2023商用密碼應(yīng)用安全性評估發(fā)展研究報告

2023商用密碼應(yīng)用安全性評估發(fā)展研究報告中國密碼學(xué)會商用密碼應(yīng)用安全性評估聯(lián)合委員會2023

年

8

月前

言當(dāng)前，世界之變、時代之變、歷史之變正以前所未有的方式展開，黨的二十大報告為我們擘畫了以中國式現(xiàn)代化推進(jìn)中華民族偉大復(fù)興的宏偉藍(lán)圖，開啟了全面建成社會主義現(xiàn)代化強(qiáng)國、實(shí)現(xiàn)第二個百年奮斗目標(biāo)的新征程。這舉旗定向的政治宣言、引領(lǐng)復(fù)興的行動綱領(lǐng)以專章論述“推進(jìn)國家安全體系和能力現(xiàn)代化，堅(jiān)決維護(hù)國家安全和社會穩(wěn)定”，指出“必須堅(jiān)定不移貫徹總體國家安全觀，把維護(hù)國家安全貫穿黨和國家工作各方面全過程，確保國家安全和社會穩(wěn)定?！本W(wǎng)絡(luò)安全是國家安全的重要組成部分，密碼作為國之重器，是保障網(wǎng)絡(luò)與數(shù)據(jù)安全的核心技術(shù)，是數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的基礎(chǔ)，是推進(jìn)中國式現(xiàn)代化的重要支撐。商用密碼應(yīng)用安全性評估（以下簡稱密評），作為密碼應(yīng)用管理過程的重要組成部分和不可缺失的環(huán)節(jié)，是發(fā)揮密碼作用的重要抓手。密評活動貫穿于密碼應(yīng)用管理整個生命周期，對維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全、賦能數(shù)字經(jīng)濟(jì)、護(hù)航中國式現(xiàn)代化發(fā)展具有重要意義。我國高度重視密評工作，出臺多項(xiàng)頂層戰(zhàn)略規(guī)劃和法律法規(guī)，要求在重點(diǎn)領(lǐng)域和關(guān)鍵環(huán)節(jié)開展密評，為密評工作提供了合規(guī)驅(qū)動力。各地區(qū)、各領(lǐng)域積極落實(shí)密評要求，加強(qiáng)密評政策引導(dǎo)，加速推動密碼在金融、通信、公安、稅務(wù)、社保、交通、衛(wèi)生健康、能源、電子政務(wù)等領(lǐng)域中的應(yīng)用。在國家密碼管理局的指導(dǎo)下，密評工作機(jī)制不斷健全，密評機(jī)構(gòu)能力進(jìn)一步增強(qiáng)，密評活動標(biāo)準(zhǔn)化工作持續(xù)推進(jìn)，密評程序逐步完善，密評進(jìn)入蓬勃發(fā)展時期。未來，密評將煥發(fā)出更強(qiáng)的生命力和活力，持續(xù)為保障數(shù)字經(jīng)濟(jì)安全、助力現(xiàn)代化強(qiáng)國建設(shè)發(fā)揮積極作用。2023

年

7

月

1

日，《商用密碼管理?xiàng)l例》正式施行，標(biāo)志著密評從試點(diǎn)建設(shè)邁向依法管理的新階段。站在推進(jìn)密評法制化建設(shè)的新起點(diǎn)，本報告總結(jié)了密評相關(guān)政策法規(guī)要求及密評體系建設(shè)進(jìn)展，分析了密評行業(yè)發(fā)展情況，并對密評工作未來發(fā)展提出了建議，為密評相關(guān)工作者提供參考。–

I

–中國密碼學(xué)會密評聯(lián)委會版權(quán)聲明本報告版權(quán)屬于中國密碼學(xué)會商用密碼應(yīng)用安全性評估聯(lián)合委員會，并受法律保護(hù)。轉(zhuǎn)載、摘編或以其他方式使用報告文字或觀點(diǎn)的，均應(yīng)注明“來源：中國密碼學(xué)會商用密碼應(yīng)用安全性評估聯(lián)合委員會”或“來源：密評聯(lián)委會”。違反以上聲明者，中國密碼學(xué)會商用密碼應(yīng)用安全性評估聯(lián)合委員會將保留追究其相關(guān)法律責(zé)任的權(quán)利。–

II

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告本報告主要編寫單位：中國工業(yè)互聯(lián)網(wǎng)研究院（工業(yè)和信息化部密碼應(yīng)用研究中心）、深圳市網(wǎng)安計(jì)算機(jī)安全檢測技術(shù)有限公司、北京煉石網(wǎng)絡(luò)技術(shù)有限公司、江蘇省信息安全測評中心、中國電子科技集團(tuán)公司第十五研究所、工業(yè)和信息化部電子第五研究所、中國電子信息產(chǎn)業(yè)發(fā)展研究院、中國信息通信研究院本報告主要編寫人員：王聰、唐明環(huán)、查奇文、王偉忠、彭浩楠、楊宏志、孫少波、白小勇、錢晶、魏婷、張齊軍、張騰標(biāo)、衡帥、劉健、楊龍、韋永霜、張皓涵、王東陽、李佳曦–

III

–中國密碼學(xué)會密評聯(lián)委會目

錄引言

..............................................................................................................

11密評相關(guān)政策法規(guī)要求.......................................................................

21.1

國家法律法規(guī)布局密評頂層設(shè)計(jì)

............................................................................................21.2

國家多項(xiàng)政策文件為密評實(shí)施提供指引

.................................................................................31.3

有關(guān)部門出臺指導(dǎo)性及規(guī)范性文件落實(shí)密評要求

...................................................................41.4

相關(guān)地區(qū)積極將密評要求納入地方政策制度

..........................................................................52密評體系建設(shè)進(jìn)展..............................................................................

52.1

密評工作機(jī)制.........................................................................................................................62.2

密評機(jī)構(gòu)培育.........................................................................................................................82.3

密評系列標(biāo)準(zhǔn).........................................................................................................................92.4

密評程序

..............................................................................................................................1334密評行業(yè)發(fā)展情況............................................................................

153.1

密評試點(diǎn)機(jī)構(gòu)規(guī)模布局日趨合理

..........................................................................................153.2

密評人才供給能力持續(xù)提升

.................................................................................................173.3

密評覆蓋范圍逐年擴(kuò)大.........................................................................................................17發(fā)展建議

..........................................................................................

21附錄

1：密評相關(guān)法規(guī)政策匯總..................................................................

221.1

國家層面密碼應(yīng)用及密評相關(guān)法律法規(guī)

...............................................................................221.2

國家層面密碼應(yīng)用及密評相關(guān)政策文件

...............................................................................241.3

各部門密碼應(yīng)用及密評相關(guān)政策文件

...................................................................................251.4

各?。ㄗ灾螀^(qū)、直轄市）及新疆生產(chǎn)建設(shè)兵團(tuán)密碼應(yīng)用及密評相關(guān)政策文件......................29附錄

2：密評相關(guān)標(biāo)準(zhǔn)與指導(dǎo)性文件列表

...................................................

48附錄

3：密評大事記....................................................................................

49–

IV

–引

言在數(shù)字經(jīng)濟(jì)時代，密碼作為國家重要戰(zhàn)略資源，廣泛應(yīng)用于國民經(jīng)濟(jì)發(fā)展和社會生產(chǎn)生活的方方面面，涵蓋金融和通信、公安、稅務(wù)、社保、交通、衛(wèi)生健康、能源、電子政務(wù)等重要領(lǐng)域，是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。在推動數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展、推進(jìn)中國式現(xiàn)代的進(jìn)程中，如何更好地規(guī)范商用密碼應(yīng)用和管理、發(fā)揮密碼在保障網(wǎng)絡(luò)安全中的核心支撐作用至關(guān)重要。商用密碼應(yīng)用安全性評估作為驗(yàn)證密碼應(yīng)用科學(xué)性的有效手段和方法，既是應(yīng)對網(wǎng)絡(luò)安全嚴(yán)峻形勢的迫切需要，也是落實(shí)國家重要領(lǐng)域和關(guān)鍵行業(yè)網(wǎng)絡(luò)安全防護(hù)責(zé)任的有效手段，更是全面貫徹落實(shí)《中華人民共和國密碼法》（以下簡稱《密碼法》）和《商用密碼管理?xiàng)l例》基本要求、推進(jìn)商用密碼法治建設(shè)的重要舉措。密碼應(yīng)用涉及密碼算法、技術(shù)、產(chǎn)品、服務(wù)、密鑰管理等多個方面。在當(dāng)前密碼應(yīng)用實(shí)踐中，由于密碼專業(yè)技術(shù)人員保障不足，密碼應(yīng)用要求理解把握不到位，密碼錯用、誤用情況經(jīng)常發(fā)生。商用密碼應(yīng)用安全性評估依據(jù)科學(xué)全面的測評標(biāo)準(zhǔn)，由專業(yè)的技術(shù)人員采用專業(yè)的技術(shù)手段和測評工具，科學(xué)直觀地對信息系統(tǒng)密碼應(yīng)用情況給出評價，發(fā)現(xiàn)信息系統(tǒng)密碼應(yīng)用存在的不規(guī)范、不安全、不正確等問題，給出專業(yè)、可行的意見建議，為網(wǎng)絡(luò)運(yùn)營者掌握系統(tǒng)密碼應(yīng)用情況并進(jìn)一步開展密碼應(yīng)用改造提供支撐，有效規(guī)范密碼應(yīng)用，提升網(wǎng)絡(luò)安全保障水平。–

