前言：為了這篇博文能夠合規(guī)的發(fā)布,，刪減該章節(jié)中法律法規(guī)部分

深化商用密碼管理改革,，強化商用密碼自主創(chuàng)新,，推進商用密碼合規(guī),、正確、有效應(yīng)用,，是新時期商用密碼發(fā)展面臨的重要任務(wù)

密碼是國家重要戰(zhàn)略資源,，是保障網(wǎng)絡(luò)和信息安全的核心技術(shù)和基礎(chǔ)支撐，是保護國家安全的戰(zhàn)略性資源

國際網(wǎng)絡(luò)空間安全形勢：

1. 網(wǎng)絡(luò)空間安全納入國家戰(zhàn)略
2. 網(wǎng)絡(luò)攻擊在國家對抗中深度應(yīng)用
3. 網(wǎng)絡(luò)攻擊已逐步深入網(wǎng)絡(luò)底層固件

國內(nèi)網(wǎng)絡(luò)空間安全形勢：

1. 核心技術(shù)受制于人的局面沒有的到根本改變
2. 信息產(chǎn)品存在巨大安全隱患
3. 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力仍然薄弱：網(wǎng)絡(luò)安全投入比重低（僅為1%-2%）,、防護方式陳舊

密碼在網(wǎng)絡(luò)空間中的重要作用：

1. 密碼支撐構(gòu)建網(wǎng)絡(luò)空間安全防護綜合體
2. 密碼助力打造網(wǎng)絡(luò)空間數(shù)據(jù)共享價值鏈
3. 密碼推動形成網(wǎng)絡(luò)空間安全協(xié)同生態(tài)圈
4. 密碼促進激發(fā)網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)造力

商用密碼主要用于：保護不屬于國家密碼的信息

SM2,、SM9數(shù)字簽名算法，SM3密碼雜湊算法,，ZUC,、SM4對稱加密算法成為ISO/IEC國際標準

注：2018年10月ZUC算法、2021年6月29日SM4算法已補篇的形式納入ISO/IEC 18033-4

密碼應(yīng)用問題：密碼應(yīng)用不廣泛,、不規(guī)范,、不安全

商用密碼應(yīng)用安全性評估是：發(fā)揮密碼作用的必要手段

開展密評是：應(yīng)對網(wǎng)絡(luò)安全嚴峻形勢的迫切需求、系統(tǒng)安全維護的必然要求,、相關(guān)責任主體的法定職責

密碼應(yīng)用是否合規(guī),、正確、有效涉及：密碼算法,、協(xié)議,、產(chǎn)品、技術(shù)體系,、密鑰管理,、密碼應(yīng)用等六個方面

網(wǎng)絡(luò)與信息系統(tǒng)安全的前提：密碼安全

在保護涉及國家秘密、商業(yè)密碼,、個人隱私等信息的前提下,，依法做好商用密碼有關(guān)信用信息的公開工作

商用密碼應(yīng)用安全性評估體系發(fā)展歷程：

第一階段：制度奠基期（2007年11月至2016年8月）。2007年11月27日,，國家密碼管理局印發(fā)11號文件《信息安全等級保護商用密碼管理辦法》,，要求信息安全等級保護商用密碼測評工作由國家密碼局指定的測評機構(gòu)承擔。2009年12月15日,，國家密碼管理局印發(fā)管理辦法實施意見,，進一步明確了密碼測評有關(guān)要求

第二階段：再次集結(jié)期（2016年9月至2017年4月）。國家密碼管理局成立起草小組,，研究起草《商用密碼應(yīng)用安全性評估管理辦法（試行）》,。2017年4月22日，正式印發(fā)《關(guān)于開展密碼應(yīng)用安全性評估試點工作的通知》（國密局（2017）138號文），在七省五行業(yè)開展密評試點

第三階段：體系建設(shè)期（2017年5月至2017年9月）,。國家密碼管理局成立密評領(lǐng)導小組,，研究確定了密評總體架構(gòu)，并組織有關(guān)單位起草14項制度文件,。2017年9月27日,，國家密碼管理局印發(fā)《商用密碼應(yīng)用安全性測評機構(gòu)管理辦法（試行）》《商用密碼應(yīng)用安全性測評機構(gòu)能力評審實施細則（試行）》《信息系統(tǒng)密碼應(yīng)用基本要求》（后以密碼行業(yè)標準GM/T 0054形式發(fā)布）和《信息系統(tǒng)密碼測評要求（試行）》，密評制度體系初步建立

