一、為(wèi)什麽要做商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估？

商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估（簡稱“密評”）是指在采用(yòng)商(shāng)用(yòng)密碼技(jì )術、産(chǎn)品和服務(wù)集成建設的網絡和信息系統中(zhōng)，對其密碼應用(yòng)的合規性、正确性、有(yǒu)效性等進行評估。

當前，國(guó)際國(guó)内網絡空間安(ān)全形勢嚴峻，安(ān)全事件層出不窮，網絡空間正在加速演變為(wèi)各國(guó)争相搶奪的新(xīn)疆域、戰略威懾與控制的新(xīn)領域、意識形态鬥争的新(xīn)平台、維護經濟社會穩定的新(xīn)陣地、未來軍事角逐的新(xīn)戰場。

對于我們國(guó)内來說，核心技(jì )術受制于人的局面沒有(yǒu)得到根本性改變，對于關鍵信息基礎設施的安(ān)全防護能(néng)力依然很(hěn)弱，信息産(chǎn)品也存在巨大的安(ān)全隐患，基于以上，将商(shāng)用(yòng)密碼應用(yòng)與新(xīn)技(jì )術深度融合，在維護國(guó)家安(ān)全、促進經濟發展、保護人民(mín)群衆利益中(zhōng)将發揮不可(kě)替代的作(zuò)用(yòng)。然而我國(guó)商(shāng)用(yòng)密碼應用(yòng)目前不廣泛，不規範，大量系統依舊在使用(yòng)已經被警示的密碼算法，極不安(ān)全。

基于目前的嚴重情況，《中(zhōng)華人民(mín)共和國(guó)密碼法》于2020年1月1日起實施，《密碼法》第二十七條規定，法律、行政法規和國(guó)家有(yǒu)關規定要求使用(yòng)商(shāng)用(yòng)密碼進行保護的關鍵基礎設施，其運營者應當使用(yòng)商(shāng)用(yòng)密碼進行保護，自行或者委托商(shāng)用(yòng)密碼檢測機構開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。

《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》也指出，網絡運營者應當履行網絡安(ān)全保護義務(wù)，并明确在網絡安(ān)全等級保護制度的基礎上，對關鍵信息基礎設施實行重點保護。采取技(jì )術措施和其他(tā)必要措施，維護網絡數據的完整性、保密性和可(kě)用(yòng)性。

《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法（試行）》第三條和第二十條也分(fēn)别指出涉及國(guó)家安(ān)全和社會公(gōng)共利益的重要領域網絡和信息系統的建設、使用(yòng)、管理(lǐ)單位（以下簡稱責任單位）應當健全密碼保障體(tǐ)系，實施商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。

重要領域網絡和信息系統包括：基礎信息網絡、涉及國(guó)計民(mín)生和基礎信息資源的重要信息系統、重要工(gōng)業控制系統、面向社會服務(wù)的政務(wù)信息系統，以及關鍵信息基礎設施，網絡安(ān)全等級保護第三級及以上信息系統。

二、哪些重要領域網絡和信息系統需要做密評？

基礎信息網絡：電(diàn)信網、廣播電(diàn)視網、互聯網；

重要信息系統：公(gōng)共通信和信息服務(wù)、能(néng)源、交通、水利、金融、公(gōng)共服務(wù)、教育、公(gōng)安(ān)、住建、工(gōng)商(shāng)、社保、衛生計生、測繪地理(lǐ)信息等涉及國(guó)計民(mín)生和基礎信息資源的重要信息系統；

重要工(gōng)業控制系統：核設施、航空航天、智能(néng)制造、石油石化、油氣管網、電(diàn)力系統、水利樞紐、城市設施等重要工(gōng)業控制系統。

面向社會服務(wù)的政務(wù)信息系統：黨政機關和使用(yòng)财政性資金的事業單位、團體(tǐ)組織使用(yòng)的面向社會服務(wù)的信息系統。

三、繼《密碼法》2020年1月施行以來，都有(yǒu)哪些地方出台了針對密碼應用(yòng)的法規條例以指導各地相關部門執行？

• 2019年12月30日 國(guó)務(wù)院辦(bàn)公(gōng)廳印發《國(guó)家政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》 

• 2020年4月 廣東省印發《廣東省政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》 

• 2020年4月12日 河北省印發《河北省省級政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》 

• 2020年8月26日 河南省印發《河南省政務(wù)雲管理(lǐ)辦(bàn)法》 

• 2020年9月25日 江西省人民(mín)政府辦(bàn)公(gōng)廳印發《江西省政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》 

• 2020年9月 吉林省印發《吉林省政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》 

• 2020年12月9日 中(zhōng)國(guó)密碼學(xué)會密評聯委會組織編制了《信息系統密碼應用(yòng)測評要求》等5項指導性文(wén)件 

• 2021年3月17号 海南六部門聯合發布《關于進一步明确省政務(wù)信息化項目密碼應用(yòng)有(yǒu)關要求的通知》 

• 2021年3月30日 廣西省印發《廣西政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》 

• 國(guó)家市場監管總局、國(guó)家标準化管理(lǐ)委員會發布公(gōng)告,正式發布國(guó)家标準GB/T39786-2021《信息安(ān)全技(jì )術信息系統密碼應用(yòng)基本要求》,将于2021年10月1日起實施。

