商用密码应用与安全性评估政策法规
网络空间安全形势与商用密码工作
网络空间已成为与陆地、海洋、天空、太空同等重要的人类“第五空间”
国际网络空间安全形式
1、网络空间安全纳入国家战略
2、网络攻击在国家对抗中深度应用
3、网络攻击已逐步深入网络底层固件
国内网络空间安全形式
1、核心技术受制于人的局面没有得到根本改变
2、信息产品存在巨大安全隐患
3、关键信息基础设施安全防护能力仍然薄弱
密码在网络空间中的重要作用
1、密码支撑构建网络空间安全防护综合体
2、密码助力打造网络空间数据共享价值链
数据的核心在于融合与挖掘,数据的价值在于共享与开放,而共享、交换的基础在信任,密码在数据保护和共享协作中具有信任传递作用
3、密码推动形成网络空间安全协同生态圈
4、密码促进激发网络空间安全发展创造力
20世纪90年代为了破解RSA密码算法而提出的量子大整数因子分解Shor算法,推动了量子计算机研制由理论变为现实。
商用密码的由来与发展
1、截至2019年12月,共发布密码行业标准91项
2、截至2019年12月,2000余款密码产品通过审批,涵盖密码芯片、密码板卡、密码机、密码系统等,形成了较完整的产业链条和产品体系
密码应用的问题
1、密码应用不广泛
2、密码应用不规范
3、密码应用不安全
MD5、SHA-1、RSA-512、RSA-1024、DES等已被警示有风险的密码算法
密评的重要性
1、开展密评是应对网络安全严峻形势的迫切需要
2、开展密评是系统安全维护的必然要求
3、开展密评是相关责任主体的法定职责
商用密码管理法律法规
商用密码管理总体原则:党管密码、依法行政
商用密码应用法律政策要求
密码法
《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,现予公布,自2020年1月1日起施行。第三十五号主席令
第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。
第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条 国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。
第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章 核心密码、普通密码
第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。
第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构 (以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
第十八条 国家加强密码工作机构建设,保障其履行工作职责。国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查
第三章 商 用 密 码
第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用 《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照 《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第四章 法 律 责 任
第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照 《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
第五章 附 则
第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
第四十四条 本法自2020年1月1日起施行。
网络安全法
网络安全法2016年11月7日通过,2017年6月1日起施行。
《网络安全法》第十条:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
《网络安全法》第十六条:“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。”
《网络安全法》第二十一条:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:……采取数据分类、重要数据备份和加密等措施。”
商用密码管理条例
1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”等
《商用密码管理条例》修订将充分体现国家“放管服”改革要求,取消对科研、生产、销售单位等的行政许可事项,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
第九条 国家密码管理部门根据商用密码应用需求或者安全需要,组织对密码算法、密码协议、密钥管理机制等商用密码技术进行安全性审查,通过安全性审查的,列入商用密码技术指导目录。
关键信息基础设施安全保护条例
2021 年 4 月 27 日国务院第 133 次常务会议通过,自 2021 年 9 月 1 日起施行
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起 3 个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
第四十一条 运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额 1 倍以上 10倍以下罚款,对直接负责的主管人员和其他直接责任人员处 1 万元以上 10 万元以下罚款。
第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处 5 万元以上 50 万元以下罚款,对直接负责的主管人员和其他直接责任人员处 1 万元以上 10 万元以下罚款;情节严重的,依法追究相应法律责任。
受到治安管理处罚的人员,5 年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
第四十四条 网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。
国家政务信息化项目建设管理办法
