2020年起實施的(of)《中華人(people)民共和(and)國密碼法》（以(by)下簡稱《密碼法》）明确規定了(Got it)商用(use)密碼應用(use)安全性評估（以(by)下簡稱密評）有關要(want)求，新修訂的(of)《商用(use)密碼管理條例》（以(by)下簡稱《條例》）進一(one)步細化了(Got it)相關規定。密評對我(I)國商用(use)密碼應用(use)和(and)管理工作(do)具有重要(want)的(of)推動和(and)規範作(do)用(use)，其體系也在(exist)不(No)斷發展和(and)完善過程中。

一(one)、商用(use)密碼應用(use)安全性評估體系初步建立

（一(one)）體制機制與法規依據逐步成熟規範

《密碼法》首次确立了(Got it)密評工作(do)的(of)法律地(land)位。《密碼法》第二十七條對關鍵信息基礎設施使用(use)商用(use)密碼和(and)開展密評提出(out)了(Got it)明确要(want)求，并在(exist)第三十七條對違反該要(want)求的(of)行爲(for)明确了(Got it)罰則，這(this)從根本上建立起了(Got it)密評制度，也是(yes)開展密評工作(do)最基本的(of)法律依據。随着《密碼法》的(of)貫徹實施，密評工作(do)也得到(arrive)了(Got it)越來(Come)越多的(of)關注和(and)認可，成爲(for)了(Got it)密碼應用(use)推進工作(do)的(of)重要(want)抓手。

新修訂的(of)《條例》對密評工作(do)提出(out)了(Got it)更加具體和(and)細化的(of)要(want)求。在(exist)落實《密碼法》要(want)求的(of)基礎上，《條例》第三十八條進一(one)步明确了(Got it)關鍵信息基礎設施“三同步”、每年定期評估以(by)及備案管理的(of)具體要(want)求：“……運營者應當使用(use)商用(use)密碼進行保護，制定商用(use)密碼應用(use)方案，配備必要(want)的(of)資金和(and)專業人(people)員，同步規劃、同步建設、同步運行商用(use)密碼保障系統，自行或者委托商用(use)密碼檢測機構開展商用(use)密碼應用(use)安全性評估。……，運行後每年至少進行一(one)次評估，評估情況按照國家有關規定報送國家密碼管理部門或者關鍵信息基礎設施所在(exist)地(land)省、自治區、直轄市密碼管理部門備案。”對于(At)與網絡安全等級保護制度的(of)銜接，《條例》第四十一(one)條規定：“網絡運營者應當按照國家網絡安全等級保護制度要(want)求，使用(use)商用(use)密碼保護網絡安全。國家密碼管理部門根據網絡的(of)安全保護等級，确定商用(use)密碼的(of)使用(use)、管理和(and)應用(use)安全性評估要(want)求，制定網絡安全等級保護密碼标準規範。”這(this)及時(hour)回應了(Got it)社會對于(At)等級保護對象開展密碼應用(use)與安全性評估的(of)關切，爲(for)等級保護對象開展密評提供了(Got it)基本遵循。

除了(Got it)《密碼法》和(and)《條例》外，相關部門規章和(and)規範性文件也對密碼應用(use)和(and)密評作(do)出(out)了(Got it)明确規定，包括國務院辦公廳印發的(of)《國家政務信息化項目建設管理辦法》、公安部印發的(of)《貫徹落實網絡安全等級保護制度和(and)關鍵信息基礎設施安全保護制度的(of)指導意見》、财政部印發的(of)《政務信息系統政府采購管理暫行辦法》等，與上述法律法規一(one)起，共同構成了(Got it)密評工作(do)的(of)法律依據和(and)制度支撐。