1

–中國密碼學(xué)會密評聯(lián)委會1密評相關(guān)政策法規(guī)要求商用密碼應(yīng)用安全性評估（以下簡稱密評）是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評估驗(yàn)證的活動

1。密評是衡量與改進(jìn)網(wǎng)絡(luò)與信息系統(tǒng)密碼保障水平的關(guān)鍵技術(shù)措施，對密碼應(yīng)用的助力推動和網(wǎng)絡(luò)安全的兜底保障作用突出。我國立足國情將密評相關(guān)工作要求納入頂層設(shè)計(jì)，出臺法律法規(guī)、政策文件，推動密評體系不斷完善，密評工作進(jìn)入新發(fā)展階段。1.1

國家法律法規(guī)布局密評頂層設(shè)計(jì)我國充分適應(yīng)新時代商用密碼事業(yè)發(fā)展需要，堅(jiān)持密評的立法、司法、執(zhí)法和守法協(xié)同推進(jìn)，通過法律法規(guī)明確密評的重要定位、評估范圍、責(zé)任主體和評估要求等深刻內(nèi)涵，推動密評在重要領(lǐng)域和關(guān)鍵環(huán)節(jié)加速推廣普及，為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展提供基礎(chǔ)支撐。表

1

密評相關(guān)法律法規(guī)要求法律法規(guī)主要要求第二十七條

法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評?！睹艽a法》第三十八條法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。前款所列關(guān)鍵信息基礎(chǔ)設(shè)施通過商用密碼應(yīng)用安全性評估方可投入運(yùn)行，運(yùn)行后每年至少進(jìn)行一次評估，評估情況按照國家有關(guān)規(guī)定報送國家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案。《商用密碼管理?xiàng)l例》（2023年7月

1日施行）第四十一條網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求，使用商用密碼保護(hù)網(wǎng)絡(luò)安全。國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級，確定商用密碼的使用、管理和應(yīng)用安全性評估要求，制定網(wǎng)絡(luò)安全等級保護(hù)密碼標(biāo)準(zhǔn)規(guī)范。第四十二條商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當(dāng)加強(qiáng)銜接，避免重復(fù)評估、測評。1

《商用密碼應(yīng)用安全性評估管理辦法（征求意見稿）》，/sca/hdjl/2023-06/09/content_1061072.shtml–

2

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告法律法規(guī)主要要求《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第五十條

關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)的規(guī)定。第四十七條

非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)?！毒W(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)通過評估后，方可上線運(yùn)行，并在投入運(yùn)行后，每年至少組織一次評估。密碼應(yīng)用安全性評估結(jié)果應(yīng)當(dāng)報受理備案的公安機(jī)關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案?！睹艽a法》明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者作為第一責(zé)任人，應(yīng)使用商用密碼對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估?！渡逃妹艽a管理?xiàng)l例》進(jìn)一步細(xì)化了關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用與安全性評估要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)在規(guī)劃、建設(shè)等必要階段進(jìn)行評估，投入運(yùn)行后，還應(yīng)當(dāng)定期開展評估。同時，《商用密碼管理?xiàng)l例》明確，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求，使用商用密碼保護(hù)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全等級保護(hù)制度中的商用密碼使用、管理和應(yīng)用安全性評估要求重點(diǎn)適用對象是第三級以上網(wǎng)絡(luò)，凸顯了對網(wǎng)絡(luò)安全等級保護(hù)三級以上網(wǎng)絡(luò)加強(qiáng)商用密碼應(yīng)用安全性評估工作、落實(shí)商用密碼應(yīng)用相關(guān)要求的迫切需要。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確，關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)的規(guī)定。這對使用密碼技術(shù)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全提出了原則性要求。《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》第五章中明確提出密碼配備使用、管理和應(yīng)用安全性評估的有關(guān)要求，對網(wǎng)絡(luò)的密碼保護(hù)作出規(guī)定。其中，對非涉密網(wǎng)絡(luò)、第三級以上網(wǎng)絡(luò)提出密碼保護(hù)要求，明確規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段委托專業(yè)測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估，并對評估結(jié)果備案提出了要求

2。1.2

國家多項(xiàng)政策文件為密評實(shí)施提供指引面對新時代全球安全形勢及發(fā)展需求，我國統(tǒng)籌發(fā)展與安全，出臺了多項(xiàng)政策文件對密評進(jìn)行整體性制度安排，推動密評體系健全完善。密評相關(guān)國家政策文件要求如表

2

所示，更多國家層面密碼應(yīng)用及密評相關(guān)政策文件詳見附錄

1.2。2

《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》解讀，/articles/5005–

3

–中國密碼學(xué)會密評聯(lián)委會表

2

密評相關(guān)國家政策文件要求密評相關(guān)工作要求文件名稱密碼應(yīng)用與創(chuàng)新發(fā)展相關(guān)工作規(guī)劃《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》全面提升密碼基礎(chǔ)支撐能力，完善密碼應(yīng)用安全性評估審查機(jī)制。加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù)和密碼應(yīng)用安全性評估?！秶艺?wù)信息化項(xiàng)目建設(shè)管理辦法》

項(xiàng)目建設(shè)單位應(yīng)當(dāng)落實(shí)國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步（國辦發(fā)〔2019〕57號）規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評估?！秶鴦?wù)院關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》（國發(fā)〔2022〕14號）建立健全網(wǎng)絡(luò)安全、保密監(jiān)測預(yù)警和密碼應(yīng)用安全性評估的機(jī)制。1.3

有關(guān)部門出臺指導(dǎo)性及規(guī)范性文件落實(shí)密評要求據(jù)不完全統(tǒng)計(jì)，國家密碼管理局、中央網(wǎng)信辦、教育部、工業(yè)和信息化部、公安部、財政部、交通運(yùn)輸部、國家能源局、國家郵政局等部門出臺多項(xiàng)密評政策文件，明確金融、政務(wù)、教育、工信、交通、能源等行業(yè)商用密碼應(yīng)用安全性評估工作要求，提升商用密碼應(yīng)用和管理水平，深化商用密碼在各行業(yè)或領(lǐng)域的應(yīng)用。密評相關(guān)行業(yè)政策文件要求如表

3所示，更多各部門密碼應(yīng)用及密評相關(guān)政策文件詳見附錄

1.3。表

3

密評相關(guān)行業(yè)政策文件要求有關(guān)部門文件名稱密評相關(guān)內(nèi)容國家密碼管理局、中央網(wǎng)信辦、國家發(fā)展改革委、科技部、工業(yè)和信促進(jìn)商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展相

依法督促建設(shè)密碼保障體系，并強(qiáng)化重要網(wǎng)絡(luò)與信息息化部、公安部、財政部、

關(guān)文件國務(wù)院國資委、市場監(jiān)管總局、證監(jiān)會系統(tǒng)商用密碼應(yīng)用安全性評估的執(zhí)法檢查?！?020年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》（教科技廳〔2020〕1號）有序推動教育重要業(yè)務(wù)信息系統(tǒng)開展密碼應(yīng)用安全性評估，推動國家教育管理信息系統(tǒng)密碼普遍應(yīng)用，提升系統(tǒng)安全和數(shù)據(jù)安全。教育部《關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)

認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，要按照國家有關(guān)標(biāo)準(zhǔn)使據(jù)安全工作的通知》（工信部網(wǎng)

用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)工業(yè)和信息化部安〔2021〕134號）構(gòu)開展商用密碼應(yīng)用安全性評估?！敦瀼芈鋵?shí)網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》（公網(wǎng)安〔2020〕1960號）第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，在網(wǎng)絡(luò)安全等級測評中同步開展密碼應(yīng)用安全性評估。公安部財政部采購需求應(yīng)當(dāng)落實(shí)國家密碼管理有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評估。《政務(wù)信息系統(tǒng)政府采購管理暫行辦法》（財庫〔2017〕210

號）–

4

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告有關(guān)部門文件名稱密評相關(guān)內(nèi)容法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估。《公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》交通運(yùn)輸部商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評?！蛾P(guān)于印發(fā)〈電力行業(yè)網(wǎng)絡(luò)安全管理辦法〉的通知》（國能發(fā)安全規(guī)〔2022〕100號）電力企業(yè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定開展商用密碼應(yīng)用安全性評估等工作，未達(dá)到要求的應(yīng)當(dāng)及時進(jìn)行整改。國家能源局在網(wǎng)絡(luò)建設(shè)和運(yùn)營過程中，同步規(guī)劃、建設(shè)、使用有《“十四五”郵政業(yè)發(fā)展規(guī)劃》

關(guān)安全保護(hù)措施，嚴(yán)格落實(shí)國家關(guān)于等保、關(guān)保、密評等有關(guān)要求。國家郵政局、國家發(fā)展改革委、交通運(yùn)輸部1.4

相關(guān)地區(qū)積極將密評要求納入地方政策制度據(jù)不完全統(tǒng)計(jì)，我國各?。ㄗ灾螀^(qū)、直轄市）及新疆生產(chǎn)建設(shè)兵團(tuán)共出臺

130余項(xiàng)密碼應(yīng)用及密評相關(guān)政策文件，針對性提出適應(yīng)地方特點(diǎn)的信息系統(tǒng)商用密碼應(yīng)用工作要求，推進(jìn)商用密碼應(yīng)用及安全性評估工作，切實(shí)提升信息系統(tǒng)的安全性和密碼應(yīng)用合規(guī)性。各?。ㄗ灾螀^(qū)、直轄市）及新疆生產(chǎn)建設(shè)兵團(tuán)密碼應(yīng)用及密評相關(guān)政策詳見附錄

