一、為(wèi)什麼要做商用密碼應用安全性評遠什估？

商用密碼應用安全性評估（簡稱“密評”）是指在采用商用密碼技術、産品和服務集成建設的少飛網絡和信息系統中，對其密碼應用的合規性、正确性、有效性等進行筆個評估。

當前，國際國内網絡空間安全形勢嚴峻，安全事件層出不到家(bù)窮，網絡空間正在加速演變為(wè到低i)各國争相搶奪的新疆域、戰略威懾與控制的新友街領域、意識形态鬥争的新平台、維護經濟社會(huì)穩定的我微新陣地、未來軍事角逐的新戰場。

對于我們(men)國内來說(shuō)，核心技術受制于人的局面沒有得不秒(de)到根本性改變，對于關鍵信息基礎設施的安全防秒綠護能力依然很弱，信息産品也存在巨大(dà)的安全學玩隐患，基于以上，将商用密碼應用與新技術深度融合，在維護國家(jiā)安全、促進志視經濟發展、保護人民群衆利益中将發揮不(bù)可替代的作用。然而我國商用密區也碼應用目前不(bù)廣泛，不(bù)規範，大(dà)農好量系統依舊在使用已經被警示的密碼算法，極不(bù)安全。業制

基于目前的嚴重情況，《中華人民共和國密碼法》于2020年1月1日起實施，《密碼法》第二十七條規定，法律、行政法規和那能國家(jiā)有關規定要求使用商用密碼進行保護的關鍵基礎設施，其運音中營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開(刀區kāi)展商用密碼應用安全性評估。

《中華人民共和國網絡安全法》也指出，網絡運營者應當履行網絡安做區全保護義務，并明确在網絡安全等級保護制度的基礎上，對關鍵信息基了子礎設施實行重點保護。采取技術措施和其他(tā)必要措施，維護網絡數據的完整性就見、保密性和可用性。

《商用密碼應用安全性評估管理辦法（試行）》第三條和第二十條爸高也分别指出涉及國家(jiā)安全和社會(huì家分)公共利益的重要領域網絡和信息系統的建設、使船河用、管理單位（以下簡稱責任單位）應當健全密碼保障體系，實施商跳朋用密碼應用安全性評估。

重要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資村家(zī)源的重要信息系統、重要工(gōng)業控制系統、面向社會(hu體村ì)服務的政務信息系統，以及關鍵信息基礎設施，網絡安為妹全等級保護第三級及以上信息系統。

二、哪些重要領域網絡和信息系統需要做密評？

基礎信息網絡：電信網、廣播電視網、互聯網；

重要信息系統：公共通(tōng)信和信息服務、能源、交通(tōng)子冷、水利、金(jīn)融、公共服務、教育、公安、住建、工(g草明ōng)商、社保、衛生計生、測繪地理信息等涉及國計民生和基礎信雪拿息資(zī)源的重要信息系統；

重要工(gōng)業控制系統：核設施、航空航天、智能黃外制造、石油石化、油氣管網、電力系統、水利樞紐、城市設施等重要工(gōng)業控司大制系統。

面向社會(huì)服務的政務信息系統：黨政機關刀冷和使用财政性資(zī)金(jīn)的事業單志海位、團體組織使用的面向社會(huì)服務的信息系統。

三、繼《密碼法》2020年1月施行以來，都有哪些地方出台了針對密碼應用的法規現舊條例以指導各地相關部門執行？

• 2019年12月30日 國務院辦公廳印發《國家(jiā)政務信息化項目吃哥建設管理辦法》 

• 2020年4月 廣東省印發《廣東省政務信息化項目建設管理辦法》 

• 2020年4月12日 河北省印發《河北省省級政務信息化項目建設管理辦法》&nb他來sp;

• 2020年8月26日 河南省印發《河南省政務雲管理辦法》 

• 2020年9月25日 江西省人民政府辦公廳印發《江西省政務信息化項目建設管理辦法》 飛畫;

• 2020年9月 吉林(lín)省印發《吉林(lín)省妹時政務信息化項目建設管理辦法》 

• 2020年12月9日 中國密碼學會(huì)密評聯委會(huì)組織編制了《信制吃息系統密碼應用測評要求》等5項指導性文件 

• 2021年3月17号 海南六部門聯合發布《關于進一步明确省政務信息化項目密碼物妹應用有關要求的通(tōng)知》 

• 2021年3月30日 廣西省印發《廣西政務信息化項目建設管理辦法》 

• 國家(jiā)市場監管總局、國家(jiā)标準化管理委員會(huì)發林劇布公告,正式發布國家(jiā)标準GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》,将于2021年10月1日起實施。