第四階段：密評試點開展期（2017年10月至今）,。試點開展過程同時也是機構(gòu)培育過程,，包括機構(gòu)申報遴選、考察認定,、發(fā)布目錄,、開展試點測評工作并提升測評機構(gòu)能力、總結(jié)試點經(jīng)驗,、完善相關(guān)規(guī)定,。

密評體系（總體框架）分為兩層共七個要素：

第一層：支撐層，包括法律法規(guī)制度和支撐平臺兩個要素

第二層：實施層,，包括機構(gòu),、人員、測評,、報告,、風控五個要素

密評總體框架：法律法規(guī)制度、支撐平臺,、機構(gòu),、人員、測評,、報告,、風控

密評的主要內(nèi)容：商用密碼應(yīng)用合規(guī)性、正確性和有效性評估

密評的對象：采用商用密碼技術(shù),、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)

評估的內(nèi)容包括密碼應(yīng)用安全的三個方面：合規(guī)性,、正確性、有效性

商用密碼應(yīng)用合規(guī)性評估是指：判斷信息系統(tǒng)使用的密碼算法,、密碼協(xié)議,、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的相關(guān)要求,，使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過國家密碼管理部門核準或由具備資格的機構(gòu)認證合格

商用密碼應(yīng)該正確性評估是指：判斷密碼算法,、密碼協(xié)議、密碼管理,、密碼產(chǎn)品和服務(wù)使用是否正確,，即系統(tǒng)中采用的標準密碼算法,、協(xié)議和密鑰管理機制是否按照相應(yīng)的密碼國家和行業(yè)標準進行正確的設(shè)計和實現(xiàn)，自定義密碼協(xié)議,、密鑰管理機制的設(shè)計和實現(xiàn)是否正確,，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確

商用密碼應(yīng)用有效性評估是指：判斷信息系統(tǒng)中實現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運行過程中發(fā)揮了實際效用,，是否滿足了信息系統(tǒng)的安全需求，是否切實解決了信息系統(tǒng)面臨的安全問題

國家密碼管理局制發(fā)《商用密碼應(yīng)用安全性評估管理辦法（試行）》的目標：明確國家和?。ú浚┟艽a管理部門在密碼應(yīng)用安全性評估中的指導,、監(jiān)督和檢查職責；明確重要信息系統(tǒng)的建設(shè),、使用,、管理單位在測評工作中的主體責任；依法培育測評機構(gòu),，規(guī)范評估行為,，以評促改、以評促用,，形成規(guī)范有序的密碼應(yīng)用安全性評估審查機制,，并與網(wǎng)絡(luò)安全等級等已有制度做好銜接

規(guī)劃階段的產(chǎn)品主要內(nèi)容：對密碼應(yīng)用方案進行審查

建設(shè)和運行階段的密評主要內(nèi)容：對照密碼應(yīng)用方案對系統(tǒng)的安全性開展評估

測評機構(gòu)完成密評工作后，應(yīng)在30個工作日內(nèi)將評估結(jié)果報國家密碼管理部門備案

責任單位完成規(guī)劃,、建設(shè),、運行、應(yīng)急評估,，應(yīng)在30個工作日內(nèi)將評估結(jié)果報主管部門及所有地區(qū)（部門）密碼應(yīng)用部門備案

網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng),，評估結(jié)果應(yīng)同時報在地區(qū)公安部門備案

《商用密碼應(yīng)用安全性評估管理辦法》密評對象范圍包括：基礎(chǔ)信息網(wǎng)絡(luò)、設(shè)計國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng),、重要工業(yè)控制系統(tǒng),、面向社會服務(wù)的政務(wù)信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施,、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)

