一、密评相关法律法规:
《密码法》明确关键信息基础设施运营者作为第一责任人,应使用商用密码对关键信息基础设施进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码管理条例》进一步细化了关键信息基础设施商用密码应用与安全性评估要求,明确关键信息基础设施应在规划、建设等必要阶段进行评估,投入运行后,还应当定期开展评估。同时,《商用密码管理条例》明确,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。网络安全等级保护制度中的商用密码使用、管理和应用安全性评估要求重点适用对象是第三级以上网络,凸显了对网络安全等级保护三级以上网络加强商用密码应用安全性评估工作、落实商用密码应用相关要求的迫切需要。
《关键信息基础设施安全保护条例》明确,关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定。这对使用密码技术保护关键信息基础设施安全提出了原则性要求。
《网络安全等级保护条例(征求意见稿)》第五章中明确提出密码配备使用、管理和应用安全性评估的有关要求,对网络的密码保护作出规定。其中,对非涉密网络、第三级以上网络提出密码保护要求,明确规定网络运营者应在网络规划、建设和运行阶段委托专业测评机构开展密码应用安全性评估,并对评估结果备案提出了要求 。
二、密评相关国家政策文件
三、密评相关行业政策文件
四、密评相关国家标准
《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》
《GB/T 43207-2023 信息安全技术 信息系统密码应用设计指南 》2024-04-01实施
《GB/T 43206-2023 信息安全技术 信息系统密码应用测评要求》 2024-04-01实施
五、密评相关标准及指导性文件
六、附录
1.1 国家层面密码应用及密评相关法律法规
1.2 国家层面密码应用及密评相关政策文件
1.3 各部门密码应用及密评相关政策文件
1.4 各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评相关政策文件
北京、天津
河北、山西
内蒙古
辽宁、吉林
黑龙江、上海
江苏、浙江
安徽、福建、江西
山东、河南
湖北
湖南、广东
广西
海南
重庆、四川
贵州、云南
西藏、陕西、甘肃
青海、宁夏
新疆
以上内容摘自《2023 商用密码应用安全性评估发展研究报告》