一、爲什麽要(yào / yāo)做商用(yòng)密碼應用(yòng)安全性評估？

商用(yòng)密碼應用(yòng)安全性評估（簡稱“密評”）是指在采用(yòng)商用(yòng)密碼技術、産品和服務集成建設的網絡和信息系統中，對(duì)其(qí)密碼應用(yòng)的合規性、正确性、有效性等進行(háng / xíng)評估。

當前，國際國内網絡空間安全形勢嚴峻，安全事(shì)件層出不窮，網絡空間正在加速演變爲各國争相搶奪的新疆域、戰略威懾與控制的新領域、意識形态鬥争的新平台、維護經濟社會(huì)穩定的新陣地、未來軍事(shì)角逐的新戰場。

對(duì)于(yú)我們國内來說，核心技術受制于(yú)人的局面沒有得(dé / de / děi)到根本性改變，對(duì)于(yú)關鍵信息基礎設施的安全防護能(néng)力依然很弱，信息産品也存在巨大的安全隐患，基于(yú)以上，将商用(yòng)密碼應用(yòng)與新技術深度融合，在維護國家(jiā)安全、促進經濟發(fā／fà)展、保護人民群衆利益中将發(fā／fà)揮不可(kě)替代的作用(yòng)。然而(ér)我國商用(yòng)密碼應用(yòng)目前不廣泛，不規範，大量系統依舊在使用(yòng)已經被警示的密碼算法，極不安全。

基于(yú)目前的嚴重情況，《中華人民共和國密碼法》于(yú)2020年(nián)1月1日起實施，《密碼法》第二十(shí)七條規定，法律、行(háng / xíng)政法規和國家(jiā)有關規定要(yào / yāo)求使用(yòng)商用(yòng)密碼進行(háng / xíng)保護的關鍵基礎設施，其(qí)運營者應當使用(yòng)商用(yòng)密碼進行(háng / xíng)保護，自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構開展商用(yòng)密碼應用(yòng)安全性評估。

《中華人民共和國網絡安全法》也指出，網絡運營者應當履行(háng / xíng)網絡安全保護義務，并明确在網絡安全等級保護制度的基礎上，對(duì)關鍵信息基礎設施實行(háng / xíng)重點保護。采取技術措施和其(qí)他必要(yào / yāo)措施，維護網絡數據的完整性、保密性和可(kě)用(yòng)性。

《商用(yòng)密碼應用(yòng)安全性評估管理辦法（試行(háng / xíng)）》第三條和第二十(shí)條也分别指出涉及國家(jiā)安全和社會(huì)公共利益的重要(yào / yāo)領域網絡和信息系統的建設、使用(yòng)、管理單位（以下(xià)簡稱責任單位）應當健全密碼保障體系，實施商用(yòng)密碼應用(yòng)安全性評估。

重要(yào / yāo)領域網絡和信息系統包括：基礎信息網絡、涉及國計民生(shēng)和基礎信息資源的重要(yào / yāo)信息系統、重要(yào / yāo)工業控制系統、面向社會(huì)服務的政務信息系統，以及關鍵信息基礎設施，網絡安全等級保護第三級及以上信息系統。

二、哪些重要(yào / yāo)領域網絡和信息系統需要(yào / yāo)做密評？

基礎信息網絡：電信網、廣播電視網、互聯網；

重要(yào / yāo)信息系統：公共通信和信息服務、能(néng)源、交通、水利、金融、公共服務、教育、公安、住建、工商、社保、衛生(shēng)計生(shēng)、測繪地理信息等涉及國計民生(shēng)和基礎信息資源的重要(yào / yāo)信息系統；

重要(yào / yāo)工業控制系統：核設施、航空航天(tiān)、智能(néng)制造、石油石化、油氣管網、電力系統、水利樞紐、城市設施等重要(yào / yāo)工業控制系統。

面向社會(huì)服務的政務信息系統：黨政機關和使用(yòng)财政性資金的事(shì)業單位、團體組織使用(yòng)的面向社會(huì)服務的信息系統。

三、繼《密碼法》2020年(nián)1月施行(háng / xíng)以來，都有哪些地方出台了針對(duì)密碼應用(yòng)的法規條例以指導各地相關部門執行(háng / xíng)？

• 2019年(nián)12月30日 國務院辦公廳印發(fā／fà)《國家(jiā)政務信息化項目建設管理辦法》 

• 2020年(nián)4月 廣東省印發(fā／fà)《廣東省政務信息化項目建設管理辦法》 

• 2020年(nián)4月12日 河北省印發(fā／fà)《河北省省級政務信息化項目建設管理辦法》 

• 2020年(nián)8月26日 河南省印發(fā／fà)《河南省政務雲管理辦法》 

• 2020年(nián)9月25日 江西省人民政府辦公廳印發(fā／fà)《江西省政務信息化項目建設管理辦法》 

• 2020年(nián)9月 吉林省印發(fā／fà)《吉林省政務信息化項目建設管理辦法》 

• 2020年(nián)12月9日 中國密碼學會(huì)密評聯委會(huì)組織編制了《信息系統密碼應用(yòng)測評要(yào / yāo)求》等5項指導性文件 

• 2021年(nián)3月17号 海南六部門聯合發(fā／fà)布《關于(yú)進一步明确省政務信息化項目密碼應用(yòng)有關要(yào / yāo)求的通知》 

• 2021年(nián)3月30日 廣西省印發(fā／fà)《廣西政務信息化項目建設管理辦法》 

• 國家(jiā)市場監管總局、國家(jiā)标準化管理委員會(huì)發(fā／fà)布公告,正式發(fā／fà)布國家(jiā)标準GB/T39786-2021《信息安全技術信息系統密碼應用(yòng)基本要(yào / yāo)求》,将于(yú)2021年(nián)10月1日起實施。

