一(one)、爲(for)什麽要(want)做商用(use)密碼應用(use)安全性評估？

商用(use)密碼應用(use)安全性評估（簡稱“密評”）是(yes)指在(exist)采用(use)商用(use)密碼技術、産品和(and)服務集成建設的(of)網絡和(and)信息系統中，對其密碼應用(use)的(of)合規性、正确性、有效性等進行評估。

當前，國際國内網絡空間安全形勢嚴峻，安全事件層出(out)不(No)窮，網絡空間正在(exist)加速演變爲(for)各國争相搶奪的(of)新疆域、戰略威懾與控制的(of)新領域、意識形态鬥争的(of)新平台、維護經濟社會穩定的(of)新陣地(land)、未來(Come)軍事角逐的(of)新戰場。

對于(At)我(I)們(them)國内來(Come)說，核心技術受制于(At)人(people)的(of)局面沒有得到(arrive)根本性改變，對于(At)關鍵信息基礎設施的(of)安全防護能力依然很弱，信息産品也存在(exist)巨大(big)的(of)安全隐患，基于(At)以(by)上，将商用(use)密碼應用(use)與新技術深度融合，在(exist)維護國家安全、促進經濟發展、保護人(people)民群衆利益中将發揮不(No)可替代的(of)作(do)用(use)。然而我(I)國商用(use)密碼應用(use)目前不(No)廣泛，不(No)規範，大(big)量系統依舊在(exist)使用(use)已經被警示的(of)密碼算法，極不(No)安全。

基于(At)目前的(of)嚴重情況，《中華人(people)民共和(and)國密碼法》于(At)2020年1月1日起實施，《密碼法》第二十七條規定，法律、行政法規和(and)國家有關規定要(want)求使用(use)商用(use)密碼進行保護的(of)關鍵基礎設施，其運營者應當使用(use)商用(use)密碼進行保護，自行或者委托商用(use)密碼檢測機構開展商用(use)密碼應用(use)安全性評估。

《中華人(people)民共和(and)國網絡安全法》也指出(out)，網絡運營者應當履行網絡安全保護義務，并明确在(exist)網絡安全等級保護制度的(of)基礎上，對關鍵信息基礎設施實行重點保護。采取技術措施和(and)其他(he)必要(want)措施，維護網絡數據的(of)完整性、保密性和(and)可用(use)性。

《商用(use)密碼應用(use)安全性評估管理辦法（試行）》第三條和(and)第二十條也分别指出(out)涉及國家安全和(and)社會公共利益的(of)重要(want)領域網絡和(and)信息系統的(of)建設、使用(use)、管理單位（以(by)下簡稱責任單位）應當健全密碼保障體系，實施商用(use)密碼應用(use)安全性評估。

重要(want)領域網絡和(and)信息系統包括：基礎信息網絡、涉及國計民生(born)和(and)基礎信息資源的(of)重要(want)信息系統、重要(want)工業控制系統、面向社會服務的(of)政務信息系統，以(by)及關鍵信息基礎設施，網絡安全等級保護第三級及以(by)上信息系統。

二、哪些重要(want)領域網絡和(and)信息系統需要(want)做密評？

基礎信息網絡：電信網、廣播電視網、互聯網；

重要(want)信息系統：公共通信和(and)信息服務、能源、交通、水利、金融、公共服務、教育、公安、住建、工商、社保、衛生(born)計生(born)、測繪地(land)理信息等涉及國計民生(born)和(and)基礎信息資源的(of)重要(want)信息系統；

重要(want)工業控制系統：核設施、航空航天、智能制造、石油石化、油氣管網、電力系統、水利樞紐、城市設施等重要(want)工業控制系統。

面向社會服務的(of)政務信息系統：黨政機關和(and)使用(use)财政性資金的(of)事業單位、團體組織使用(use)的(of)面向社會服務的(of)信息系統。

三、繼《密碼法》2020年1月施行以(by)來(Come)，都有哪些地(land)方出(out)台了(Got it)針對密碼應用(use)的(of)法規條例以(by)指導各地(land)相關部門執行？

• 2019年12月30日 國務院辦公廳印發《國家政務信息化項目建設管理辦法》 

• 2020年4月 廣東省印發《廣東省政務信息化項目建設管理辦法》 

• 2020年4月12日 河北省印發《河北省省級政務信息化項目建設管理辦法》 

• 2020年8月26日 河南省印發《河南省政務雲管理辦法》 

• 2020年9月25日 江西省人(people)民政府辦公廳印發《江西省政務信息化項目建設管理辦法》 

• 2020年9月 吉林省印發《吉林省政務信息化項目建設管理辦法》 

• 2020年12月9日 中國密碼學會密評聯委會組織編制了(Got it)《信息系統密碼應用(use)測評要(want)求》等5項指導性文件 

• 2021年3月17号 海南六部門聯合發布《關于(At)進一(one)步明确省政務信息化項目密碼應用(use)有關要(want)求的(of)通知》 

• 2021年3月30日 廣西省印發《廣西政務信息化項目建設管理辦法》 

• 國家市場監管總局、國家标準化管理委員會發布公告,正式發布國家标準GB/T39786-2021《信息安全技術信息系統密碼應用(use)基本要(want)求》,将于(At)2021年10月1日起實施。