1.4。2密評體系建設(shè)進(jìn)展2017

年

4

月，國家密碼管理局印發(fā)《關(guān)于開展密碼應(yīng)用安全性評估試點(diǎn)工作的通知》（國密局字〔2017〕138號），附《商用密碼應(yīng)用安全性評估管理辦法（試行）》，開始開展商用密碼應(yīng)用安全性評估試點(diǎn)及機(jī)構(gòu)培育工作。2017年

9月，國家密碼管理局印發(fā)《商用密碼應(yīng)用安全性測評機(jī)構(gòu)管理辦法（試行）》等文件，密評制度體系初步建立。2019年

4月，為支撐密評各項(xiàng)工作開展，中國密碼學(xué)會設(shè)立商用密碼應(yīng)用安全性評估聯(lián)合委員會（以下簡稱密評聯(lián)委會），聚焦密評人才隊(duì)伍教育與培訓(xùn)、密評相關(guān)標(biāo)準(zhǔn)制定、密評技術(shù)評價和能力評估、密評關(guān)鍵共性技術(shù)研究、密評行業(yè)發(fā)展促進(jìn)等重點(diǎn)工作。2021年

11

月，國家密碼管理局印發(fā)《關(guān)于規(guī)范商用密碼應(yīng)用安全性評估結(jié)果備案工作的通知》（國密局字〔2021〕392號），明確–

5

–中國密碼學(xué)會密評聯(lián)委會規(guī)范商用密碼應(yīng)用安全性評估結(jié)果備案相關(guān)要求，密評體系進(jìn)一步規(guī)范。2023

年

7

月，《商用密碼管理?xiàng)l例》正式施行，設(shè)立專章推進(jìn)商用密碼檢測認(rèn)證體系建設(shè)，密評體系逐步走向完善。2.1

密評工作機(jī)制密評工作主要涉及的主體有密碼管理部門、行業(yè)主管部門、商用密碼應(yīng)用安全性評估機(jī)構(gòu)（以下簡稱密評機(jī)構(gòu)）、網(wǎng)絡(luò)運(yùn)營者以及密評聯(lián)委會等。按照《商用密碼管理?xiàng)l例》《商用密碼應(yīng)用安全性評估管理辦法（征求意見稿）》《商用密碼檢測機(jī)構(gòu)管理辦法（征求意見稿）》《關(guān)于規(guī)范商用密碼應(yīng)用安全性評估結(jié)果備案工作的通知》（國密局字〔2021〕392號）、《關(guān)于進(jìn)一步規(guī)范商用密碼應(yīng)用安全性評估試點(diǎn)工作的通知》（國密局字〔2022〕454號）等法規(guī)文件要求，以上各主體在密評工作中的職責(zé)如下。2.1.1

國家密碼管理部門負(fù)責(zé)管理全國的商用密碼工作一是負(fù)責(zé)和有關(guān)部門建立商用密碼監(jiān)督管理協(xié)作機(jī)制，加強(qiáng)商用密碼監(jiān)督、檢查、指導(dǎo)等工作的協(xié)調(diào)配合。二是負(fù)責(zé)全國商用密碼檢測機(jī)構(gòu)的資質(zhì)認(rèn)定和監(jiān)督管理；負(fù)責(zé)管理全國的商用密碼應(yīng)用安全性評估工作。三是規(guī)范商用密碼應(yīng)用安全性評估結(jié)果備案工作，并對密評結(jié)果備案材料進(jìn)行季度抽查并組織開展技術(shù)復(fù)核，定期通報各地區(qū)密評結(jié)果備案材料形式審查工作成效和技術(shù)復(fù)核結(jié)果。2.1.2

地方各級密碼管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼工作一是縣級以上地方各級密碼管理部門負(fù)責(zé)本行政區(qū)域內(nèi)商用密碼檢測機(jī)構(gòu)的監(jiān)督管理；負(fù)責(zé)管理本行政區(qū)域的商用密碼應(yīng)用安全性評估工作。二是縣級以上地方各級密碼管理部門負(fù)責(zé)督促本地區(qū)有關(guān)網(wǎng)絡(luò)運(yùn)營者同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，規(guī)范開展密評工作。三是各省、自治區(qū)、直轄市密碼管理部門負(fù)責(zé)指導(dǎo)本地區(qū)有關(guān)網(wǎng)絡(luò)運(yùn)營者履行備案程序，并對備案材料進(jìn)行形式審查；按季度向國家密碼管理局報送本地區(qū)商用密碼應(yīng)用安全性評估工作開展情況。2.1.3

行業(yè)主管部門推動本行業(yè)本領(lǐng)域密碼應(yīng)用一是和密碼管理部門建立商用密碼監(jiān)督管理協(xié)作機(jī)制，加強(qiáng)商用密碼監(jiān)督、檢查、指導(dǎo)等工作的協(xié)調(diào)配合，推進(jìn)重要領(lǐng)域和行業(yè)商用密碼應(yīng)用。二是在職責(zé)范圍內(nèi)負(fù)責(zé)指導(dǎo)、監(jiān)督本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評估工作。三是采取多種形式加強(qiáng)商用密碼宣傳教育，增強(qiáng)公民、法人和其他組織的密碼安全意識。2.1.4

密評機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估具體實(shí)施密評機(jī)構(gòu)是商用密碼檢測機(jī)構(gòu)的一類，從事商用密碼應(yīng)用安全性評估活動，向社會出具具有證明作用的商用密碼應(yīng)用安全性評估數(shù)據(jù)、結(jié)果。–

6

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告一是按照法律、行政法規(guī)和商用密碼檢測技術(shù)規(guī)范、規(guī)則，在批準(zhǔn)范圍內(nèi)獨(dú)立、公正、科學(xué)、誠信地開展商用密碼檢測，對出具的檢測數(shù)據(jù)、結(jié)果負(fù)責(zé)。二是對檢測原始記錄和檢測報告歸檔留存，保證其具有可追溯性。原始記錄和檢測報告的保存期限不得少于

6年。三是于每年

1

月

15

日前通過所在地省、自治區(qū)、直轄市密碼管理部門向國家密碼管理局報送上一年度工作報告以及相關(guān)統(tǒng)計(jì)數(shù)據(jù)。四是積極配合密碼管理部門的監(jiān)督檢查，如實(shí)提供相關(guān)材料和信息。商用密碼檢測機(jī)構(gòu)及相關(guān)從業(yè)人員應(yīng)當(dāng)按照法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等要求開展檢測活動，遵循客觀獨(dú)立、科學(xué)公正、誠實(shí)信用原則，尊重知識產(chǎn)權(quán)，恪守職業(yè)道德，承擔(dān)社會責(zé)任，保守在工作中知悉的國家秘密、商業(yè)秘密和個人隱私。2.1.5

網(wǎng)絡(luò)運(yùn)營者履行密評主體責(zé)任法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。一是在系統(tǒng)規(guī)劃階段，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，根據(jù)商用密碼應(yīng)用需求，制定商用密碼應(yīng)用方案，規(guī)劃商用密碼保障系統(tǒng)。自行或者委托商用密碼檢測機(jī)構(gòu)對商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評估的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。二是在系統(tǒng)建設(shè)階段，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案組織實(shí)施，落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)。系統(tǒng)運(yùn)行前，應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。網(wǎng)絡(luò)與信息系統(tǒng)未通過商用密碼應(yīng)用安全性評估的，運(yùn)營者應(yīng)當(dāng)進(jìn)行改造，改造期間不得投入運(yùn)行。委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估的，不得對評估結(jié)果施加影響，并需提供如下支持：（1）對網(wǎng)絡(luò)與信息系統(tǒng)的重要數(shù)據(jù)進(jìn)行備份；（2）提供完整有效的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)拓?fù)?；?）提供詳細(xì)的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、運(yùn)行、維護(hù)記錄；（4）提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件，并配合進(jìn)行數(shù)據(jù)采集；（5）安排網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、商用密碼產(chǎn)品管理員等做好配合；（6）其他需要配合的事項(xiàng)。三是系統(tǒng)建成運(yùn)行后，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估，確保商用密碼保障系統(tǒng)正確有效運(yùn)行。未通過商用密碼應(yīng)用安全性評估的，運(yùn)營者應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全。四是網(wǎng)絡(luò)運(yùn)營者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的，應(yīng)當(dāng)及時向國家–

7

–中國密碼學(xué)會密評聯(lián)委會密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報告，必要時啟動應(yīng)急處置方案并開展商用密碼應(yīng)用安全性評估。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在商用密碼應(yīng)用安全性評估報告出具之日起

30

日內(nèi)，將評估報告連同相關(guān)工作情況按照國家有關(guān)規(guī)定報送國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門備案。2.1.6