• 安徽省密碼管理局、安徽省财政廳印發(fā／fà)《關于(yú)重要(yào / yāo)領域信息系統密碼應用(yòng)工作的通知》

• 北京市明确将密碼應用(yòng)建設過(guò)程中的新建項目所(suǒ)需經費列入同級政府固定資産投資，升級改造和運行(háng / xíng)維護經費列入同級财政預算，并對(duì)密碼應用(yòng)情況進行(háng / xíng)事(shì)前審查。

• 江蘇省财政廳、省密碼管理局聯合印發(fā／fà)通知并頒布《江蘇省密碼産品采購管理目錄》

• 天(tiān)津市委辦公廳、市政府辦公廳聯合印發(fā／fà)《關于(yú)重要(yào / yāo)領域網絡與信息系統規範使用(yòng)密碼的通知》

• 貴州省委辦公廳、省政府辦公廳印發(fā／fà)《貴州省重要(yào / yāo)領域網絡與信息系統密碼應用(yòng)審核實施意見》

• 2021年(nián)7月，山東省濟南市密碼管理局聯合各主要(yào / yāo)單位印發(fā／fà)《關于(yú)加強政務信息系統密碼應用(yòng)與安全性評估工作的通知》

• 2021年(nián)6月10日，第十(shí)三屆全國人民代表大會(huì)常務委員會(huì)第二十(shí)九次會(huì)議通過(guò)《中華人民共和國數據安全法》，于(yú)2021年(nián)9月1日起施行(háng / xíng)。

• 2021年(nián)7月3日，《關鍵信息基礎設施安全保護條例》公布，于(yú)2021年(nián)9月1日起實施。

• 2021年(nián)8月20日，第十(shí)三屆全國人民代表大會(huì)常務委員會(huì)第三十(shí)次會(huì)議通過(guò)《中華人民共和國個人信息保護法》，于(yú)2021年(nián)11月1日起施行(háng / xíng)。

• 2021年(nián)11月10日，重慶市人民政府辦公廳印發(fā／fà)《重慶市人民政府辦公廳關于(yú)印發(fā／fà)重慶市市級政務信息化項目管理辦法的通知》。

四、如(rú)果不做密評或者密評結果不合格會(huì)有什麽影響？

《密碼法》第三十(shí)七條第一款規定：關鍵信息基礎設施的運營者違反本法第二十(shí)七條第一款規定，未按照要(yào / yāo)求使用(yòng)商用(yòng)密碼，或者未按照要(yào / yāo)求開展商用(yòng)密碼應用(yòng)安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導緻危害網絡安全等後(hòu)果的，處十(shí)萬元以上一百萬元以下(xià)罰款，對(duì)直接負責的主管人員處一萬元以上十(shí)萬元以下(xià)罰款。

《國家(jiā)政務信息化項目建設管理辦法》第二十(shí)八條第三款規定：對(duì)于(yú)不符合密碼應用(yòng)和網絡安全要(yào / yāo)求，或者存在重大安全隐患的政務信息系統，不安排運行(háng / xíng)維護經費，項目建設單位不得(dé / de / děi)新建、改建、擴建政務信息系統。

《商用(yòng)密碼應用(yòng)安全性評估管理辦法（試行(háng / xíng)）》第二章第十(shí)條規定：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年(nián)至少評估一次。

五、如(rú)何進行(háng / xíng)信息系統密評及密改？

密碼應用(yòng)安全性評估包括兩部分重要(yào / yāo)内容：一是信息系統規劃階段對(duì)密碼應用(yòng)方案的評審和評估；二是信息系統建設完成後(hòu)開展的實際測評。可(kě)參考GM/T 0054-2018《信息系統密碼應用(yòng)基本要(yào / yāo)求》中的條款爲主線，主要(yào / yāo)從總體要(yào / yāo)求、物理和環境安全、網絡和通信安全、設備和計算安全、應用(yòng)和數據安全、密鑰管理和安全管理等方面進行(háng / xíng)評測。由國家(jiā)密碼管理局批準的專業測評機構進行(háng / xíng)評測，如(rú)剛接觸商密并不熟悉，可(kě)委托第三方進行(háng / xíng)方案設計，方案完成後(hòu)需經過(guò)專家(jiā)讨論或者測評機構評審後(hòu)進行(háng / xíng)密改。

六、密碼應用(yòng)安全性評估的具體流程是什麽？

1、測評準備階段，主要(yào / yāo)是責任單位信息收集和系統自(zì)查，使測評機構全面掌握被測系統密碼使用(yòng)的詳細情況，爲測評工作的開展打下(xià)基礎。

2、方案編制階段，正确合理确定測評對(duì)象、測評邊界、測評指标等内容，并依據技術标準、規範編制測評方案、測評結果記錄表格，測評方案應通過(guò)技術評審并有相關記錄。

3、現場測評階段，嚴格執行(háng / xíng)測評方案中的内容和要(yào / yāo)求。

4、報告編制階段，給出測評結論，形成測評報告。

七、取得(dé / de / děi)了密評報告後(hòu)應向哪些部門和機構進行(háng / xíng)備案？

根據現有規定，責任單位取得(dé / de / děi)報告後(hòu)，被測單位自(zì)行(háng / xíng)上報主管部門及所(suǒ)在地區（部門）密碼管理部門備案，測評機構上報國家(jiā)密碼管理局備案，等保三級及以上信息系統，評估報告還需由被測單位上報至所(suǒ)在地區公安部門備案。