• 安徽省密碼管理局、安徽省财政廳印發《關于(At)重要(want)領域信息系統密碼應用(use)工作(do)的(of)通知》

• 北京市明确将密碼應用(use)建設過程中的(of)新建項目所需經費列入同級政府固定資産投資，升級改造和(and)運行維護經費列入同級财政預算，并對密碼應用(use)情況進行事前審查。

• 江蘇省财政廳、省密碼管理局聯合印發通知并頒布《江蘇省密碼産品采購管理目錄》

• 天津市委辦公廳、市政府辦公廳聯合印發《關于(At)重要(want)領域網絡與信息系統規範使用(use)密碼的(of)通知》

• 貴州省委辦公廳、省政府辦公廳印發《貴州省重要(want)領域網絡與信息系統密碼應用(use)審核實施意見》

• 2021年7月，山東省濟南市密碼管理局聯合各主要(want)單位印發《關于(At)加強政務信息系統密碼應用(use)與安全性評估工作(do)的(of)通知》

• 2021年6月10日，第十三屆全國人(people)民代表大(big)會常務委員會第二十九次會議通過《中華人(people)民共和(and)國數據安全法》，于(At)2021年9月1日起施行。

• 2021年7月3日，《關鍵信息基礎設施安全保護條例》公布，于(At)2021年9月1日起實施。

• 2021年8月20日，第十三屆全國人(people)民代表大(big)會常務委員會第三十次會議通過《中華人(people)民共和(and)國個(indivual)人(people)信息保護法》，于(At)2021年11月1日起施行。

• 2021年11月10日，重慶市人(people)民政府辦公廳印發《重慶市人(people)民政府辦公廳關于(At)印發重慶市市級政務信息化項目管理辦法的(of)通知》。

四、如果不(No)做密評或者密評結果不(No)合格會有什麽影響？

《密碼法》第三十七條第一(one)款規定：關鍵信息基礎設施的(of)運營者違反本法第二十七條第一(one)款規定，未按照要(want)求使用(use)商用(use)密碼，或者未按照要(want)求開展商用(use)密碼應用(use)安全性評估的(of)，由密碼管理部門責令改正，給予警告；拒不(No)改正或者導緻危害網絡安全等後果的(of)，處十萬元以(by)上一(one)百萬元以(by)下罰款，對直接負責的(of)主管人(people)員處一(one)萬元以(by)上十萬元以(by)下罰款。

《國家政務信息化項目建設管理辦法》第二十八條第三款規定：對于(At)不(No)符合密碼應用(use)和(and)網絡安全要(want)求，或者存在(exist)重大(big)安全隐患的(of)政務信息系統，不(No)安排運行維護經費，項目建設單位不(No)得新建、改建、擴建政務信息系統。

《商用(use)密碼應用(use)安全性評估管理辦法（試行）》第二章第十條規定：關鍵信息基礎設施、網絡安全等級保護第三級及以(by)上信息系統，每年至少評估一(one)次。

五、如何進行信息系統密評及密改？

密碼應用(use)安全性評估包括兩部分重要(want)内容：一(one)是(yes)信息系統規劃階段對密碼應用(use)方案的(of)評審和(and)評估；二是(yes)信息系統建設完成後開展的(of)實際測評。可參考GM/T 0054-2018《信息系統密碼應用(use)基本要(want)求》中的(of)條款爲(for)主線，主要(want)從總體要(want)求、物理和(and)環境安全、網絡和(and)通信安全、設備和(and)計算安全、應用(use)和(and)數據安全、密鑰管理和(and)安全管理等方面進行評測。由國家密碼管理局批準的(of)專業測評機構進行評測，如剛接觸商密并不(No)熟悉，可委托第三方進行方案設計，方案完成後需經過專家讨論或者測評機構評審後進行密改。

六、密碼應用(use)安全性評估的(of)具體流程是(yes)什麽？

1、測評準備階段，主要(want)是(yes)責任單位信息收集和(and)系統自查，使測評機構全面掌握被測系統密碼使用(use)的(of)詳細情況，爲(for)測評工作(do)的(of)開展打下基礎。

2、方案編制階段，正确合理确定測評對象、測評邊界、測評指标等内容，并依據技術标準、規範編制測評方案、測評結果記錄表格，測評方案應通過技術評審并有相關記錄。

3、現場測評階段，嚴格執行測評方案中的(of)内容和(and)要(want)求。

4、報告編制階段，給出(out)測評結論，形成測評報告。

七、取得了(Got it)密評報告後應向哪些部門和(and)機構進行備案？

根據現有規定，責任單位取得報告後，被測單位自行上報主管部門及所在(exist)地(land)區（部門）密碼管理部門備案，測評機構上報國家密碼管理局備案，等保三級及以(by)上信息系統，評估報告還需由被測單位上報至所在(exist)地(land)區公安部門備案。