測評機構(gòu)遴選的基本原則：依法合規(guī),、公正公開、客觀獨立

測評機構(gòu)的監(jiān)管主體：國家密碼管理局根據(jù)各省部密碼管理部門的推薦,，負責測評機構(gòu)的受理,、能力評審和監(jiān)督檢查等

測評機構(gòu)的基本條件：

• 中華人民共和國境內(nèi)注冊，由國家投資,、法人投資或公民投資成立的企事業(yè)單位,；要求產(chǎn)權(quán)關(guān)系明晰，注冊資金500萬元以上,；
• 成立年限在2年以上,，從事信息系統(tǒng)安全相關(guān)工作1年以上，無違法記錄；
• 具備與從事系統(tǒng)測評相適應(yīng)的獨立,、集中,、可控的工作環(huán)境，測評工作場地應(yīng)不小于200平米
• 具備必要的檢測設(shè)施,、設(shè)備,，商用的設(shè)施設(shè)備應(yīng)滿足實施測評工作的要求
• 具備完善的人員結(jié)構(gòu)，包括幻夜技術(shù)人員和管理人員,，通過“密碼應(yīng)用安全性評估人員考核”的人數(shù)不少于10人
• 具備完備的安全保密管理,、項目管理、質(zhì)量管理,、人員管理,、培訓教育、客戶管理和投訴處理等規(guī)章制度

具體要求如下：

1. 安全保密管理規(guī)定應(yīng)當設(shè)計測評活動的安全進行,、客戶和國家密碼的保守,、客戶所有權(quán)信息的保護、專用測評工具的安全保管等問題
2. 項目管理規(guī)定應(yīng)當涉及測評項目實施的全生命周期,，從項目立項到結(jié)束,，以保證測評結(jié)果的公正性和準確性
3. 質(zhì)量管理規(guī)定應(yīng)當涉及影響測評質(zhì)量“人機料法環(huán)”（人員、機器,、原料,、方法、環(huán)境）的各個方面
4. 人員管理規(guī)定應(yīng)當涉及關(guān)鍵管理人員和測評人員的考核,、授權(quán)和上崗等要求
5. 培訓教育管理規(guī)定應(yīng)當涉及培訓計劃的制定,、培訓過程的記錄、培訓結(jié)果的評估等內(nèi)容,，以保證人員具有合格和持續(xù)的測評能力
6. 客戶管理規(guī)定應(yīng)當涉及客戶需求的滿足,、客戶滿意度的調(diào)查、客戶意見的采納和反饋等內(nèi)容
7. 投訴處理管理規(guī)定應(yīng)當描述對客戶投訴的處理過程,，以及處理結(jié)果對測評機構(gòu)質(zhì)量管理體系的改進作用,，其中投訴包括客戶的直接投訴和由密碼管理部門轉(zhuǎn)達的客戶投訴
8. 排他要求：本單位及直接控股的母公司或子公司不得從事商品密碼產(chǎn)品生產(chǎn)、銷售,、集成以及運營等可能影響結(jié)果公正性的活動（測評工具類除外）
9. 法律法規(guī)要求的其他條件

測評機構(gòu)的設(shè)施環(huán)境以及人員是保證測評質(zhì)量的重要基礎(chǔ)

申請測評機構(gòu)應(yīng)提交的材料：

1. 《商用密碼應(yīng)用安全性測評機構(gòu)申請表》
2. 從事與商用密碼相關(guān)工作情況的說明
3. 開展測評工作所需的軟硬件及其他服務(wù)保障設(shè)施配置情況
4. 管理制度建設(shè)情況（需要提供相關(guān)制度的文本文件）
5. 申請單位及其測評人員基本情況（需要提供人員的基本信息）
6. 申請單位認為有必要提交的其他材料

主要負責人包括：測評機構(gòu)的質(zhì)量負責人,，以及負責密碼應(yīng)用安全性評估領(lǐng)域的技術(shù)負責人

測評機構(gòu)下列事項發(fā)生變更時，應(yīng)在10個工作日內(nèi)向國家密碼管理局報告：

1. 測評機構(gòu)名稱,、地址,、主要負責人發(fā)生變更的
2. 測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的
3. 其他重大事項發(fā)生變更的