密評聯(lián)委會支撐密評各項(xiàng)工作開展商用密碼領(lǐng)域的學(xué)會、行業(yè)協(xié)會等社會組織依照法律、行政法規(guī)及其章程的規(guī)定，開展學(xué)術(shù)交流、政策研究、公共服務(wù)等活動，加強(qiáng)學(xué)術(shù)和行業(yè)自律，推動誠信建設(shè)，促進(jìn)行業(yè)健康發(fā)展。在國家密碼管理局的指導(dǎo)下，密評聯(lián)委會全面支撐密評人才隊(duì)伍教育與培訓(xùn)、標(biāo)準(zhǔn)制定、技術(shù)評價和能力評估、關(guān)鍵共性技術(shù)的研究、密評行業(yè)促進(jìn)等方面工作。一是依托密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱密標(biāo)委），推動商用密碼應(yīng)用與安全性評估標(biāo)準(zhǔn)規(guī)范制定。規(guī)劃設(shè)計(jì)密評標(biāo)準(zhǔn)體系，提出標(biāo)準(zhǔn)編制需求、發(fā)布編制任務(wù)、征集編制單位、與密標(biāo)委對接完成標(biāo)準(zhǔn)立項(xiàng)、推進(jìn)研制、質(zhì)量把關(guān)、標(biāo)準(zhǔn)驗(yàn)證、標(biāo)準(zhǔn)修訂等，以及標(biāo)準(zhǔn)配套指導(dǎo)性文件的跟蹤研究及制修訂工作。組織開展標(biāo)準(zhǔn)宣貫、解讀及相關(guān)培訓(xùn)、研討活動，主動了解行業(yè)密碼應(yīng)用需求，推進(jìn)行業(yè)相關(guān)標(biāo)準(zhǔn)制定或內(nèi)容嵌入。二是支撐密碼管理部門建立密評機(jī)構(gòu)能力驗(yàn)證體系，完善配套流程機(jī)制，明確密評機(jī)構(gòu)能力綜合評價和理論考試、技能考核、報告質(zhì)量評價等具體環(huán)節(jié)的方法與指標(biāo)，并支持搭建密評能力驗(yàn)證實(shí)訓(xùn)環(huán)境。支撐密碼管理部門建立完善密評人員培訓(xùn)考核體系，開展密評人員水平評價。三是推動密評行業(yè)自律建設(shè)及宣貫推廣。負(fù)責(zé)制定并組織實(shí)施密評行業(yè)自律公約，規(guī)范密評機(jī)構(gòu)市場競爭及密評過程行為等。建立密評行業(yè)信息收集、反饋、通報機(jī)制，促進(jìn)行業(yè)信息公開，支撐建立密評行業(yè)信息平臺，加強(qiáng)密評工作信息發(fā)布與宣傳推廣。通過學(xué)術(shù)研討、專題論壇、技術(shù)沙龍、專業(yè)講座及知識競賽等方式，提升密評隊(duì)伍的綜合素養(yǎng)和專業(yè)能力，加強(qiáng)密評經(jīng)驗(yàn)交流與創(chuàng)新研究。2.2

密評機(jī)構(gòu)培育作為密評試點(diǎn)工作的重要內(nèi)容，機(jī)構(gòu)培育與密評開展相輔相成，日益壯大的密評隊(duì)伍力量支撐著密評工作的健康持續(xù)發(fā)展。國家密碼管理局按照“總量控制、合理布局、擇優(yōu)選擇”原則，采取“省部推薦、集中考核”模式，于

2017

年

4

月

、2019

年

9

月分兩批培育認(rèn)定密評試點(diǎn)機(jī)構(gòu)并進(jìn)行分類管理，其中

48

家納入《商用密碼應(yīng)用安全性評估試點(diǎn)機(jī)構(gòu)目錄》并面向社會公布，可在全國范圍內(nèi)開展密評工作，25

家準(zhǔn)予在本地區(qū)、本行業(yè)從事密評工作，覆蓋全國

26個?。ㄗ灾螀^(qū)、直轄市）、11

家部委或央企行業(yè)領(lǐng)域。隨著《商用密碼管理?xiàng)l例》正式施行，密評機(jī)構(gòu)作為商用密碼檢測機(jī)構(gòu)的一類，具備了行政許可的基礎(chǔ)。國家密碼管理局積極組織制修訂《商用密碼檢測機(jī)構(gòu)管理辦法》《商用密碼應(yīng)用安全性評估管理辦法》等配套規(guī)章，推動落實(shí)密評機(jī)構(gòu)行政許可，為密評依法管理提供基礎(chǔ)。隨著管理模式由試點(diǎn)資格向許可資質(zhì)過渡，密評機(jī)構(gòu)層次范圍、質(zhì)量水平將得到進(jìn)一步提升拓展。–

8

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告2.3

密評系列標(biāo)準(zhǔn)自

2017年密評試點(diǎn)工作啟動以來，國家密碼管理局持續(xù)加強(qiáng)密評標(biāo)準(zhǔn)規(guī)范供給。試點(diǎn)工作之初，研究確定了密評體系總體架構(gòu)，并組織有關(guān)單位起草

14項(xiàng)制度文件，明確了密評體系建設(shè)、密評機(jī)構(gòu)培育、密評活動開展的基本依據(jù)。近年來，在國家密碼管理局的指導(dǎo)下，相關(guān)標(biāo)準(zhǔn)化組織及密評聯(lián)委會立足密評試點(diǎn)工作實(shí)際，積極組織密評標(biāo)準(zhǔn)及指導(dǎo)性文件制修訂工作，推動密評工作標(biāo)準(zhǔn)化建設(shè)，為密評活動有序開展搭建標(biāo)準(zhǔn)化支撐基礎(chǔ)。2.3.1

密評系列標(biāo)準(zhǔn)框架隨著密評試點(diǎn)工作的深入，密評系列標(biāo)準(zhǔn)不斷完善。GM/T

0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》（以下簡稱

GM/T

0054-2018）從行業(yè)標(biāo)準(zhǔn)上升為國家標(biāo)準(zhǔn)

GB/T

39786-2021《信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用基本要求》（以下簡稱

GB/T

39786-2021），為密評工作開展提供基礎(chǔ)性指導(dǎo)。密碼行業(yè)標(biāo)準(zhǔn)

GM/T

0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》（以下簡稱

GM/T

0115-2021）、GM/T

0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》（以下簡稱

GM/T

0116-2021）以及指導(dǎo)性文件《商用密碼應(yīng)用安全性評估量化評估規(guī)則》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》等相繼發(fā)布，規(guī)范了測評要求、測評過程、測評結(jié)果以及測評報告等內(nèi)容。截至目前，已有

1

項(xiàng)商用密碼應(yīng)用與安全性評估相關(guān)國家標(biāo)準(zhǔn)發(fā)布、2

項(xiàng)在研，2

項(xiàng)相關(guān)密碼行業(yè)標(biāo)準(zhǔn)發(fā)布、4項(xiàng)在研，5項(xiàng)指導(dǎo)性文件發(fā)布。商用密碼應(yīng)用安全性評估相關(guān)標(biāo)準(zhǔn)經(jīng)歷了從無到有、不斷優(yōu)化的過程，逐步構(gòu)建了涵蓋應(yīng)用類、評估類和管理類的密評系列標(biāo)準(zhǔn)框架（如圖

1所示）。應(yīng)用類標(biāo)準(zhǔn)指導(dǎo)信息系統(tǒng)商用密碼應(yīng)用，同時也是評判密碼應(yīng)用是否合規(guī)的依據(jù)；評估類標(biāo)準(zhǔn)依據(jù)應(yīng)用類標(biāo)準(zhǔn)制定，具體指導(dǎo)密評工作的開展；管理類標(biāo)準(zhǔn)是密評工作的基礎(chǔ)和保障。這些標(biāo)準(zhǔn)和指導(dǎo)性文件相互關(guān)聯(lián)、相互支撐，有力支撐了《密碼法》和《商用密碼管理?xiàng)l例》的落地實(shí)施。圖

1

密評系列標(biāo)準(zhǔn)示意圖–

9

–中國密碼學(xué)會密評聯(lián)委會2.3.2

密評系列標(biāo)準(zhǔn)主要內(nèi)容（1）GB/T

39786-2021為密評工作提供基礎(chǔ)性指導(dǎo)GB/T

39786-2021用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測評，是指導(dǎo)密評工作開展的基礎(chǔ)性標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)從第一級到第四級的密碼應(yīng)用的基本要求，從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個方面提出了密碼應(yīng)用技術(shù)要求，從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置四個方面提出了密碼應(yīng)用管理要求。在該標(biāo)準(zhǔn)的基礎(chǔ)上，各領(lǐng)域與行業(yè)可結(jié)合本領(lǐng)域與行業(yè)的密碼應(yīng)用需求來指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用。同時，密評試點(diǎn)的具體實(shí)踐和工作經(jīng)驗(yàn)對

GB/T

39786-2021的編制起到了積極的促進(jìn)作用。2018年

9月

26日，該標(biāo)準(zhǔn)項(xiàng)目組在國家密碼管理局和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

WG3工作組的指導(dǎo)下，向全國

27家密評試點(diǎn)機(jī)構(gòu)征求意見。2018年

9月到

10月，該標(biāo)準(zhǔn)項(xiàng)目組根據(jù)

27家密評試點(diǎn)機(jī)構(gòu)的意見，對標(biāo)準(zhǔn)進(jìn)行了多次研討，將身份鑒別、訪問控制、數(shù)據(jù)完整性等部分條款進(jìn)行調(diào)整與修改。來自真實(shí)應(yīng)用場景的密評試點(diǎn)實(shí)踐成果有力支撐了

GB/T

39786-2021的編制工作，相較于標(biāo)準(zhǔn)前身密碼行業(yè)標(biāo)準(zhǔn)

GM/T

0054-2018，國標(biāo)

