密评一：基础介绍

什么是密评

密评即商用密码应用安全性评估，是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。首次密评之后每年需要复测一次。

政策法规

国家法规

最新各类密码算法和技术要求等可查看 国家密码管理局法规页 。

2018年2月8日，国家密码管理局发布GM/T 0054-2018 《信息系统密码应用基本要求》。

2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》，自2020年1月1日起施行。

2020年12月，中国密码学会密评联委会发布一系列信息系统密码应用测评要求法规，包括《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》。

2021年3月9号，国家市场监督管理总局国家标准化管理委员会正式发布GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，作为GM/T 0054-2018的更新替代版本，该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化,按照信息系统安全等级分别提出了相应的密码应用要求。

行业法规

随着国家密评政策的发布，各行业也有相应的政策落地。

金融行业：2021年7月金标委发布《金融行业信息系统商用密码应用-基本要求》、《测评要求》、《测评过程指南》。

交通行业：交通运输部办公厅《推进综合交通运输大数据发展行动刚要（2020-2025年）》(交科技发[2019]161号)。

教育行业：2020年3月，国家教育部发布关于印发《教育部教育管理信息中心2020年工作要点》的通知。

监管部门

国家密码管理部门：负责指导、监督和检查全国密评工作。

国家和地方密码管理部门：对测评机构工作开展情况进行监督。

密码工作小组：承担具体密码落实和行业指导工作。

测评通过条件

1.“高风险项”—一票否决

2.满分100分，60分通过

※：每一项都有测评标准，根据满足标准的程度来决定测评项属于通过/低/中/高风险，并不是哪些项为固定高风险项。

商用密码范围

密码算法

信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

1.以国家标准或密码行业标准形式公开发布的密码算法（SM2、SM3、SM4、SM9、ZUC），公开标准中涉及的密码算法（SM1、SM7）。

2.不能使用明显存在安全隐患的算法，如DES、MD5、SHA1、RSA1024等。

密码技术

信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。

1.IPSec、SSL协议相关标准GM/T 0022、0024。

2.接口相关标准GM/T 0011、0012、0016、0018、0019。

3.证书相关标准GM/T 0014、0015、0020、0034。

密码产品

信息系统中使用的密码产品/模块，应通过国家密码主管机构认证——商用密码产品型号证书。

密码服务

信息系统中使用的密码服务，应通过国家密码主管机构许可。

测评对象

关键信息基础设施、网络安全保护第三级及以上的信息系统、国家政务信息系统，三者可能会重复。

1.等保三及以上的信息系统必定是密评对象。

2.关键信息基础设施必定是密评对象。

关基测评、等保测评、密评三者测评对象可以简单概括为：

等保测评对象涉及通信网络设施、信息系统（传统信息系统/物联网/移动互联技术信息系统/云计算平台/工业控制系统）、数据资源，测评分为1-5级。

密评对象包含关键信息基础设施、网络安全保护第三级及以上的信息系统、国家政务信息系统，测评也分为1-5级。

关基评估包含所有关键基础设施：公共通信和信息服务、能源、交通、水利、金融、电子政务等重要行业和领域可能严重危害国家安全、国计民生、公共利益的信息设施。

测评内容

测评标准参考GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，分为两大类，八大项。

技术要求：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

管理要求：管理制度、人员管理、建设运行、应急处置。

测评流程

测评流程参考《信息系统密码应用测评过程指南》，由测评单位和被测评单位组成，大致分为以下四步：

测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。

测评单位名录

国家密码管理局公告（第42号）表明，截止目前，全国有48家评估机构。点击直达