商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”）指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性等進(jìn)行評(píng)估。

01

辦理依據(jù)

GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》

《信息系統(tǒng)密碼測(cè)評(píng)要求（試行）》

《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)過(guò)程指南（試行）》

《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》

《商用密碼應(yīng)用安全性評(píng)估作業(yè)指導(dǎo)書(shū)》

《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)工具使用需求說(shuō)明書(shū)》

02

密評(píng)對(duì)象

密評(píng)工作的責(zé)任主體是涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位。密評(píng)對(duì)象包括基礎(chǔ)信息網(wǎng)絡(luò)、涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上的信息系統(tǒng)。

03

主要內(nèi)容

密評(píng)的內(nèi)容包括密碼應(yīng)用安全的三個(gè)方面：合規(guī)性、正確性和有效性。

1.商用密碼應(yīng)用合規(guī)性評(píng)估

商用密碼應(yīng)用合規(guī)性評(píng)估是指判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過(guò)國(guó)家密碼管理部門核準(zhǔn)或由具備資格的機(jī)構(gòu)認(rèn)證合格。

2.商用密碼應(yīng)用正確性評(píng)估

商用密碼應(yīng)用正確性評(píng)估是指判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用是否正確，即系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的密碼國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)，自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)是否正確，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。

3.商用密碼應(yīng)用有效性評(píng)估

商用密碼應(yīng)用有效性評(píng)估是指判定信息系統(tǒng)中實(shí)現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運(yùn)行過(guò)程中發(fā)揮了實(shí)際效用，是否滿足了信息系統(tǒng)的安全需求，是否切實(shí)解決了信息系統(tǒng)面臨的安全問(wèn)題。

04

辦理流程

遞交測(cè)評(píng)相關(guān)申請(qǐng)材料

填寫(xiě)合同信息，提交相關(guān)材料

配合密評(píng)人員調(diào)研分析

配合密評(píng)人員實(shí)施測(cè)評(píng)

收到密評(píng)結(jié)果