測評機構(gòu)的法律責任：

1. 未按照有關(guān)標準規(guī)范開展測評或未按規(guī)定出具測評報告的
2. 嚴重妨礙被測評測評系統(tǒng)正常運行,，危害被測評信息系統(tǒng)安全的
3. 未妥善保管,、非授權(quán)占有或使用密碼應(yīng)用安全性評估相關(guān)資料及數(shù)據(jù)文件的
4. 分包或轉(zhuǎn)包測評項目,，以及有其他擾亂測評市場秩序行為的
5. 限定被測評單位購買、使用指定信息安全和密碼相關(guān)產(chǎn)品的
6. 產(chǎn)品人員未通過培訓考核,，但從事密碼應(yīng)用安全性評估工作的
7. 未按本辦法規(guī)定提交材料,、報告情況或弄虛作假的
8. 其他違法密碼應(yīng)用安全性評估工作有關(guān)規(guī)定的行為

測評機構(gòu)由下列情形之一的，國家密碼管理局應(yīng)取消起商用密碼應(yīng)用安全性測評機構(gòu)試點資格：

1. 因單位股權(quán),、人員等情況發(fā)生變動,，不符合商用密碼應(yīng)用安全性評估機構(gòu)基本要求條件的
2. 故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的
3. 故意隱瞞測評過程中發(fā)現(xiàn)的安全問題,，或者在測評過程中弄虛作假未如實出具測評報告的
4. 自愿退出測評機構(gòu)目錄的

測評人員有下列行為之一的,，責令測評機構(gòu)督促其限期修改；情節(jié)嚴重的,，責令測評機構(gòu)暫停其參與 測評工作；情形特別嚴重的,，從密碼應(yīng)用安全性測評人員名單中移除,，并對其所在測評機構(gòu)進行通報：

1. 未經(jīng)允許擅自使用或泄露、出售密碼應(yīng)用安全性評估工作中收集的數(shù)據(jù)信息,、資料或測評報告
2. 測評行為失誤或不當,，影響重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)安全或造成運營使用單位利益損失的
3. 其他違法密碼應(yīng)用安全性評估工作有關(guān)規(guī)定的行為

商用密碼應(yīng)用安全性測評機構(gòu)申請單位能力評審原則：公平、公正,、獨立,、客觀

人員要求：

1. 測評機構(gòu)應(yīng)配置測評技術(shù)負責人與質(zhì)量負責人各1人，應(yīng)熟悉信息系統(tǒng)密碼應(yīng)用安全性測評業(yè)務(wù),，從事商用密碼或質(zhì)量管理相關(guān)工作5年以上
2. 測評人員應(yīng)為簽訂正式合同的員工,，具有本科及以上學歷和密碼相關(guān)經(jīng)驗，且通過“密碼應(yīng)用安全性測評人員考核”的測評人員不少于10人
3. 測評人員的審核以通過培訓考核的測評人員名單為依據(jù)

測評實驗室環(huán)境條件是正確進行測評工作的重要保證,，是確保測評結(jié)果準確性和有效性的重要因素

密碼工作人員離崗離職實行脫密期管理

密碼工作人員上崗應(yīng)當：

• 經(jīng)過密碼教育培訓
• 掌握密碼知識技能
• 簽訂保密承諾書
• 嚴格遵循密碼管理規(guī)章制度

儀器設(shè)備條件要求：

1. 測評機構(gòu)應(yīng)具備符合相關(guān)要求的機房及必要的軟硬件設(shè)備
2. 測評機構(gòu)應(yīng)具有完備的設(shè)備和工具管理制度
3. 儀器設(shè)備具有完整的操作,、維護規(guī)程，儀器設(shè)備使用說明書,、校準報告,、使用記錄、定期維護核準核查制度和記錄,、存放地點和保管人等信息規(guī)范完整

測評實施能力要求：

1. 測評機構(gòu)應(yīng)具有把握國家密碼政策,，理解和掌握相關(guān)技術(shù)標準，熟悉測評方法,、流程和工作規(guī)范等方面知識及能力的測評人員,。
2. 測評機構(gòu)應(yīng)具備密碼應(yīng)用安全性技術(shù)測評實施能力
3. 測評機構(gòu)應(yīng)具備密碼應(yīng)用安全性管理測評實施能力
4. 測評機構(gòu)應(yīng)具備系統(tǒng)整體測評能力
5. 測評機構(gòu)宜具備搭建密碼應(yīng)用模擬系統(tǒng)的能力
6. 依據(jù)測評工作流程，有計劃有步驟地開展測評工作,，并保證測評活動的每個環(huán)節(jié)都得到有效控制,，主要包括四個階段：a)測評準備階段  b)方案編制階段  c)現(xiàn)場測評階段  d)報告編制階段