GB/T

39786-2021的合理性和可操作性得到進(jìn)一步提升。（2）密評相關(guān)標(biāo)準(zhǔn)及指導(dǎo)性文件有力支撐密評工作開展近年來，在國家密碼管理部門的指導(dǎo)下，我國陸續(xù)出臺了一系列商用密碼應(yīng)用與安全性評估相關(guān)標(biāo)準(zhǔn)規(guī)范與指導(dǎo)性文件，主要涉及信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)、建設(shè)、測評等各工作環(huán)節(jié)的要求。密評系列標(biāo)準(zhǔn)包含應(yīng)用、評估及管理三類標(biāo)準(zhǔn)。表

4

密評相關(guān)標(biāo)準(zhǔn)及指導(dǎo)性文件類別標(biāo)準(zhǔn)及指導(dǎo)性文件名稱狀態(tài)主要內(nèi)容包括信息系統(tǒng)密碼應(yīng)用框架、密碼應(yīng)用方案設(shè)計(jì)原則、密碼應(yīng)用方案設(shè)計(jì)過程和密碼應(yīng)用方案設(shè)計(jì)指南，適用于指導(dǎo)信息系統(tǒng)密碼應(yīng)用方案的設(shè)計(jì)，也可作為信息系統(tǒng)密碼保障系統(tǒng)建設(shè)、密碼應(yīng)用安全性評估、密碼管理部門密評備案工作的參考?！缎畔踩夹g(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)技術(shù)指南》在研應(yīng)用類參照

GB/T

39786-2021

給出了信息系統(tǒng)密碼應(yīng)用的過程指導(dǎo)和建議，描述了規(guī)劃、建設(shè)、運(yùn)行及終止階段的實(shí)施流程及主要活動，適用于指導(dǎo)信息系統(tǒng)密碼應(yīng)用的實(shí)施。《信息系統(tǒng)密碼應(yīng)用實(shí)施指南》在研發(fā)布規(guī)定了信息系統(tǒng)不同等級密碼應(yīng)用的測評要求，從密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)合規(guī)性、密鑰管理安全性方面，提出了第一級到第五級的密碼應(yīng)用通用測評要求；從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等四個技術(shù)層面提出了第一級到第四級密碼應(yīng)用技術(shù)的測評要求；從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置等四個管理方面提出了第一級到第四級密碼應(yīng)用管理的測評要求，并給出了整體測評、風(fēng)險分析和評價、測評結(jié)論等測評環(huán)節(jié)的要求。該標(biāo)準(zhǔn)適用于指導(dǎo)、規(guī)范信息系統(tǒng)在規(guī)劃、建設(shè)、運(yùn)行環(huán)節(jié)的密評工作。該標(biāo)準(zhǔn)升國標(biāo)的工作正在進(jìn)行。GM/T

0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》評估類GM/T

0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》規(guī)定了信息系統(tǒng)密碼應(yīng)用的測評過程。該標(biāo)準(zhǔn)在遵循測評的客觀公正性原則、可重用性原則、可重復(fù)性和可再現(xiàn)性原則及結(jié)果完善性原則的基礎(chǔ)上，規(guī)范了各項(xiàng)測評活動及其工作任務(wù)。發(fā)布–

10

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告類別標(biāo)準(zhǔn)及指導(dǎo)性文件名稱狀態(tài)主要內(nèi)容依據(jù)

GB/T

39786-2021和

GM/T

0115-2021對信息系統(tǒng)的密碼應(yīng)用情況給出定量評估結(jié)果，適用于規(guī)范信息系統(tǒng)密碼應(yīng)用安全性評估，以及指導(dǎo)相關(guān)信息系統(tǒng)的規(guī)劃、建設(shè)等工作。該指導(dǎo)性文件結(jié)合當(dāng)前密碼應(yīng)用推進(jìn)的實(shí)際情況，鼓勵網(wǎng)絡(luò)運(yùn)營者使用密碼技術(shù)，特別是使用合規(guī)的密碼技術(shù)、產(chǎn)品和服務(wù)，并且優(yōu)先在網(wǎng)絡(luò)和通信安全層面、應(yīng)用和數(shù)據(jù)安全層面推進(jìn)商用密碼應(yīng)用。《商用密碼應(yīng)用安全性評估量化評估規(guī)則》發(fā)布給出了信息系統(tǒng)密碼應(yīng)用過程中可能存在的高風(fēng)險安全問題，強(qiáng)調(diào)密評過程要按照“綜合判定、保住底線”的思路，一定程度上既保證信息系統(tǒng)具備安全防護(hù)能力，又有利于促進(jìn)信息系統(tǒng)的密碼應(yīng)用，強(qiáng)調(diào)密碼產(chǎn)品、密碼服務(wù)自身的安全性，引導(dǎo)網(wǎng)絡(luò)運(yùn)營者使用合規(guī)的密碼產(chǎn)品和服務(wù)，防止因產(chǎn)品和服務(wù)問題給系統(tǒng)帶來新的風(fēng)險?！缎畔⑾到y(tǒng)密碼應(yīng)用高風(fēng)險判定指引》發(fā)布評估類包括《商用密碼應(yīng)用安全性評估報告模板

(2023

版

)—方案密評報告》報告模板（以下簡稱方案密評報告模板）和《商用密碼應(yīng)用安全性評估報告模板

(2023版

)—系統(tǒng)密評報告》模板（以下簡稱系統(tǒng)密評報告模板）。方案密評報告模板對信息系統(tǒng)密碼應(yīng)用方案的密評報告格式進(jìn)行了規(guī)范，系統(tǒng)密評報告模板對信息系統(tǒng)的密評報告格式進(jìn)行了規(guī)范?！渡逃妹艽a應(yīng)用安全性評估報告模板》（2023

版）發(fā)布發(fā)布在研《商用密碼應(yīng)用安全性評估FAQ》以問答形式解釋了密評過程中常見的典型問題，為相關(guān)單位和從業(yè)人員開展密評工作提供參考。確立了定期更新機(jī)制，不斷應(yīng)對技術(shù)發(fā)展和應(yīng)用情況的變化，以持續(xù)保持密評標(biāo)準(zhǔn)體系的活力。根據(jù)

GB/T

39786-2021，將信息系統(tǒng)密碼應(yīng)用測評要求分為通用測評要求和密碼應(yīng)用測評要求，規(guī)定了信息系統(tǒng)不同等級密碼應(yīng)用的測評要求，從密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)合規(guī)性、密鑰管理安全性方面，提出了第一級到第五級的密碼應(yīng)用通用測評要求；適用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用在規(guī)劃、建設(shè)、運(yùn)行環(huán)節(jié)的商用密碼應(yīng)用安全性評估工作?！缎畔踩夹g(shù)信息系統(tǒng)密碼應(yīng)用測評要求》《商用密碼應(yīng)用安全性評估機(jī)構(gòu)能力要求和評價規(guī)范》規(guī)定了密評機(jī)構(gòu)的能力要求和評價規(guī)范。在密評機(jī)構(gòu)能力要求方面，具體給出了基本條件、組織管理要求、資源要求（人員、工作場所條件、設(shè)施與設(shè)備、分包等）、風(fēng)險控制能力要求、質(zhì)量管理要求；在密評機(jī)構(gòu)能力評價方面給出了評價流程、初次評價、期間評價、能力復(fù)評等要求。在研在研規(guī)定了商用密碼應(yīng)用安全性評估監(jiān)督檢查工作的組織管理形式、監(jiān)督檢查對象、檢查工作內(nèi)容和實(shí)施開展方式，為國家密碼管理部門和?。ㄊ校┟艽a管理部門對轄內(nèi)機(jī)構(gòu)實(shí)施日常監(jiān)督檢查提供依據(jù)，為重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位進(jìn)行商用密碼應(yīng)用自查工作提供標(biāo)準(zhǔn)，為密評機(jī)構(gòu)實(shí)施密評工作提供合規(guī)性指導(dǎo)。《商用密碼應(yīng)用安全性評估監(jiān)督檢查規(guī)范》管理類參考

GB/T

22080《信息技術(shù)

安全技術(shù)

信息安全管理體系要求》，在

GB/T

39786-2021的基礎(chǔ)上，結(jié)合國內(nèi)密碼應(yīng)用安全管理和實(shí)踐經(jīng)驗(yàn)進(jìn)行制定，為網(wǎng)絡(luò)運(yùn)營者建立組織內(nèi)部的密碼應(yīng)用安全管理體系提供指導(dǎo)。標(biāo)準(zhǔn)內(nèi)容包括管理保障、密碼應(yīng)用安全風(fēng)險管理、密碼應(yīng)用安全控制、有效性測量、持續(xù)改進(jìn)和密碼應(yīng)用安全管理體系評估等?！缎畔⑾到y(tǒng)密碼安全管理體系》在研2.3.3

密評標(biāo)準(zhǔn)的特點(diǎn)在國家密碼管理部門的指導(dǎo)下，密評相關(guān)標(biāo)準(zhǔn)規(guī)范、指導(dǎo)性文件在規(guī)范密評活動的同時，也在密評試點(diǎn)過程中得到驗(yàn)證和完善。–

11

–中國密碼學(xué)會密評聯(lián)委會一是注重與相關(guān)標(biāo)準(zhǔn)的銜接性與協(xié)調(diào)性。《中華人民共和國密碼法》第二十七條明確要求“商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評?！泵茉u相關(guān)標(biāo)準(zhǔn)在制修訂過程中嚴(yán)格落實(shí)法律要求，并注重密評與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評工作銜接。以