（二）技術體系與标準規範不(No)斷健全完善

2018年初，爲(for)指導密評試點工作(do)開展，國家密碼管理局發布了(Got it)密碼行業标準GM/T-0054《信息系統密碼應用(use)基本要(want)求》。2018年以(by)來(Come)，基于(At)GM/T-0054開展的(of)密碼應用(use)和(and)安全性評估工作(do)，充分驗證了(Got it)密評工作(do)的(of)科學性和(and)可行性。該标準也在(exist)2021年上升爲(for)國家标準GB/T-39786《信息安全技術 信息系統密碼應用(use)基本要(want)求》，結合密評工作(do)實踐對内容進行了(Got it)優化，更爲(for)科學合理。

爲(for)了(Got it)配合GB/T-39786的(of)實施，更好地(land)指導和(and)規範密評活動，中國密碼學會密評聯委會組織制定了(Got it)《信息系統密碼應用(use)測評要(want)求》《信息系統密碼應用(use)測評過程指南》《信息系統密碼應用(use)高風險判定指引》《商用(use)密碼應用(use)安全性評估量化評估規則》《商用(use)密碼應用(use)安全性評估報告模闆》等5項指導性文件，其中前2項已正式發布爲(for)密碼行業标準GM/T-0115和(and)GM/T-0116。

相比于(At)原有的(of)符合性判定“一(one)票否決”的(of)規則，新的(of)密評标準框架豐富了(Got it)密評結果的(of)出(out)具過程，提出(out)了(Got it)“量化評估＋風險判定”的(of)綜合判定思路。量化評估是(yes)爲(for)了(Got it)“保量”，即商用(use)密碼應用(use)應當達到(arrive)一(one)定的(of)程度，便于(At)縱向和(and)橫向的(of)比較；風險判定是(yes)爲(for)了(Got it)“保質”，即守住信息系統的(of)安全底線。此外，爲(for)了(Got it)規範密評實施和(and)判定活動，中國密碼學會密評聯委會還組織編制了(Got it)《商用(use)密碼應用(use)安全性評估FAQ》，以(by)問答形式解釋了(Got it)密評過程中常見問題，并确立了(Got it)定期更新機制，不(No)斷應對技術發展和(and)應用(use)情況的(of)變化，以(by)持續保持密評标準體系的(of)活力。

（三）機構規模與能力水平持續壯大(big)提升

密評機構不(No)僅是(yes)密評工作(do)實施開展的(of)主體，還是(yes)密碼應用(use)推進工作(do)的(of)宣傳隊，因此其專業水平十分重要(want)。2017年底，第一(one)批密評試點機構遴選工作(do)正式開始，經培育考核，确定了(Got it)首批密評試點機構。2019年底，第二批密評試點機構的(of)遴選正式啓動，吸取第一(one)批密評試點機構能力考核的(of)經驗，結合密評試點階段實際密評工作(do)的(of)要(want)求，第二批密評試點機構的(of)能力考核進一(one)步完善，在(exist)原有的(of)人(people)員能力筆試考核和(and)機構條件現場考核基礎上，将密評報告評估和(and)密評實戰能力考核納入能力考核範圍。這(this)其中，實戰能力考核是(yes)充分克服了(Got it)新冠疫情的(of)不(No)利影響，積極探索解決密評實戰能力如何考核的(of)難題，取得了(Got it)很好的(of)成效，也獲得了(Got it)參與考核機構的(of)積極反饋。實戰能力考核貼近實際，不(No)再是(yes)“紙上談兵”，一(one)方面覆蓋了(Got it)原本理論考試無法涉及的(of)内容，對機構實戰能力進行了(Got it)有效評價，另一(one)方面也對密評工作(do)的(of)開展起到(arrive)了(Got it)有效的(of)引導和(and)教育作(do)用(use)，将密評機構原先對算法、産品進行簡單核查的(of)僵化思路，逐步轉變爲(for)充分采集證據、深入分析數據、客觀給出(out)結果的(of)科學化、合理化路徑。

2020年7月，國家密碼管理局公布了(Got it)第一(one)批24家密評試點機構目錄，并于(At)2021年6月進行目錄更新，其中可面向全國開展密評業務的(of)機構共48家，另外25家可面向本省本行業開展密評業務，形成了(Got it)階梯式的(of)密評機構層次架構。密評試點機構規模不(No)斷擴大(big)、能力逐步提升，爲(for)密評工作(do)規模化、規範化發展提供了(Got it)重要(want)支撐。