国家发展改革委负责牵头编制国家政务信息化建设规划,对各部门审批的国家政务信息化项目进行备案管理。财政部负责国家政务信息化项目预算管理和政府采购管理,按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告。
2019年12月30日,《国家政务信息化项目建设管理办法》发布,对国家政务信息系统的规划、审批、建设、共享和监管做出规定,其中明确规定了多项密码应用有关要求。政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期进行评估。
信息安全等级保护管理办法
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
商用密码应用安全性评估管理办法(试行)
自 2017 年 4 月 22 日起施行
第二条 本办法所称商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。
第四条 国家密码管理部门负责指导、监督和检查全国商用密码应用安全性评估工作。省(部)密码管理部门负责指导、监督和检查本地区、本部门、本行业(系统)商用密码应用安全性评估工作。
第五条 责任单位应当在系统规划、建设和运行阶段,组织开展商用密码应用安全性评估工作。
第七条 评估工作应当遵守国家法律法规和相关标准,遵循独立、客观、公正的原则。国家标准化管理部门、国家密码管理部门根据各自职责,制定发布商用密码应用安全性评估国家标准、行业标准。
第八条 重要领域网络和信息系统规划阶段,责任单位应当依据商用密码应用安全性有关标准, 制定商用密码应用建设方案, 组织专家或委托测评机构进行评估,评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。
第九条 重要领域网络和信息系统建设完成后,责任单位应当委托测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料。
第十条 重要领域网络和信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估。评估未通过, 责任单位应当限期整改并重新组织评估。关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。其他信息系统定期开展检查和抽查。
第十一条 重要领域网络和信息系统发生密码相关重大安全事件、重大调整或特殊紧急情况,责任单位应当及时组织测评机构开展商用密码应用安全性评估。
第十二条 测评机构完成商用密码应用安全性评估工作后,应在 30 个工作日内将评估结果报国家密码管理部门备案。责任单位完成规划、建设、运行和应急评估后,应在 30 个工作日内将评估结果报主管部门及所在地区(部门)密码管理部门备案。其中,网络安全等级保护第三级及以上信息系统,评估结果应同时报所在地区公安部门备案。
第十四条 各地区(部门)密码管理部门根据工作需要,不定期对本地区(部门)重要领域网络和信息系统开展商用密码应用全性专项检查。国家密码管理部门根据工作需要,不定期对各地区(部门)商用密码应用安全性评估工作开展检查,并对有关重要领域网络和信息系统进行抽查。
第十七条 测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,对所出具的商用密码应用安全性评估结果负责。有弄虚作假、泄露秘密等违反相关规定的行为,按照国家相关法律法规予以处罚。
商用密码应用安全性测评机构管理办法(试行)
国家密码管理局 2017 年 9 月 27 日印发
国家密码管理局负责测评机构的申请受理、能力评审和监督检查等。
第十二条 下列事项发生变更时,测评机构应在 10 个工作日内向国家密码管理局报告。
(一) 测评机构名称地址、主要负责人发生变更的;
(二)测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
第十九条 测评机构有下列情形之一的,国家密码管理局应责令其限期整改:情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具测评报告的;
(二)严重妨碍被测评信息系统正常运行,危害被测评信息系统安全的;
(三)未妥善保管、非授权占有或使用商用密码应用安全性评估相关资料及数据文件的;
(四)分包或转包测评项目,以及有其他扰乱测评市场秩序行为的;
(五)限定被测评单位购买、使用指定信息安全和密码相关产品的;
(六)测评人员未通过培训考核,但从事商用密码应用安全性评估工作的;
(七)未按本办法规定提交材料、报告情况或弄虚作假的;
(八)其他违反商用密码应用安全性评估工作有关规定的行为。
第二十条 测评机构有下列情形之一的,国家密码管理局应取消其商用密码应用安全性测评机构试点资格。
(一)因单位股权、人员等情况发生变动,不符合商用密码应用安全性测评机构基本条件的;
(二)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具测评报告的;
(四)自愿退出测评机构目录的。
第二十一条 测评人员有下列行为之一的,责令测评机构督促其限期改正:情节严重的,责令测评机构暂停其参与测评工作;情形特别严重的,应在商用密码应用安全性测评人员名单中移除,并对其所在测评机构进行通报。
(一)未经允许擅自使用或泄露、出售商用密码应用安全性评估工作中收集的数据信息、资料或测评报告的;
(二)测评行为失误或不当,影响重要领域网络与信息系统安全或造成运营使用单位利益损失的;
(三)其他违反商用密码应用安全性评估工作有关规定的行为
商用密码应用安全性评估工作
密评体系发展历程
第一阶段:制度奠基期(2007年11月至2016年8月)
第二阶段:再次集结期(2016年9月至2017年4月)
第三阶段:体系建设期(2017年5月至2017年9月)
第四阶段:密评试点开展期(2017年10月至今)
商用密码应用安全性评估的主要内容
评估依据
遵循商用密码管理政策和GM/T 0054-2018《信息系统密码应用基本要求》《信息系统密码测评要求(试行)》等相关密码标准和指导性文件的要求,遵循独立、客观、公正的原则。
评估的主要内容
1、商用密码应用合规性评估
是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
2、商用密码应用正确性评估
是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。
3、商用密码应用有效性评估
是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。