一、为什么要做商用密码应用安全性评估？

商用密码应用安全性评估（简称“密评”）是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性、有效性等进行评估。

当前，国际国内网络空间安全形势严峻，安全事件层出不穷，网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、意识形态斗争的新平台、维护经济社会稳定的新阵地、未来军事角逐的新战场。

对于我们国内来说，核心技术受制于人的局面没有得到根本性改变，对于关键信息基础设施的安全防护能力依然很弱，信息产品也存在巨大的安全隐患，基于以上，将商用密码应用与新技术深度融合，在维护国家安全、促进经济发展、保护人民群众利益中将发挥不可替代的作用。然而我国商用密码应用目前不广泛，不规范，大量系统依旧在使用已经被警示的密码算法，极不安全。

基于目前的严重情况，《中华人民共和国密码法》于2020年1月1日起实施，《密码法》第二十七条规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

《中华人民共和国网络安全法》也指出，网络运营者应当履行网络安全保护义务，并明确在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。采取技术措施和其他必要措施，维护网络数据的完整性、保密性和可用性。

《商用密码应用安全性评估管理办法（试行）》第三条和第二十条也分别指出涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施，网络安全等级保护第三级及以上信息系统。

二、哪些重要领域网络和信息系统需要做密评？

基础信息网络：电信网、广播电视网、互联网；

重要信息系统：公共通信和信息服务、能源、交通、水利、金融、公共服务、教育、公安、住建、工商、社保、卫生计生、测绘地理信息等涉及国计民生和基础信息资源的重要信息系统；

重要工业控制系统：核设施、航空航天、智能制造、石油石化、油气管网、电力系统、水利枢纽、城市设施等重要工业控制系统。

面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位、团体组织使用的面向社会服务的信息系统。

三、继《密码法》2020年1月施行以来，都有哪些地方出台了针对密码应用的法规条例以指导各地相关部门执行？

• 2019年12月30日 国务院办公厅印发《国家政务信息化项目建设管理办法》 

• 2020年4月 广东省印发《广东省政务信息化项目建设管理办法》 

• 2020年4月12日 河北省印发《河北省省级政务信息化项目建设管理办法》 

• 2020年8月26日 河南省印发《河南省政务云管理办法》 

• 2020年9月25日 江西省人民政府办公厅印发《江西省政务信息化项目建设管理办法》 

• 2020年9月 吉林省印发《吉林省政务信息化项目建设管理办法》 

• 2020年12月9日 中国密码学会密评联委会组织编制了《信息系统密码应用测评要求》等5项指导性文件 

• 2021年3月17号 海南六部门联合发布《关于进一步明确省政务信息化项目密码应用有关要求的通知》 

• 2021年3月30日 广西省印发《广西政务信息化项目建设管理办法》 

• 国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,将于2021年10月1日起实施。

• 安徽省密码管理局、安徽省财政厅印发《关于重要领域信息系统密码应用工作的通知》

• 北京市明确将密码应用建设过程中的新建项目所需经费列入同级政府固定资产投资，升级改造和运行维护经费列入同级财政预算，并对密码应用情况进行事前审查。

• 江苏省财政厅、省密码管理局联合印发通知并颁布《江苏省密码产品采购管理目录》

• 天津市委办公厅、市政府办公厅联合印发《关于重要领域网络与信息系统规范使用密码的通知》

• 贵州省委办公厅、省政府办公厅印发《贵州省重要领域网络与信息系统密码应用审核实施意见》

• 2021年7月，山东省济南市密码管理局联合各主要单位印发《关于加强政务信息系统密码应用与安全性评估工作的通知》

• 2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，于2021年9月1日起施行。

• 2021年7月3日，《关键信息基础设施安全保护条例》公布，于2021年9月1日起实施。

• 2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》，于2021年11月1日起施行。

• 2021年11月10日，重庆市人民政府办公厅印发《重庆市人民政府办公厅关于印发重庆市市级政务信息化项目管理办法的通知》。

四、如果不做密评或者密评结果不合格会有什么影响？

《密码法》第三十七条******款规定：关键信息基础设施的运营者违反本法第二十七条******款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款规定：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法（试行）》第二章第十条规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

五、如何进行信息系统密评及密改？

密码应用安全性评估包括两部分重要内容：一是信息系统规划阶段对密码应用方案的评审和评估；二是信息系统建设完成后开展的实际测评。可参考GM/T 0054-2018《信息系统密码应用基本要求》中的条款为主线，主要从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理等方面进行评测。由国家密码管理局批准的专业测评机构进行评测，如刚接触商密并不熟悉，可委托第三方进行方案设计，方案完成后需经过专家讨论或者测评机构评审后进行密改。

六、密码应用安全性评估的具体流程是什么？

1、测评准备阶段，主要是责任单位信息收集和系统自查，使测评机构******掌握被测系统密码使用的详细情况，为测评工作的开展打下基础。

2、方案编制阶段，正确合理确定测评对象、测评边界、测评指标等内容，并依据技术标准、规范编制测评方案、测评结果记录表格，测评方案应通过技术评审并有相关记录。

3、现场测评阶段，严格执行测评方案中的内容和要求。

4、报告编制阶段，给出测评结论，形成测评报告。

七、取得了密评报告后应向哪些部门和机构进行备案？

根据现有规定，责任单位取得报告后，被测单位自行上报主管部门及所在地区（部门）密码管理部门备案，测评机构上报国家密码管理局备案，等保三级及以上信息系统，评估报告还需由被测单位上报至所在地区公安部门备案。