什么是密評？密評的依據是什么？

時間：2022-7-5 11:12:45    閱讀：1113    來源：太原密評

一、什么是密評？

商用密碼應用安全性評估（簡稱“密評”）是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中， 對其密碼應用的合規性、正確性和有效性進行評估的活動。密評是對密碼應用安全的評估，立足系統安全、體系安全和動態安全，對包括密碼算法、密碼協議和密碼設備等進行整體安全性評估。

二、密評的依據是什么？

1、2019年10月26日第十三屆全國人民代表大會常務委員會第十四次會議表決通過《中華人民共和國密碼法》，自2020年1月1日起施行。

具體要求：

第25條：商用密碼檢測、認證機構應當依法取得相關資質，并依照法律、行政法規的規定和商用密碼檢測認證技術規范、規則開展商用密碼檢測認證。

第26條：涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。

第27條：要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

懲罰措施

對于關鍵基礎信息設施未按照要求使用商用密碼或開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；

對于拒不改正或者導致危害網絡安全等后果的，對單位處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

使用未經安全審查或者安全審查未通過的產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

2、基于2007年國家發改委55號令，修訂2019年12月30日印發，2020年2月1日起施行《國家政務信息化項目建設管理辦法》

具體要求：

第9條：各部門政務信息化項目，應按規定履行審批程序并向國家發改革委進行備案。備案文件包括密碼應用方案和密碼應用安全性評估報告。

第15條：政務信息化項目建設單位，應同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

第16條：政務信息化項目在項目報批階段，要對產品的安全可靠情況進行說明，包括項目密碼應用和安全審查情況。

第25條：政務信息化項目建成后半年內應組織驗收，驗收報告須有密碼應用安全性評估報告。材料驗收不合格的，不得通過項目驗收。

第28條：對于不符合密碼應用要求的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。

第30條：國辦、發改委等部門會同有關職能部門，對密碼應用情況實施監督管理，視情予以通報批評、暫緩安排投資計劃、暫停項目建設直至終止項目。

第30條：各部門應當嚴格按要求采用密碼技術，并定期開展密碼應用安全性評估，確保政務信息系統運行安全和政務信息資源共享交換的數據安全。

3、《商用密碼應用安全性評估管理辦法(試行)》

“第三條涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位（以下簡稱責任單位），應當健全密碼保障體系，實施商用密碼應用安全性評估。重 要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上的信息系統。”

4、《信息系統密碼應用測評要求》等5項 密碼應用與安全性評估指導性文件

依據《中華人民共和國密碼法》等法律法規,中國密碼 學會密評聯委會組織編制了《信息系統密碼應用測評要求》等5項指導性文件,現已公開發布,可供相關單位開展商用密碼應用與安全性評估工作參考。

信息系統密碼應用測評要求

信息系統密碼應用測評過程指南

信息系統密碼應用高風險判定指引

商用密碼應用安全性評估量化評估規則

商用密碼應用安全性評估報告模板（2020版）