商用密码应用与安全性评估之（四）密码应用安全性评估实施要点

商用密码应用安全性评估的主要内容

1、 评估依据和基本原则

测评机构开展评估应当遵循商用密码管理政策和GM/T 0054-2018《信息系统密码应用基本要求》《信息系统密码测评要求（试行）》等相关密码标准和指导性文件的要求，遵循独立、客户端、公正的原则。

2、 评估主要内容

密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统，评估内容包括密码应用安全的三个方面：合规性、正确性和有效性。

1） 商用密码应用合规性评估

商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规都和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

2） 商用密码应用正确性评估

商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

3） 商用密码应有有效性评估

商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。

商用密码应用安全性评估政策法规和规范性文件

为规范密评工作，国家密码管理局制定印发了《商用密码应用安全性评估管理办法（试行）》《商用密码应用安全性测评机构管理办法（试行）》《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件，对测评机构、网络与信息系统责任单位、管理部门提出要求，对评估程序、评估方法、监督管理等进行明确，对测评机构审查认定工作提出要求。同时，组织编制《信息系统密码应用基本要求》标准，以及《信息系统密码测评要求（试行）》《商用密码应用安全性评估测评过程指南（试行）》《商用密码应用安全性评估测评作业指导书（试行）》《商用密码应用安全性评估测评工具使用需求说明（试行）》等指导性文件，知道测评机构规范有序开展评估工作。本部分涉及的政策法规和规范性文件，主要还是在密评试点中提出的制度要求，还将根据《密码法》及配套法规章程的制修订，不断完善和规范。

商用密码应用安全性评估各方职责

根据《商用密码应用安全性评估管理办法（试行）》《商用密码应用安全性测评机构管理办法（试行）》等有关规定的要求，测评机构和测评人员、网络与信息系统管责任单位、密码管理部门三方在密评工作中的职责各不相同，只有三方通力协作配合，才能将密评工作扎实做好。

1、 测评机构和测评人员的职责

商用密码应用安全性评估工作是一项专业性很强的工作，需要专门的测评机构派出专业测评人员实施测评，测评结果作为密码应用安全性评估结论的重要依据。
测评机构是商用密码应用安全性评估的承担单位，应当按照有关法律法规和标准要求科学、公正地开展评估。承担商用密码应用安全性评估工作的测评机构，需要经过国家密码管理部门组织的试点培育，经评审后，纳入试点测评机构目录；在测评过程中，需要全面、客观地放映被测系统的密码应用安全状态，不得泄露被测评对象的工作秘密和重要数据，不得方案被测系统的正常运行。测评机构完成商用密码应用安全性评估工作后，应在30个工作日内将评估结果报国家密码管理局部门备案。
从事商用密码应用安全性评估工作的测评人员应当通过国家密码管理部门（或其他授权的机构）组织的考核，遵守国家有关法律法规，按照相关标准，为用户提供安全、客观、公正的评估服务，保证评估的质量和效果。

2、 网络与信息系统责任单位的职责

网络与信息系统责任单位即网络与信息系统建设、使用、管理单位，是商用密码应用安全性评估的责任单位，应当健全密码保障系统，并在规划、建设和运行阶段，组织开展商用密码应用安全性评估工作，并负主体责任。重要领域网络与信息系统的运营者，应按日下要求开展工作。
第一， 系统规划阶段，网络与信息系统责任单位应当依据商用密码技术标准，制定商用密码应用建设方案，组织专家或委托具有相关资质的测评机构进行评估。其中，使用财政性资金建设的网络和信息系统，商用密码应用安全性评估结果应作为项目立项的必备材料。
第二， 系统建设完成后，网络与信息系统责任单位应当委托具有相关资质的测评机构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料，评估通过后，方可投入运行。
第三， 系统投入运行后，网路与信息系统责任单位应当委托具有相关资质的测评机构定期开展商用密码应用安全性评估。未通过评估的，网络与信息系统责任单位当按照要求进行整改并重新组织评估。其中，关键信息基础设施、网络安全等级保护第三级及以上信息系统每年至少评估一次。
第四， 系统发生密码相关重大安全事件、重大调整或特殊紧急情况时，网络与信息系统责任单位应当及时组织具有相关资质的测评机构开展商用密码应用安全性评估，并依据评估结果进行应急处置，采取必要的安全防范措施。
第五， 完成规划、建设、运行和应急评估后，网络与信息系统责任单位应当在30个工作日内将评估结果报主管部门及所在地区的密码管理部门备案。
网络与信息系统责任单位应当认证履行密码安全安全主题责任，明确密码安全负责人，制定完善的密码管理制度，按照要求开展商用密码应用安全性评估、备案和整改，配合密码管理部门和有关部门的安全检查。

3、 密码管理部门的职责

国家密码管理部门负责指导、监督和检查全国的商用密码应用安全性评估：省密码管理部门负责指导、监督和检查本地区、本部门、本行业的商用密码应用安全性评估工作。

国家密码管理部门依据有关规定，组织对测评结构工作开展情况进行监督检查。检查内容主要包括两方面：对测评机构出具的评估结果的客观、公允和真实性进行评判；对测评结构开展评估工作的客观、规范和独立性进行检查。

各地区密码管理部门根据工作需要，定期或不定期地对本地区、本部门重要领域网络与信息系统商用密码应用安全性评估工作落实情况进行检查。国家密码管理部门对全国的商用密码应用安全性评估工作落实情况进行抽查。检查的主要内容包括：是否在规划、建设、运行阶段按照要求开展商用密码应用安全性评估，评估后问题整改情况，评估结果有效性情况等。
密评工作内容可站内咨询或15011462285。