密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑，是国家安全的重要战略资源，也是国家实现安全可控信息技术体系弯道超车的重要突破口。

近年来，国内密码应用形势并不乐观。一是应用不广泛；二是应用不规范；三是密码应用不安全。

为解决当前密码应用存在的突出问题，国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》《国家政务信息化项目建设管理办法》等一系列法律法规，对密码应用安全性评估提出要求，并明确相关预算纳入本级财政预算。

客户在准备商用密码应用安全性评估（简称“密评”）时，具体需要关注哪些问题，该怎么列预算？本文来解答。

问题1：什么是商用密码？

商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心，是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。

问题2：什么是商用密码安全性评估？

商用密码应用安全性评估（简称“密评”），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

问题3：为什么要做密评？

开展密评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。

开展密评，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。

《密码法》第二十七条

法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

《商用密码应用安全性评估管理办法（试行）》第三条、第二十条

涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

《国家政务信息化项目建设管理办法》第十四条、第十五条、第二十五条、第三十条

项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

问题4：谁需要做密评？

《商用密码应用安全性评估管理办法（试行）》第三条

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

基础信息网络：电信网、广播电视网、互联网。

重要信息系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。

重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。

面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

问题5：不做密评或测试结果不合格的影响？

《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法（试行）》第二章第十条

关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

问题6：密评标准是什么？

·GM/T0054-2018《信息系统密码应用基本要求》

·《信息系统密码测评要求（试行）》

·《商用密码应用安全性评估测评过程指南（试行）》

·《商用密码应用安全性评估管理办法（试行）》

·《政务信息系统密码应用与安全性评估指引》（征求意见阶段）

问题7：密评工作内容？

方案评估

对于新建/改造信息系统，密码应用建设方案/改造方案，一般由责任单位组织商用密码从业单位编写, 包括：《密码应用解决方案》《实施方案》和《应急处置方案》。责任单位编写密码应用建设方案/改造方案后，应组织专家或委托密评机构对方案进行评估。

系统评估

依据GM/T0054-2018《信息系统密码应用基本要求》等标准，系统评估主要从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。

测评机构完成系统评估后，出具评估报告。在密评活动结束30个工作日内，将评估结果报密码管理部门等相关部门备案。

问题8：密评工作流程？

 

问题9：密评如何定级与备案？

密评系统的定级参照等级保护的系统定级。在编制和评审密码应用方案时，根据实际密码应用需求，合理确定相应密码应用安全保护等级。

问题10：密评预算怎么列？

针对已建系统建议密码应用安全性评估费按10-12万元/系统列入运营单位下年度预算。

注：广东16万/系统；北京15万/系统；国密局一期试点打包全国招标合同单价10万/系统。

针对新建系统，建议密码应用安全性评估费按10-12万元/系统列支二类费用。

针对新建系统，在规划阶段，需要同步进行密码应用解决方案设计（方案需通过省密码管理局或密评机构的评审方可实施），可研中需列支密码应用解决方案设计费，预估20万/系统。

 

 

转载自山东安可质量有限检测公司公众号