二、貫徹落實《條例》，進一(one)步完善密評體系

（一(one)）持續拓展密評工作(do)深度廣度，不(No)斷增強重要(want)領域密碼應用(use)水平

在(exist)法律法規層面，可以(by)預見的(of)是(yes)，随着《條例》發布，配套的(of)規章制度也會陸續出(out)台，進一(one)步細化對密評機構管理和(and)對密評工作(do)管理等要(want)求。在(exist)這(this)些法律法規的(of)具體要(want)求下，密評機構和(and)人(people)員的(of)管理将進一(one)步規範，開展密評的(of)信息系統範圍和(and)數量将進一(one)步擴大(big)。下一(one)步，在(exist)前期金融、政務等領域開展密碼應用(use)和(and)密評工作(do)的(of)良好基礎上，要(want)進一(one)步深入擴展到(arrive)其他(he)重要(want)領域和(and)行業，推動密碼應用(use)和(and)密評要(want)求在(exist)重要(want)領域和(and)行業落地(land)生(born)根，持續增強密碼應用(use)的(of)廣度和(and)深度。

（二）持續推進标準文件更新出(out)台，不(No)斷爲(for)密評體系注入生(born)命力

GB/T-39786針對信息系統提出(out)了(Got it)通用(use)性的(of)密碼應用(use)基本要(want)求，但無法适配于(At)所有類型信息系統和(and)應用(use)場景。近些年，國家密碼管理局以(by)密碼行業标準形式發布了(Got it)針對具體應用(use)場景的(of)密碼應用(use)技術要(want)求和(and)指南，包括電子保單、網上銀行、遠程移動支付、電子招投标、區塊鏈等。随着密碼應用(use)範圍的(of)不(No)斷擴大(big)，亟需新一(one)批的(of)指導性文件用(use)于(At)指導具體場景的(of)密碼應用(use)建設和(and)安全性評估工作(do)，并适情開展文件的(of)标準化。另外，目前密評體系文件中形成标準的(of)還不(No)多，還需進一(one)步推進已經在(exist)制标過程中的(of)《信息系統密碼應用(use)方案設計指南》和(and)《信息系統密碼應用(use)實施指南》等應用(use)指導類文件加快成熟，以(by)更好指導密碼應用(use)與安全性評估工作(do)。

（三）持續加強技術手段建設，不(No)斷提升密評機構能力水平

在(exist)密評實施過程中，目前的(of)工具和(and)手段還不(No)能較好支撐對專門領域（如5G、工業互聯網）中的(of)密碼協議和(and)密碼應用(use)情況進行有效檢查，在(exist)對信息系統重要(want)數據的(of)深入自動分析及密碼應用(use)漏洞的(of)探測方面也存在(exist)較大(big)欠缺。因此，未來(Come)需要(want)圍繞密評實踐過程中的(of)各個(indivual)技術驗證點，進一(one)步加強密評業務開展的(of)技術手段建設。一(one)方面，基于(At)密碼産品/服務等相關标準完善現有典型密評工具，同時(hour)研制并集成密評新工具，如自動化分析工具、密碼應用(use)滲透測試工具，形成可聯動、可動态配置、自動化、一(one)體化的(of)密評工具平台；另一(one)方面，加強密碼應用(use)典型風險庫和(and)應對知識庫建設，爲(for)密評人(people)員的(of)知識培訓、實戰考核和(and)能力驗證提供基礎保障。此外，還需加強密碼應用(use)攻防平台建設，整合密碼應用(use)風險庫以(by)及對應的(of)典型案例庫、惡意攻擊行爲(for)庫等知識庫，結合一(one)體化密評工具平台，形成涵蓋環境仿真、密評人(people)員培訓演練、密評機構能力驗證爲(for)一(one)體的(of)密評核心基礎設施，全面提升我(I)國密評工作(do)質量水平和(and)實戰能力，切實維護重要(want)網絡與信息系統安全。