【图文详解】商用密码应用安全性评估！

信息来源：本站发布时间：2024-09-07 字体：[大中小]

商用密码应用安全性评估（图文详解）.jpg 《中华人民共和国密码法》《商用密码管理条例》公安部【2020】1960号文【2019】57号文商用密码应用安全性评估管理办法

第六条法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

第七条重要网络与信息系统规划阶段，其运营者应当依照相关法律法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统。重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。

第九条重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

第十七条　重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）重要网络与信息系统规划阶段，未对商用密码应用方案进行商用密码应用安全性评估的；

（二）重要网络与信息系统建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；

（三）重要网络与信息系统运行前，未开展商用密码应用安全性评估的；

（四）重要网络与信息系统运行前，未通过商用密码应用安全性评估且未进行改造的；

（五）重要网络与信息系统建成运行后，未定期开展商用密码应用安全性评估的；

（六）重要网络与信息系统建成运行后，未通过定期开展的商用密码应用安全性评估且未进行改造的；

（七）违反法律法规、标准规范要求开展商用密码应用安全性评估的；

（八）不符合相关要求自行开展商用密码应用安全性评估的。

第十八条　重要网络与信息系统的运营者违反本办法规定，有下列情形之一的，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款：

（一）对商用密码应用安全性评估结果施加不当影响的；

（二）未为商用密码应用安全性评估活动提供必要支持的；

（三）未按照要求进行商用密码应用安全性评估结果备案的。

“十四五”发展规划

政务

“十四五”推进国家政务信息化规划

【发布单位】国家发展改革委

摘要：《规划》作为“十四五”期间统筹安排国家政务信息化工作、规范和指导我国政务信息化工程建设的纲领性文件，基本原则中提到要坚持网络安全底线思维，强化网络安全和数据安全，严格保护商业秘密和个人隐私，落实信息安全和信息系统等级分级保护制度，全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力。

能源

电力行业网络安全管理办法（修订征求意见稿）

【发布单位】国家能源局

摘要：电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作，未达到要求的应当及时进行整改。

电力行业网络安全等级保护管理办法（修订征求意见稿）

【发布单位】国家能源局

摘要：电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接，避免重复测评。

水利

“十四五”水利科技创新规划

【发布单位】水利部

水利关键信息基础设施网络安全技术。开展水利关键信息基础设施网络安全防护体系研究,构建网络安全监控平台,研制安全可控的水利关键信息基础设施核心装备,并基于密码技术开展数据安全防护研究。研究建立水利关键信息基础设施网络安全防护体系架构,构建网络空间安全挂图作战一体化监控平台,研制国内领先的水利关键信息基础设施核心装备,创新发展基于风险管控的数据安全治理方法,提升水利关键信息基础设施安全防护能力。

医疗

药品监管网络安全与信息化建设“十四五”规划

【发布单位】国家药监局

摘要：加强网络安全保障管理。完善网络安全保障体系，健全网络安全管理制度，开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。依据《网络安全法》《密码法》等法规，落实《关键信息基础设施安全保护条例》，贯彻网络安全工作责任制，进一步完善大安全体系。

交通

车联网网络安全和数据安全标准体系建设指南

【发布单位】工业和信息化部

摘要：总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等�类标准。密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

交通领域科技创新中长期发展规划纲要（2021-2035年）

【发布单位】交通运输部科技技术部

摘要：围绕全面提升智慧交通发展水平，集中攻克交通运输专业软件和专用系统，加快移动互联网、人工智能、区块链、云计算、大数据等新一代信息技术及空天信息技术与交通运输融合创新应用，推动交通运输领域商用密码创新应用，加快发展交通运输新型基础设施。

金融

中国人民银行关于推进金融IC卡应用工作的意见

【发文单位】中国人民银行

摘要：中国人民银行对银行机构使用的密码基础设施、金融 IC 卡、网上银行、移动支付、关键信息系统提出了密码应用要求，要求采用符合国家密码法律法规和标准要求的密码算法和密码产品，构建安全可控的密码保障体系。2016年，中国人民银行会同原中国银行业监督管理委员会发布《银行卡清算机构管理办法》，要求银行卡清算业务基础设施应满足国家信息安全等级保护要求，使用经国家密码管理部门认可的商用密码产品。

关于修改〈银行卡清算机构管理办法〉的决定（征求意见稿）

【发布单位】中国人民银行中国银行保险监督管理委员会中国证券监督管理委员会明确提出逐步在网上证券、网上期货、网上基金等业务中规范密码应用，按照国家法律法规和标准的要求，推广使用合规有效的密码算法和密码产品。

GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》 GM/T0115-2021 信息系统密码应用测评要求

商用密码应用安全性评估

商用密码应用安全性评估,简称“密评”,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性和有效性进行检测分析和评估验证的活动。

密码应用管理过程应遵循信息安全管理科学规律，采用“计划-实施-检查-改进”循环，以保证密码应用管理体系的持续改进。密评使密码应用管理过程构成闭环，促进密码应用管理体系待续改进。密评活动贯穿于密码应用管理过程整个生命周期，包含信息系统规划阶段对密码应用方案进行评估和建设运行阶段对信息系统进行初次评估、定期评估和应急评估。

三同步一评估

密评的对象⸺重要网络与信息系统：法律、法规和国家哎有关规定要求使用商用密码进行保护的网络与信息系统。

三同步一评估：重要网络与信息系统同步规划、同步建设、同步运行密码保障系统，并定期开展商用密码应用安全性评估。

密评流程

密码应用方案评估

信息系统密码测评报告编制

上一篇：【一文读懂】科技企业：瞪羚、独角兽、专精特新、科技小巨人企业等下一篇：【图文详解】网络安全知识手册正式发布！