码应用安全性评估量化评估规则1.范围本文件依据GB/T AAAAA《信息安全技术信息系统密码应用基本要求》和GM/T BBBB 《信息系统密码应用测评要求》，对信息系统的密码应用情况给出定量评估结果。

本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。

2.规范性引用文件1)GB/T AAAAA《信息安全技术信息系统密码应用基本要求》2)GM/T BBBB《信息系统密码应用测评要求》3.原则本文件按如下原则设计量化评估规则：1)遵循法律法规和最新相关指导性文件的总体要求；2)遵循GB/T AAAAA和GM/T BBBB；3)鼓励使用密码技术；4)特别鼓励使用合规的密码算法/技术/产品/服务；5)优先在网络和通信安全层面、应用和数据安全层面进行密码技术应用。

4.量化评估框架参考GM/T BBBB，本规则从三个方面进行量化评估：●密码使用安全（Cryptography D eployment security）是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；●密钥管理安全（K ey management security）是指，密钥管理的全生命周期是否安全，用于密码计算或密钥管理的密码产品/密码服务是否安全。

●密码算法/技术安全（Cryptography A lgorithm/Technique security）是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

5.量化规则（1）各测评对象的测评结果量化规则密码应用技术要求中，第i个安全层面的第j测评单元的第k测评对象T i,j,k，其量化评估结果S i,j,k∈{0, 0.25, 0.5, 1}，其中0表示不符合，1表示符合，其它表示部分符合。

政务信息系统密码应用与安全性评估工作指南（2020版）中国密码学会密评联委会二〇二〇年九月前言为贯彻落实《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）密码应用与安全性评估要求，依据《中华人民共和国密码法》及商用密码管理规定，制定本指南。

本指南可用于指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作，也可供政务信息系统集成单位和商用密码应用安全性评估机构参考。

各级地方政务信息化项目建设单位和使用单位也可参照本指南开展相关工作。

本指南主要依据《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法（试行）》《政务信息系统政府采购管理暂行办法》（财库〔2017〕210号）和GM/T0054—2018《信息系统密码应用基本要求》编制。

政务信息系统密码应用与安全性评估相关密码国家标准和行业标准正在制定过程中，GM/T0054对应的国家标准即将发布，本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。

必要时本指南将根据最新的管理要求与相关技术标准进行更新。

本指南分为三章。

第一章为政务信息系统密码应用与安全性评估实施过程指南，依据《国家政务信息化项目建设管理办法》和《商用密码应用安全性评估管理办法（试行）》，给出了政务信息系统规划、建设、运行阶段，项目建设单位和使用单位分别应当开展的密码应用与安全性评估相关工作。

第二章为政务信息系统密码应用措施指南，主要依据GM/T0054，介绍了密码在政务信息系统中发挥的主要功能，并给出了密码应用措施方面的建议，可供项目建设单位结合自身实际进行选择和调整。

第三章为政务信息系统密码应用与安全性评估质量保障指南，给出了项目建设单位和使用单位、系统集成单位、密评机构在相关活动中的质量管理建议。

本指南附录1提供了密码应用方案模板，可供项目建设单位在设计编制密码应用方案时参考。

附录2提供了已发布的密码国家标准和密码行业标准目录。