GB/T

39786-2021為例。第一，GB/T

39786-2021

是商用密碼應(yīng)用安全性評估的基礎(chǔ)性指導(dǎo)。GB/T

39786-2021

和

GB/T

22239-2019《信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱

GB/T

22239-2019）二者既相互補(bǔ)充，又可相互獨(dú)立實(shí)施。標(biāo)準(zhǔn)內(nèi)容的合理設(shè)計(jì)，有效避免了網(wǎng)絡(luò)安全等級保護(hù)測評、密評工作在實(shí)施過程出現(xiàn)重復(fù)評估、測評的情況。第二，信息系統(tǒng)遵循的密碼應(yīng)用等級及范圍參照網(wǎng)絡(luò)安全等級保護(hù)定級。信息系統(tǒng)根據(jù)

GB/T

22240-2020《信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)定級指南》完成定級備案后，其密碼應(yīng)用等級及范圍也相應(yīng)確定。從密評機(jī)構(gòu)的視角看，信息系統(tǒng)完成等級保護(hù)定級是啟動密評的基礎(chǔ)，密評對象的范圍與等級保護(hù)定級范圍保持一致，以減少密評對象等級不同所帶來的復(fù)雜性。第三，在標(biāo)準(zhǔn)具體條款內(nèi)容上，注意與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評相關(guān)標(biāo)準(zhǔn)規(guī)范內(nèi)容的一致性。例如，在

GB/T

22239-2019中，對于等級保護(hù)第三級系統(tǒng)的數(shù)據(jù)完整性要求是“應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)”保障完整性，對于等級保護(hù)第四級系統(tǒng)提出“應(yīng)采用密碼技術(shù)”保障完整性。因此，在GB/T

39786-2021制定過程中，將對應(yīng)行標(biāo)

GM/T

0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》第三級中對完整性要求的約束程度由“應(yīng)”調(diào)整為

GB/T

39786-2021中的“宜”，第四級維持“應(yīng)”的要求。第四，GM/T

0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》、GM/T

0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》是為配合

GB/T

39786-2021的貫徹實(shí)施，更好地指導(dǎo)和規(guī)范密評工作而制定的兩部行業(yè)標(biāo)準(zhǔn)，相關(guān)標(biāo)準(zhǔn)規(guī)范制定中注意與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)相銜接，保證標(biāo)準(zhǔn)規(guī)范內(nèi)容的合規(guī)性。二是標(biāo)準(zhǔn)制定具有科學(xué)性與可落地性。在密評試點(diǎn)推進(jìn)伊始，對信息系統(tǒng)密碼應(yīng)用安全性評估的結(jié)果判定采用符合性判定“一票否決”的機(jī)制，但隨著密評工作的推進(jìn)，該機(jī)制的不適應(yīng)性逐步顯現(xiàn)。一方面，密碼應(yīng)用推進(jìn)工作難度大、周期長，“一票否決”不利于網(wǎng)絡(luò)運(yùn)營者統(tǒng)籌各方資源落實(shí)密碼應(yīng)用要求。另一方面，密評機(jī)構(gòu)在實(shí)施標(biāo)準(zhǔn)過程中，缺乏量化評分機(jī)制，評估過程和評估結(jié)果缺乏說服力。結(jié)合密碼應(yīng)用推進(jìn)工作實(shí)際，《商用密碼應(yīng)用安全性評估量化評估規(guī)則》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》制定工作適時啟動，目前以指導(dǎo)性文件的形式在實(shí)際工作中使用，起到了較好的規(guī)范和引領(lǐng)作用。相比于原有“一票否決”的規(guī)則，“量化評估＋風(fēng)險判定”的綜合判定思路完善了密評結(jié)果的出具過程。量化評估是為了“保量”，即商用密碼應(yīng)用應(yīng)當(dāng)達(dá)到一定的程度，便于縱向和橫向的比較；風(fēng)險判定是為了“保質(zhì)”，即守住信息系統(tǒng)的安全底線。在風(fēng)險可控前提下，《商用密碼應(yīng)用安全性評估量化評估規(guī)則》對系統(tǒng)的密碼應(yīng)用情況給出科學(xué)的定量評價指標(biāo)，主要從密碼使用有效性、密碼算法

/技術(shù)合規(guī)性、密鑰管理安全三個方面量化評估。密碼使用有效性關(guān)注密碼技術(shù)是否被正確、有效使用，以滿足信息系統(tǒng)的安全需求。密碼算法

/技術(shù)合規(guī)性關(guān)注信息系統(tǒng)使用的密碼算法是否符合法律、行政法規(guī)、國家有關(guān)規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的要求，密碼技術(shù)是否遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)或通過國家密碼管理部門審查鑒定。密鑰管理安全關(guān)注密鑰管理的全生命周期是否安全，用于密碼計(jì)算或密鑰管理的密碼產(chǎn)品、密碼服務(wù)是否安全。–

12

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告隨著全社會密碼應(yīng)用保障系統(tǒng)的建設(shè)和能力的提高，量化評估閾值也會隨之進(jìn)行調(diào)整。密碼應(yīng)用安全的量化評估不僅有助于呈現(xiàn)密碼應(yīng)用推進(jìn)的階段性成果，而且為密碼應(yīng)用安全持續(xù)改進(jìn)指明了方向。三是標(biāo)準(zhǔn)制修訂具備靈活性與適應(yīng)性。密評活動離不開密碼應(yīng)用保障系統(tǒng)的建設(shè)情況，制修訂密評標(biāo)準(zhǔn)規(guī)范既要保證一定的先進(jìn)性，又要結(jié)合實(shí)際情況，確保標(biāo)準(zhǔn)規(guī)范真正起到指導(dǎo)密評活動正常有序開展的作用。隨著試點(diǎn)工作的不斷推進(jìn)，密評系列標(biāo)準(zhǔn)也在不斷豐富和發(fā)展。第一，在試點(diǎn)階段，為了更好地指導(dǎo)和規(guī)范密評機(jī)構(gòu)開展密評工作，密評聯(lián)委會本著“共性先立、急用先行”的原則，通過指導(dǎo)性文件的方式先行發(fā)布一些亟需規(guī)范。2020年密評聯(lián)委會發(fā)布《信息系統(tǒng)密碼應(yīng)用測評要求》等

5項(xiàng)商用密碼應(yīng)用與安全性評估指導(dǎo)性文件，之后，多次更新發(fā)布了《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》《商用密碼應(yīng)用安全性評估報告模板》等指導(dǎo)性文件。第二，在密碼行業(yè)標(biāo)準(zhǔn)層面積極推動密評標(biāo)準(zhǔn)制定，同時，對基礎(chǔ)性的、需要在全國范圍內(nèi)統(tǒng)一的技術(shù)要求，適時啟動行標(biāo)升國標(biāo)或國標(biāo)編制的工作，如

GB/T

39786-2021《信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用基本要求》、正在制定的國標(biāo)《信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用測評要求》。第三，持續(xù)推進(jìn)標(biāo)準(zhǔn)文件更新出臺，不斷為密評標(biāo)準(zhǔn)注入生命力。一方面，密碼應(yīng)用與安全性評估活動越來越頻繁，亟需規(guī)范的活動內(nèi)容越來越多。另一方面，密碼應(yīng)用場景的不斷豐富，對不同場景、不同行業(yè)應(yīng)用系統(tǒng)的密評工作帶來了新的挑戰(zhàn)。因此，需要積極歸納總結(jié)密評試點(diǎn)過程的寶貴經(jīng)驗(yàn)，根據(jù)不同場景和典型業(yè)務(wù)需求豐富完善相關(guān)標(biāo)準(zhǔn)內(nèi)容。在后續(xù)工作中，結(jié)合試點(diǎn)實(shí)踐情況，還需要進(jìn)一步推進(jìn)指導(dǎo)性文件加快成熟，并適時制定發(fā)布相應(yīng)的標(biāo)準(zhǔn)文件，以更好地指導(dǎo)商用密碼應(yīng)用與安全性評估工作。2.4

密評程序密評開展程序如圖

2

所示，在系統(tǒng)規(guī)劃階段、建設(shè)階段、運(yùn)行階段，網(wǎng)絡(luò)運(yùn)營者和密評機(jī)構(gòu)需緊密配合，完成密碼應(yīng)用方案評估和信息系統(tǒng)密評工作，并將評估結(jié)果報密碼管理部門備案。在系統(tǒng)的規(guī)劃階段，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，自行或組織商用密碼相關(guān)產(chǎn)業(yè)單位，根據(jù)網(wǎng)絡(luò)安全等級保護(hù)定級情況和密碼應(yīng)用需求，依據(jù)

GB/T

39786-2021等相關(guān)標(biāo)準(zhǔn)要求制定商用密碼應(yīng)用方案，規(guī)劃商用密碼保障系統(tǒng)。方案編制完成后，自行或者委托商用密碼檢測機(jī)構(gòu)開展密碼應(yīng)用方案商用密碼應(yīng)用安全性評估。密碼應(yīng)用方案未通過密評的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。在系統(tǒng)的建設(shè)階段，網(wǎng)絡(luò)運(yùn)營者自行或組織相關(guān)商用密碼產(chǎn)業(yè)單位、系統(tǒng)開發(fā)商等支撐單位，按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案進(jìn)行實(shí)施，落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)。系統(tǒng)運(yùn)行前，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。系統(tǒng)未通過商用密碼應(yīng)用安全性評估的，針對評估中發(fā)現(xiàn)的安全問題及時整改，整改完成后可請密評機(jī)構(gòu)進(jìn)行復(fù)評，改造期間不得投入運(yùn)行。仍未通過的，不得通過項(xiàng)目驗(yàn)收。在系統(tǒng)建成運(yùn)行后，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照法律法規(guī)等相關(guān)要求，自行或者委托商用密碼檢測機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估，確保商用密碼保障系統(tǒng)正確有效運(yùn)行。系統(tǒng)發(fā)生密碼相關(guān)重大安全事–