• 安(ān)徽省密碼管理(lǐ)局、安(ān)徽省财政廳印發《關于重要領域信息系統密碼應用(yòng)工(gōng)作(zuò)的通知》

• 北京市明确将密碼應用(yòng)建設過程中(zhōng)的新(xīn)建項目所需經費列入同級政府固定資産(chǎn)投資，升級改造和運行維護經費列入同級财政預算，并對密碼應用(yòng)情況進行事前審查。

• 江蘇省财政廳、省密碼管理(lǐ)局聯合印發通知并頒布《江蘇省密碼産(chǎn)品采購(gòu)管理(lǐ)目錄》

• 天津市委辦(bàn)公(gōng)廳、市政府辦(bàn)公(gōng)廳聯合印發《關于重要領域網絡與信息系統規範使用(yòng)密碼的通知》

• 貴州省委辦(bàn)公(gōng)廳、省政府辦(bàn)公(gōng)廳印發《貴州省重要領域網絡與信息系統密碼應用(yòng)審核實施意見》

• 2021年7月，山(shān)東省濟南市密碼管理(lǐ)局聯合各主要單位印發《關于加強政務(wù)信息系統密碼應用(yòng)與安(ān)全性評估工(gōng)作(zuò)的通知》

• 2021年6月10日，第十三屆全國(guó)人民(mín)代表大會常務(wù)委員會第二十九次會議通過《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》，于2021年9月1日起施行。

• 2021年7月3日，《關鍵信息基礎設施安(ān)全保護條例》公(gōng)布，于2021年9月1日起實施。

• 2021年8月20日，第十三屆全國(guó)人民(mín)代表大會常務(wù)委員會第三十次會議通過《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》，于2021年11月1日起施行。

• 2021年11月10日，重慶市人民(mín)政府辦(bàn)公(gōng)廳印發《重慶市人民(mín)政府辦(bàn)公(gōng)廳關于印發重慶市市級政務(wù)信息化項目管理(lǐ)辦(bàn)法的通知》。

四、如果不做密評或者密評結果不合格會有(yǒu)什麽影響？

《密碼法》第三十七條第一款規定：關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用(yòng)商(shāng)用(yòng)密碼，或者未按照要求開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估的，由密碼管理(lǐ)部門責令改正，給予警告；拒不改正或者導緻危害網絡安(ān)全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

《國(guó)家政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》第二十八條第三款規定：對于不符合密碼應用(yòng)和網絡安(ān)全要求，或者存在重大安(ān)全隐患的政務(wù)信息系統，不安(ān)排運行維護經費，項目建設單位不得新(xīn)建、改建、擴建政務(wù)信息系統。

《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法（試行）》第二章第十條規定：關鍵信息基礎設施、網絡安(ān)全等級保護第三級及以上信息系統，每年至少評估一次。

五、如何進行信息系統密評及密改？

密碼應用(yòng)安(ān)全性評估包括兩部分(fēn)重要内容：一是信息系統規劃階段對密碼應用(yòng)方案的評審和評估；二是信息系統建設完成後開展的實際測評。可(kě)參考GM/T 0054-2018《信息系統密碼應用(yòng)基本要求》中(zhōng)的條款為(wèi)主線(xiàn)，主要從總體(tǐ)要求、物(wù)理(lǐ)和環境安(ān)全、網絡和通信安(ān)全、設備和計算安(ān)全、應用(yòng)和數據安(ān)全、密鑰管理(lǐ)和安(ān)全管理(lǐ)等方面進行評測。由國(guó)家密碼管理(lǐ)局批準的專業測評機構進行評測，如剛接觸商(shāng)密并不熟悉，可(kě)委托第三方進行方案設計，方案完成後需經過專家讨論或者測評機構評審後進行密改。

六、密碼應用(yòng)安(ān)全性評估的具(jù)體(tǐ)流程是什麽？

1、測評準備階段，主要是責任單位信息收集和系統自查，使測評機構全面掌握被測系統密碼使用(yòng)的詳細情況，為(wèi)測評工(gōng)作(zuò)的開展打下基礎。

2、方案編制階段，正确合理(lǐ)确定測評對象、測評邊界、測評指标等内容，并依據技(jì )術标準、規範編制測評方案、測評結果記錄表格，測評方案應通過技(jì )術評審并有(yǒu)相關記錄。

3、現場測評階段，嚴格執行測評方案中(zhōng)的内容和要求。

4、報告編制階段，給出測評結論，形成測評報告。

七、取得了密評報告後應向哪些部門和機構進行備案？

根據現有(yǒu)規定，責任單位取得報告後，被測單位自行上報主管部門及所在地區(qū)（部門）密碼管理(lǐ)部門備案，測評機構上報國(guó)家密碼管理(lǐ)局備案，等保三級及以上信息系統，評估報告還需由被測單位上報至所在地區(qū)公(gōng)安(ān)部門備案。