質(zhì)量管理能力要求五要素：

1. 建立質(zhì)量管理體系,，指定相應(yīng)的質(zhì)量目標，指定質(zhì)量主管,，明確其管理職責
2. 感覺國家有關(guān)密碼規(guī)定指定保密管理制度,，明確保密范圍、保密職責及有關(guān)罰則等內(nèi)容,，定期對工作人員進行保密教育,，防止泄露國家秘密、商業(yè)秘密,、敏感信息和個人隱私等事件,，簽訂《保密責任書》，規(guī)定其應(yīng)當履行的安全保護義務(wù)和承擔的法律責任
3. 依據(jù)相關(guān)技術(shù)標準制定測評項目管理程序,，主要包括從工作的組織形式,、工作職責，測評各階段的工作內(nèi)容和管理要求
4. 保證管理體系的有效運行,，持續(xù)改進自身的測評質(zhì)量和管理水平,，發(fā)現(xiàn)問題及時反饋并采取糾正措施，確保其有效性
5. 指定投訴及爭議處理制度,，嚴格遵守制度并應(yīng)記錄采取的措施

測評過程可能給被測系統(tǒng)帶來的風險：

1. 由于自身能力或資源不足造成的風險
2. 測評驗證活動可能對被測系統(tǒng)正常運行造成影響的風險
3. 測評設(shè)備和工具接入可能對被測系統(tǒng)正常運行造成影響的風險
4. 測評活動殘留數(shù)據(jù)的保護和清理
5. 測評過程中可能發(fā)生的被測系統(tǒng)重要信息（如網(wǎng)絡(luò)拓撲,、IP地址、業(yè)務(wù)流程,、安全機制,、安全隱患和有關(guān)文檔等）泄露的風險

國家密碼管理部門依據(jù)有關(guān)規(guī)定，對測評機構(gòu)進行監(jiān)督檢查,，檢查內(nèi)容主要包括兩方面：

1. 對測評機構(gòu)出具的測評結(jié)果的客觀,、公允和真實性進行評判
2. 對測評機構(gòu)開展評估工作的客觀、規(guī)范和獨立性進行檢查

商用密碼領(lǐng)域的行業(yè)協(xié)會等組織按照法律,、行政法規(guī)極其章程的規(guī)定,，為商用密碼從業(yè)單位提供信息、技術(shù),、培訓等服務(wù),，引導和督促商用密碼從業(yè)單位依法開展商用密碼活動，加強行業(yè)自律,，推動行業(yè)誠信建設(shè),，促進行業(yè)健康發(fā)展。

密碼行業(yè)標準化委員會負責密碼技術(shù),、產(chǎn)品,、系統(tǒng)、管理等方面的標準化工作

商用密碼行業(yè)自律的主要內(nèi)容包括：

1. 規(guī)范商用密碼市場秩序
2. 大力推動行業(yè)誠信建設(shè)
3. 制定并組織實施行業(yè)職業(yè)道德準則
4. 協(xié)調(diào)會員關(guān)系

各級人民政府及其有關(guān)部門應(yīng)當遵循非歧視原則,，依法平等對待包括外商投資企業(yè)在內(nèi)的商用密碼科研,、生產(chǎn),、銷售、服務(wù),、進出口等單位

國家鼓勵在外商投資過程中基于自愿原則和商業(yè)規(guī)則開展商用密碼技術(shù)合作,。行政機關(guān)及其工作人員不得利用行政手段強制轉(zhuǎn)讓商用密碼技術(shù)。

密碼管理部門根據(jù)工作需要會同有關(guān)部門建立核心密碼,、普通密碼的安全監(jiān)測預(yù)警,、安全風險評估、信息通報,、重大事項會商和應(yīng)急處置等協(xié)作機制,，確保核心密碼、普通密碼安全管理的協(xié)同聯(lián)動和有序高效,。

密碼管理部門和有關(guān)部門,、單位的工作人員在密碼工作中濫用職權(quán)、玩忽職守,、徇私舞弊,，或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密和個人隱私的,，依法給予處分。

本章完