什么是密評(píng)？密評(píng)的依據(jù)是什么？

時(shí)間：2022-7-5 11:12:45    閱讀：2108    來源：太原密評(píng)

一、什么是密評(píng)？

商用密碼應(yīng)用安全性評(píng)估（簡稱“密評(píng)”）是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中， 對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估的活動(dòng)。密評(píng)是對(duì)密碼應(yīng)用安全的評(píng)估，立足系統(tǒng)安全、體系安全和動(dòng)態(tài)安全，對(duì)包括密碼算法、密碼協(xié)議和密碼設(shè)備等進(jìn)行整體安全性評(píng)估。

二、密評(píng)的依據(jù)是什么？

1、2019年10月26日第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第十四次會(huì)議表決通過《中華人民共和國密碼法》，自2020年1月1日起施行。

具體要求：

第25條：商用密碼檢測、認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法取得相關(guān)資質(zhì)，并依照法律、行政法規(guī)的規(guī)定和商用密碼檢測認(rèn)證技術(shù)規(guī)范、規(guī)則開展商用密碼檢測認(rèn)證。

第26條：涉及國家安全、國計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機(jī)構(gòu)檢測認(rèn)證合格后，方可銷售或者提供。

第27條：要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。

懲罰措施

對(duì)于關(guān)鍵基礎(chǔ)信息設(shè)施未按照要求使用商用密碼或開展商用密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；

對(duì)于拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，對(duì)單位處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

使用未經(jīng)安全審查或者安全審查未通過的產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

2、基于2007年國家發(fā)改委55號(hào)令，修訂2019年12月30日印發(fā)，2020年2月1日起施行《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

具體要求：

第9條：各部門政務(wù)信息化項(xiàng)目，應(yīng)按規(guī)定履行審批程序并向國家發(fā)改革委進(jìn)行備案。備案文件包括密碼應(yīng)用方案和密碼應(yīng)用安全性評(píng)估報(bào)告。

第15條：政務(wù)信息化項(xiàng)目建設(shè)單位，應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估。

第16條：政務(wù)信息化項(xiàng)目在項(xiàng)目報(bào)批階段，要對(duì)產(chǎn)品的安全可靠情況進(jìn)行說明，包括項(xiàng)目密碼應(yīng)用和安全審查情況。

第25條：政務(wù)信息化項(xiàng)目建成后半年內(nèi)應(yīng)組織驗(yàn)收，驗(yàn)收報(bào)告須有密碼應(yīng)用安全性評(píng)估報(bào)告。材料驗(yàn)收不合格的，不得通過項(xiàng)目驗(yàn)收。

第28條：對(duì)于不符合密碼應(yīng)用要求的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。

第30條：國辦、發(fā)改委等部門會(huì)同有關(guān)職能部門，對(duì)密碼應(yīng)用情況實(shí)施監(jiān)督管理，視情予以通報(bào)批評(píng)、暫緩安排投資計(jì)劃、暫停項(xiàng)目建設(shè)直至終止項(xiàng)目。

第30條：各部門應(yīng)當(dāng)嚴(yán)格按要求采用密碼技術(shù)，并定期開展密碼應(yīng)用安全性評(píng)估，確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。

3、《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》

“第三條涉及國家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡稱責(zé)任單位），應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。重 要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上的信息系統(tǒng)?！?br />
4、《信息系統(tǒng)密碼應(yīng)用測評(píng)要求》等5項(xiàng) 密碼應(yīng)用與安全性評(píng)估指導(dǎo)性文件

依據(jù)《中華人民共和國密碼法》等法律法規(guī),中國密碼 學(xué)會(huì)密評(píng)聯(lián)委會(huì)組織編制了《信息系統(tǒng)密碼應(yīng)用測評(píng)要求》等5項(xiàng)指導(dǎo)性文件,現(xiàn)已公開發(fā)布,可供相關(guān)單位開展商用密碼應(yīng)用與安全性評(píng)估工作參考。

信息系統(tǒng)密碼應(yīng)用測評(píng)要求

信息系統(tǒng)密碼應(yīng)用測評(píng)過程指南

信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引

商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則

商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2020版）