• 安徽省密碼管理局、安徽省财政廳印發《關于重嗎還要領域信息系統密碼應用工(gōng)作的通(tōng)知》

• 北京市明确将密碼應用建設過程中的新建項目所需經費列入同級政府窗空固定資(zī)産投資(zī)，升級改造和運行維護經費列入同級财政預算，并對嗎放密碼應用情況進行事前審查。

• 江蘇省财政廳、省密碼管理局聯合印發通(tōng)知并頒布《江蘇省密碼産物術品采購管理目錄》

• 天津市委辦公廳、市政府辦公廳聯合印發《關是兒于重要領域網絡與信息系統規範使用密碼的通(tōng)知》

• 貴州省委辦公廳、省政府辦公廳印發《貴州省重要領域網絡與信息她要系統密碼應用審核實施意見》

• 2021年7月，山東省濟南市密碼管理局聯合各主要單位印發《關于加強政務信息那木系統密碼應用與安全性評估工(gōng)作的通(tōng)用國知》

• 2021年6月10日，第十三屆全國人民代表大(dà)會(huì)常多唱務委員會(huì)第二十九次會(huì)議通(tōng)過《中華人民共愛器和國數據安全法》，于2021年9月1日起施行。

• 2021年7月3日，《關鍵信息基礎設施安全保護條例》公布，于2021年9月1日起實施。

• 2021年8月20日，第十三屆全國人民代表大(dà)會(huì)常務委員用兵會(huì)第三十次會(huì)議通(tōng)過《中華人民共和國個人樂答信息保護法》，于2021年11月1日起施行。

• 2021年11月10日，重慶市人民政府辦公廳印發《重慶市人民政府辦公廳關于印發重慶市市級政務信息化項目管理辦法的通(tōng)知》。

四、如(rú)果不(bù)做密評或者密評結果市來不(bù)合格會(huì)有什麼影響？

《密碼法》第三十七條******款規定：關鍵信息基礎設施的多去運營者違反本法第二十七條******款規定，未按照要求使用商用密碼，或者未很對按照要求開(kāi)展商用密碼應用安全性評估的，體鐵由密碼管理部門責令改正，給予警告；拒不(bù北答)改正或者導緻危害網絡安全等後果的，處十萬元以上一百萬元以下罰款，對友地直接負責的主管人員處一萬元以上十萬元以下罰款。

《國家(jiā)政務信息化項目建設管理辦法》第二十八條第三款規定：對于多海不(bù)符合密碼應用和網絡安全要求，或者存在重大(d笑森à)安全隐患的政務信息系統，不(bù)安排運行維護經費，項目建設單位不(哥樹bù)得(de)新建、改建、擴建政務信息系統。

《商用密碼應用安全性評估管理辦法（試行）》第二章第十條規定購店：關鍵信息基礎設施、網絡安全等級保護第三級及以上信兵空息系統，每年至少評估一次。

五、如(rú)何進行信息系統密評及密改？

密碼應用安全性評估包括兩部分重要内容：一是信息系統規劃階話用段對密碼應用方案的評審和評估；二是信息系統建設完成大議後開(kāi)展的實際測評。可參考GM/T 0054-2018《信息系統密碼應用基本要求》中的條款為(wèi)主線，主要從總體要雪樂求、物理和環境安全、網絡和通(tōng)信安全、設備和計算安全、應用和數據影劇安全、密鑰管理和安全管理等方面進行評測。由國家(jiā)玩樹密碼管理局批準的專業測評機構進行評測，如(rú)剛接快下觸商密并不(bù)熟悉，可委托第三方進行方案設計，遠爸方案完成後需經過專家(jiā)讨論或者測評機構評審後進行密改。

六、密碼應用安全性評估的具體流程是什麼？

1、測評準備階段，主要是責任單位信息收集和系統自查，使農器測評機構******掌握被測系統密碼使用業師的詳細情況，為(wèi)測評工(gōng)作的開(kāi)展打下基礎。老機

2、方案編制階段，正确合理确定測評對象、測評邊界、測評指标等内容，并那從依據技術标準、規範編制測評方案、測評結果記錄表格，測評方案應通(作窗tōng)過技術評審并有相關記錄。

3、現場測評階段，嚴格執行測評方案中的内容和要求。腦購

4、報告編制階段，給出測評結論，形成測評報告。

七、取得(de)了密評報告後應向哪些部門和機構進行備案？

根據現有規定，責任單位取得(de)報告後，被測單位自行上報主管部門及所在地區姐做（部門）密碼管理部門備案，測評機構上報國家(jiā)密碼管理局備案，等保三級房數及以上信息系統，評估報告還需由被測單位上報至所在地區公安部門備案。