速下载！密评联委会发布《测评实施指引》《测评工具指引》

商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。开展密评，有利于解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理，从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在重要网络与信息系统中有效使用。2024年11月28日，中国密码学会密评联委会组织编制了《商用密码应用安全性评估测评实施指引》《商用密码应用安全性评估测评工具指引》，现予以发布，供相关单位开展商用密码应用与安全性评估工作参考。
《商用密码应用安全性评估测评实施指引》文件主要依据GB/T 43206—2023《信息安全技术 信息系统密码应用测评要求》和 GM/T 0116—2021《信息系统密码应用测评过程指南》，结合密码应用技术和管理测评指标，重点给出测评对象确定、测评方式推荐、测评实施操作说明、取证结果说明等内容，对商用密码应用安全性评估的测评实施工作提供指导。文件适用于指导、规范评估方开展商用密码应用安全性评估测评实施工作，旨在解决测评实施过程的规范性，以及取证结果的准确性和完备性，从而为测评结果的合理性和一致性提供可靠证据支撑。在本文件的基础上，评估方可结合有关领域与行业的业务场景和密码应用情况来制定相应的商用密码应用安全性评估作业指导文件。
《商用密码应用安全性评估测评工具指引》文件根据商用密码应用安全性评估工作中测评工具的使用需求，在对测评工具进行分类基础上 提出了测评工具研制要求，并给出测评工具使用指引和使用示例。文件可为商用密码应用安全性评估测评工具的研制、使用提供参考。文件指出所涉及的商用密码应用安全性评估测评工具输出结果仅可用于辅助密评人员进行测评结果判定，信息系统密码应用安全风险应综合深入分析各类网络与信息系统的密码保障措施而确定。文件指出所涉及的商用密码应用安全性评估测评工具应当根据相关标准文件等的更新而及时升级，以确保测评工具的准确性。
为助力产业进步，炼石收集整理此次发布的两项指导文件原文，以供产业同仁学习参考。