商用密码应用与安全性评估要点笔记（密评要素、密评政策法规）

最新推荐文章于 2025-03-22 11:04:41 发布

游鲦亭长

最新推荐文章于 2025-03-22 11:04:41 发布

阅读量1.8k

点赞数 1

分类专栏： # 密码应用安全性评估文章标签：安全密码学网络安全系统安全安全威胁分析

本文链接：https://blog.csdn.net/ryanzzzzz/article/details/129343333

版权

密码应用安全性评估专栏收录该内容

84 篇文章

订阅专栏

文章介绍了商用密码应用的安全性评估，包括密评的依据、内容、政策法规，如《商用密码应用安全性评估管理办法》和《商用密码应用安全性测评机构管理办法》等，强调了密评的合规性、正确性和有效性，并详细阐述了密评对象、责任主体、评估流程和监管机制。同时，提到了密评与等保工作的结合，以及测评机构的资质要求和职责。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

2.3 密评要素

词条	内容
密评依据	GB/T 39786-2021《信息系统密码应用基本要求》\ GM/T0115-2021《信息系统密码应用测评要求》\ GM/T0116-2021《信息系统密码应用测评过程指南》
密评原则	独立、客观、公正
密评对象	采用商用密码技术、产品和服务集成建设的网络与信息系统
密评内容	(1)合规性评估：密码算法、密码协议、密钥管理（密码技术）合规性+密码产品、密码服务是否经过核准或者认证合格。 (2)正确性评估：密码技术（算法、协议、密钥管理）、密码产品和密码服务使用是否正确。 (3)有效性评估：是否在信息系统运行过程中发挥实际作用，是否满足安全需求，是否切实解决面临的安全问题。

2.4 密评政策法规

词条	内容
《商用密码应用安全性评估管理办法（试行）》	2017年4月印发，共四章二十二条。责任主体：涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用管理单位密评对象：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、关键信息基础设施以及网络等级保护3级以上信息系统指导、监督和检查部门：国家密码管理部门、省（部）密码管理部门评估程序：规划阶段对密码应用方案进行审查；建设运行阶段对照密码应用方案对系统的安全性开展评估。系统发送密码相关重大安全事件、重大调整或特殊紧急情况，及时组织密评。密评后：测评机构30工作日内报国家密码管理部门备案，责任单位30工作日内报主管部门及所在地区（部门）密码管理部门备案。其中等保三级及以上的同时报所在地公安部门备案。监督检查：不定期开展评估专项检查和抽查工作。密评和等保工作的关系：结合和相互衔接。避免重复测评，在条件允许的情况下，密评工作和等保测评工作合并开展。
《商用密码应用安全性测评机构管理办法（试行）》	规范培育商用密码应用安全性测评机构，适用于测评机构的监督管理，也适用于对测评机构、测评人员及测评活动的管理与规范。机构遴选原则：依法合规、公正公开、客观独立。监管主体：国际密码管理局根据各省部密码管理部门的推荐，负责受理、能力评审和监督检查。测评机构基本条件：公司、工作环境、设备设施、人员结构、规章制度。申请流程：通过初审的申请单位，在60工作日内参加培训、考核和能力评审。机构责任和义务：10个工作日内向国家密码管理局报告(1)机构名称、地址、主要负责人变更；（2）机构法人、股权结构变更；（3）其他重大事项变更。机构和人员法律责任：（1）限期整改，通报或严肃处理：共8条。（2）取消试点资格：公司变更后不再符合基本条件的、故意泄露数据信息的、故意隐瞒或弄虚作假的、自愿推出的。（3）人员限期整改，暂停其参与测评工作，除名并通报：未经允许擅自使用或泄露、出售数据信息、资料或评测报告；测评行为失误或不当；其他违反规定的行为。
《商用密码应用安全性测评机构能力评审实施细则（试行）》	评审原则：公平、公正、独立、客观。评审程序：国家密码管理局组织，评审三个阶段：材料核查、现场评审和综合评议。附件：《商用密码应用安全性测评机构能力要求》
《商用密码应用安全性测评机构能力要求》	基本情况，人员要求，测评实验室条件要求，仪器设备要求，测评实施能力要求，质量管理能力，风险控制能力。人员能力：把握国家密码政策，理解和掌握相关技术标准，熟悉测评方法、流程和工作规范。机构测评能力：安全性技术和管理测评，相关方面作业指导书开发、使用、维护及获取相关结果的专业判断。整体评估能力：单元测评结果汇总综合分析，给出测评结论。搭建密码应用模拟系统的能力。测评工作流程：准备阶段-方案编制阶段-现场测评阶段-报告编制阶段（融入测评机构的作业指导书，并根据测评机构自身的理解和实际情况进一步细化明确，具备可操作性）风险控制能力：充分估计测评过程中可能的风险，对风险制定规避和控制措施。 (1)自身能力或资源不足，（2）测评验证活动、测试设备和工具对系统的影响，（3）残留数据的保护和清理，（4）过程中泄露风险。
密评机构和人员职责	密评的承担单位，需要经过国家密码管理部门组织的试点培育，经评审后纳入试点测评机构目录。密评完成后30工作日内将密评结果报国家密码管理部门。人员应当通过国家密码管理部门（或其授权单位）组织的考核。
系统责任单位职责	责任单位负主体责任。系统规划阶段，制定密码应用建设方案，组织专家或委托具有相关资质的测评机构进行评估（财政性资金项目，密码应用方案结果作为立项必备材料）。建设完成后，密评结果作为系统验收必备材料，通过后方可运行。运行后，定期开展密评（关键信息基础设施、等保3级及以上系统每年至少1次），未通过的整改重新组织密评。密码相关重大变化的，密评后紧急处置，采取必要安全防范措施。密评后30日内报主管部门，所在地区（部门）密码管理部门备案（部委系统，报部委密码管理部门备案）
密码管理部门职责	国家密码管理部门负责指导、监督和检查全国；省(部)密码管理部门负责本地区、本部门、本行业（系统）。国家密码管理部门负责监督检查，主要是2个方面：评估结果（客观、公允和真实）；机构开展评估工作客观、规范和独立性。各地区（部门）密码管理部门定期或不定期检查，国家密码管理部门抽查。