13

–中國密碼學(xué)會密評聯(lián)委會圖

2

密評程序–

14

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告件、重大調(diào)整或特殊緊急情況時，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)及時聯(lián)系商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估，并依據(jù)評估結(jié)果進(jìn)行應(yīng)急處置，采取必要的安全防范措施。未通過商用密碼應(yīng)用安全性評估的，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)進(jìn)行改造。若系統(tǒng)約束條件發(fā)生重要變化，必要時，項(xiàng)目使用單位需重新修訂和編制密碼應(yīng)用方案，對系統(tǒng)進(jìn)行升級改造并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全。完成規(guī)劃、建設(shè)、運(yùn)行和應(yīng)急評估的每一個階段時，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在商用密碼應(yīng)用安全性評估報告出具

30日內(nèi)，填寫《網(wǎng)絡(luò)與信息系統(tǒng)密評備案信息表》等密評工作情況相關(guān)材料，按照國家密碼管理部門有關(guān)規(guī)定，連同評估報告一起報送國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門備案。國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門應(yīng)當(dāng)對備案材料進(jìn)行形式審查，審查不通過的，應(yīng)當(dāng)責(zé)令網(wǎng)絡(luò)運(yùn)營者重新提供商用密碼應(yīng)用安全性評估報告。相關(guān)商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)配合網(wǎng)絡(luò)運(yùn)營者重新開展商用密碼應(yīng)用安全性評估或者重新出具商用密碼應(yīng)用安全性評估報告，不得重復(fù)收取費(fèi)用。3密評行業(yè)發(fā)展情況3.1

密評試點(diǎn)機(jī)構(gòu)規(guī)模布局日趨合理2021

年國家密碼管理局公告（第

42

號）發(fā)布的密評試點(diǎn)機(jī)構(gòu)共

48

家，可在全國范圍內(nèi)開展密評工作。48家密評試點(diǎn)機(jī)構(gòu)覆蓋全國

18個?。ㄗ灾螀^(qū)、直轄市），其中行業(yè)主管部門推薦機(jī)構(gòu)

20家，地方密碼管理部門推薦機(jī)構(gòu)

28

家，如圖

3

所示。地方密碼管理部門推薦的

28

家機(jī)構(gòu)中，北京市、浙江省、廣東省各

3

家，上海市、山東省、四川省、新疆維吾爾自治區(qū)各

2

家，天津市、河北省、遼寧省、吉林省、江蘇省、安徽省、福建省、江西省、河南省、湖南省、重慶市各

1家。–

15

–中國密碼學(xué)會密評聯(lián)委會–

16

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告3.2

密評人才供給能力持續(xù)提升近年來，密碼專業(yè)人才培養(yǎng)質(zhì)量和數(shù)量“雙提升”。國家密碼管理局持續(xù)加大密評從業(yè)人員考核力度，先后于

2017年

11

月、2020年

1月、2022年

7月、2023年

7月組織

4次密評人員考核，通過密評人員考核人數(shù)穩(wěn)步增加，為密評工作開展提供了重要的人才保障。2021年

3月，“密碼科學(xué)與技術(shù)”列入《普通高等學(xué)校本科專業(yè)目錄（2021年）》，高等職業(yè)教育?？茖I(yè)增加“密碼技術(shù)應(yīng)用”專業(yè)。2022年

9月，密碼專業(yè)正式納入《研究生教育學(xué)科專業(yè)目錄（2022年）》。目前已有

15所高校開設(shè)“密碼科學(xué)與技術(shù)”本科專業(yè)。2022年

9月，人力資源社會保障部頒布了

2022版《中華人民共和國職業(yè)分類大典》，新增“密碼技術(shù)應(yīng)用員”和“密碼工程技術(shù)人員”兩個職業(yè)。密碼技術(shù)應(yīng)用員定義為從事信息系統(tǒng)安全密碼保障的架構(gòu)設(shè)計(jì)、系統(tǒng)集成、檢測評估、運(yùn)維管理、密碼咨詢等相關(guān)密碼服務(wù)的人員。密碼工程技術(shù)人員定義為從事密碼算法與協(xié)議實(shí)現(xiàn)、設(shè)備和系統(tǒng)研制、產(chǎn)品檢測與認(rèn)證、服務(wù)系統(tǒng)設(shè)計(jì)建設(shè)、標(biāo)準(zhǔn)編制、密碼管理、專業(yè)技術(shù)培訓(xùn)咨詢的工程技術(shù)人員。《密碼技術(shù)應(yīng)用員國家職業(yè)技能標(biāo)準(zhǔn)》《密碼工程技術(shù)人員國家職業(yè)標(biāo)準(zhǔn)》均已公開發(fā)布，密碼職業(yè)人才培養(yǎng)認(rèn)定體系正加速構(gòu)建，可有效滿足密評人才需求。3.3

密評覆蓋范圍逐年擴(kuò)大密評試點(diǎn)啟動至今，密評服務(wù)領(lǐng)域覆蓋范圍越來越廣，覆蓋電子政務(wù)、金融、公安、能源、衛(wèi)生健康等重點(diǎn)領(lǐng)域。2018-2022年，年度開展系統(tǒng)評估的系統(tǒng)數(shù)量從

81個增長到

4665個，實(shí)現(xiàn)了大幅增長。–

17

–中國密碼學(xué)會密評聯(lián)委會按照區(qū)域劃分，2018-2022年各區(qū)域開展密評數(shù)量的統(tǒng)計(jì)如表

5及圖

4所示。各區(qū)域密評數(shù)量基本呈上升趨勢，華東地區(qū)密評數(shù)量在各區(qū)域中排名第一。表

5

各區(qū)域開展密評數(shù)量統(tǒng)計(jì)表地區(qū)華北41東北2華東15華中5華南6西南7西北52018年數(shù)量2019年數(shù)量2020年數(shù)量2021年數(shù)量2022年數(shù)量總數(shù)1156268971143172564018174512117319718814244372613741523788613411332024231184026701957911152192485737120010008006004002000華北東北華東2019年數(shù)量華中2020年數(shù)量華南2021年數(shù)量西南2022年數(shù)量西北2018年數(shù)量圖

4

各區(qū)域密評數(shù)量統(tǒng)計(jì)圖–

18

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告按照系統(tǒng)所屬行業(yè)領(lǐng)域劃分，2018-2022年各行業(yè)開展密評數(shù)量的統(tǒng)計(jì)如表

6及圖

5所示。各行業(yè)密評數(shù)量基本呈上升趨勢，政務(wù)行業(yè)密評數(shù)量在各行業(yè)中排名第一。表

6

各行業(yè)密評數(shù)量統(tǒng)計(jì)表行業(yè)政務(wù)19金融15公安7能源5衛(wèi)生健康

社會保障

自然資源交通7其他182018年數(shù)量2019年數(shù)量2020年數(shù)量2021年數(shù)量2022年數(shù)量總數(shù)3522091728302002323275292632261544106472492743619145216343471119938070710449870711233752013321039353741623977302613451463232000150010005000政務(wù)金融公安能源衛(wèi)生健康

社會保障

自然資源交通其他2018年數(shù)量2019年數(shù)量2020年數(shù)量

2021年數(shù)量

2022年數(shù)量圖

5

各行業(yè)密評數(shù)量統(tǒng)計(jì)圖–

19

–中國密碼學(xué)會密評聯(lián)委會2018-2022年各年度密評結(jié)論統(tǒng)計(jì)如圖

6所示，從密評結(jié)果來看，各年度密評通過率呈現(xiàn)逐年增長的趨勢。100.00%90.00%80.00%70.00%60.00%50.00%40.00%30.00%20.00%10.00%0.00%92.59%89.86%80.94%60.60%51.57%48.43%39.40%19.06%10.14%7.41%201820192020不通過率20212022通過率圖

6

各年度密評通過

/

不通過率統(tǒng)計(jì)圖按照機(jī)構(gòu)劃分，2018-2022年各年度機(jī)構(gòu)開展密評數(shù)量（前十）的統(tǒng)計(jì)如圖

7所示。350300250200150100500機(jī)構(gòu)1機(jī)構(gòu)2機(jī)構(gòu)3機(jī)構(gòu)4機(jī)構(gòu)5機(jī)構(gòu)6機(jī)構(gòu)7機(jī)構(gòu)8機(jī)構(gòu)9

機(jī)構(gòu)102018年數(shù)量2019年數(shù)量2020年數(shù)量2021年數(shù)量2022年數(shù)量圖

7

各年度機(jī)構(gòu)密評數(shù)量（前十）統(tǒng)計(jì)圖–

20

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告4發(fā)展建議外部支撐體系建立健全，密評發(fā)展根基持續(xù)夯實(shí)。加快推進(jìn)《商用密碼管理?xiàng)l例》配套制度出臺實(shí)施，推動商用密碼應(yīng)用安全性評估要求與各地區(qū)各有關(guān)部門相關(guān)工作規(guī)劃及政策制度同步部署、深度融合、配套落地，統(tǒng)籌建立資金、人員、技術(shù)等方面要素保障機(jī)制與參考依據(jù)，形成制度化、常態(tài)化、便利化安排，實(shí)現(xiàn)密評工作與網(wǎng)絡(luò)化、數(shù)字化發(fā)展戰(zhàn)略深度融合。加強(qiáng)密碼宣傳教育與密評引導(dǎo)培訓(xùn)，為密碼應(yīng)用單位在信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、管理各環(huán)節(jié)提供密評政策支持和操作指導(dǎo)。內(nèi)在實(shí)施要素供給穩(wěn)定充足，適應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展的密評事業(yè)有利局面逐步形成。系統(tǒng)完善密評相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)，推出密評相關(guān)問題庫、知識庫與案例庫，以及面向大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、云計(jì)算、車聯(lián)網(wǎng)、區(qū)塊鏈、隱私計(jì)算等新領(lǐng)域、新場景、新技術(shù)的技術(shù)指南與測評規(guī)范，不斷增加場景化實(shí)施要素，提升密評可操作性與落地性。強(qiáng)化密評管理平臺、工具、手段創(chuàng)新，研究建設(shè)密碼運(yùn)行安全管理基礎(chǔ)設(shè)施，實(shí)現(xiàn)密評監(jiān)管在線化、動態(tài)化、實(shí)時化，推動密評決策信息化、精準(zhǔn)化、科學(xué)化，通過提升管理效能為行業(yè)生態(tài)建設(shè)添磚加瓦。依法管理有力實(shí)施，規(guī)范有序的密評市場活力充分激發(fā)。規(guī)范密評市場秩序，落實(shí)密評結(jié)果備案等管理制度，組織開展密評工作“飛行檢查”，嚴(yán)厲查處密評違法違規(guī)行為。健全密評聯(lián)委會組織體系，有效整合密評機(jī)構(gòu)參與力量，探索引入社會監(jiān)督，圍繞密評行業(yè)總體規(guī)劃、標(biāo)準(zhǔn)供給、能力建設(shè)、行業(yè)自律等方面廣泛吸納智慧方案。加強(qiáng)各地區(qū)各部門各機(jī)構(gòu)密評實(shí)踐定向指導(dǎo)、經(jīng)驗(yàn)交流與督促考核，全力推動密評機(jī)構(gòu)由試點(diǎn)管理向行政許可銜接轉(zhuǎn)換，建立密評機(jī)構(gòu)常態(tài)化準(zhǔn)入及退出機(jī)制，加快實(shí)現(xiàn)密評職業(yè)人才常態(tài)化教育培訓(xùn)及社會化評價認(rèn)定，豐富機(jī)構(gòu)隊(duì)伍及專業(yè)人才供給。–

21

–中國密碼學(xué)會密評聯(lián)委會附錄

1：密評相關(guān)法規(guī)政策匯總1.1

國家層面密碼應(yīng)用及密評相關(guān)法律法規(guī)發(fā)布

/施行時間發(fā)文

/起草單位（注：已發(fā)布法政策文件律法規(guī)為“施行相關(guān)內(nèi)容時間”，其他為“發(fā)布時間”）第二十七條：法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評。第十三屆全國人民代表大會常務(wù)委

2020年

1月

1日員會第十四次會議通過《密碼法》（中華人民共和國主席令第三十五號）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)按照《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，通過國家網(wǎng)信部門會同國家密碼管理部門等有關(guān)部門組織的國家安全審查。第十二屆全國人民代表第十條：建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。《網(wǎng)絡(luò)安全法》（中華人民共和國主席令第五十三號）大會常務(wù)2017年

6月

1日委員會第二十四次會議通過第二十一條：采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。第十三屆全國人民代表第二十七條：開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)?！稊?shù)據(jù)安全法》（中華人民共和國主席令第八十四號）大會常務(wù)2021年

9月

1日委員會第二十九次會議通過第五十一條：個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理第十三屆全《個人信息保

方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)護(hù)法》（中華

險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的人民共和國主

規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：國人民代表2021年

11

月

1大會常務(wù)委日員會第三十席令第九十一……次會議通過號）（三）采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。–

22

–2023商用密碼應(yīng)用安全性評估發(fā)展研究報告發(fā)布

/施行時間發(fā)文

/起草單位（注：已發(fā)布法律法規(guī)為“施行時間”，其他為“發(fā)布時間”）政策文件相關(guān)內(nèi)容第三十八條：法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。前款所列關(guān)鍵信息基礎(chǔ)設(shè)施通過商用密碼應(yīng)用安全性評估方可投入運(yùn)行，運(yùn)行后每年至少進(jìn)行一次評估，評估情況按照國家有關(guān)規(guī)定報送國家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案。國務(wù)院第

4

次常務(wù)會議修訂通過2023年

4月

14

《商用密碼管日理?xiàng)l例》第四十一條：網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求，使用商用密碼保護(hù)網(wǎng)絡(luò)安全。國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級，確定商用密碼的使用、管理和應(yīng)用安全性評估要求，制定網(wǎng)絡(luò)安全等級保護(hù)密碼標(biāo)準(zhǔn)規(guī)范。第四十二條：商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當(dāng)加強(qiáng)銜接，避免重復(fù)評估、測評。第四十七條：非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)。第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護(hù)，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)?！毒W(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》公安部會同相關(guān)部門2018年

6月

27第三級以上網(wǎng)絡(luò)運(yùn)營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測評機(jī)構(gòu)開展密碼應(yīng)用安全性評估。網(wǎng)絡(luò)通過評估后，方可上線運(yùn)行，并在投入運(yùn)行后，每年至少組織一次評估。密碼應(yīng)用安全性評估結(jié)果應(yīng)當(dāng)報受理備案的公安機(jī)關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。日第五十條：存儲、處理涉及國家秘密信息的關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，還應(yīng)當(dāng)遵守保密法律、行政法規(guī)的規(guī)定。國務(wù)院第

133次常務(wù)會議

2021年

9月

1日

礎(chǔ)設(shè)施安全保《關(guān)鍵信息基關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)的規(guī)定。通過護(hù)條例》第九條：數(shù)據(jù)處理者應(yīng)當(dāng)采取備份、加密、訪問控制等必要措施，保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用，應(yīng)對數(shù)據(jù)安全事件，防范針對和利用數(shù)據(jù)的違法犯罪活動，維護(hù)數(shù)據(jù)的完整性、保密性、可用性。國家網(wǎng)信辦會同相關(guān)部門《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》2021年

11

月

14日數(shù)據(jù)處理者應(yīng)當(dāng)使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)。–

23

–中國密碼學(xué)會密評聯(lián)委會1.2

國家層面密碼應(yīng)用及密評相關(guān)政策文件發(fā)文

/起草單位發(fā)文時間政策文件相關(guān)內(nèi)容第三章“構(gòu)建數(shù)字政府全方位安全保障體系”第二節(jié)“落實(shí)安《國務(wù)院關(guān)于加強(qiáng)數(shù)字

全制度要求”中提出：加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和網(wǎng)絡(luò)政府建設(shè)的指導(dǎo)意見》

安全等級保護(hù)，建立健全網(wǎng)絡(luò)安全、保密監(jiān)測預(yù)警和密碼應(yīng)用（國發(fā)〔2022〕14號）

安全性評估的機(jī)制，定期開展網(wǎng)絡(luò)安全、保密和密碼應(yīng)用檢查，提升數(shù)字政府領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)水平。2022年

6月8日國務(wù)院第四章“全面提升電子證照應(yīng)用支撐能力”第十四條“加強(qiáng)電《國務(wù)院辦公廳關(guān)于加子證照應(yīng)用安全管理和監(jiān)管”中提出：加強(qiáng)電子證照簽發(fā)、歸集、快推進(jìn)電子證照擴(kuò)大國務(wù)院辦公廳2022年

1月20日存儲、使用等各環(huán)節(jié)安全管理，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制應(yīng)用領(lǐng)域和全國互通互度等要求，強(qiáng)化密碼應(yīng)用安全性評估，探索運(yùn)用區(qū)塊鏈、新興認(rèn)的意見》（國辦發(fā)〔密碼技術(shù)、隱私計(jì)算等手段提升電子證照安全防護(hù)、追蹤溯源2022〕3號）和精準(zhǔn)授權(quán)等能力。第九章“著力強(qiáng)化數(shù)字經(jīng)濟(jì)安全體系”第一節(jié)“增強(qiáng)網(wǎng)絡(luò)安全《“十四五”數(shù)字經(jīng)濟(jì)

防護(hù)能力”中提出：提升網(wǎng)絡(luò)安全應(yīng)急處置能力，加強(qiáng)電信、2021年

12月

12日國務(wù)院發(fā)展規(guī)劃》（國發(fā)〔金融、能源、交通運(yùn)輸、水利等重要行業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力，支持開展常態(tài)化安全風(fēng)險評估，加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù)和密碼應(yīng)用安全性評估。2021〕29號）第三章“建設(shè)和資金管理”第十五條、第十六條中提出：項(xiàng)目建設(shè)單位應(yīng)當(dāng)落實(shí)國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評估?！秶艺?wù)信息化項(xiàng)目建設(shè)管理辦法》（國辦發(fā)〔2019〕57號）國務(wù)院辦公廳2019年

12月

30日項(xiàng)目