2023商用密码应用安全性评估发展研究报告.pdf

1、2023 年 8 月商用密码应用安全性评估 发展研究报告2023 I 当前，世界之变、时代之变、历史之变正以前所未有的方式展开，党的二十大报告为我们擘画了以中国式现代化推进中华民族伟大复兴的宏伟蓝图，开启了全面建成社会主义现代化强国、实现第二个百年奋斗目标的新征程。这举旗定向的政治宣言、引领复兴的行动纲领以专章论述“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”，指出“必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿党和国家工作各方面全过程，确保国家安全和社会稳定。”网络安全是国家安全的重要组成部分，密码作为国之重器，是保障网络与数据安全的核心技术，是数字经济高质量发展的基础，是

2、推进中国式现代化的重要支撑。商用密码应用安全性评估（以下简称密评），作为密码应用管理过程的重要组成部分和不可缺失的环节，是发挥密码作用的重要抓手。密评活动贯穿于密码应用管理整个生命周期，对维护网络和数据安全、赋能数字经济、护航中国式现代化发展具有重要意义。我国高度重视密评工作，出台多项顶层战略规划和法律法规，要求在重点领域和关键环节开展密评，为密评工作提供了合规驱动力。各地区、各领域积极落实密评要求，加强密评政策引导，加速推动密码在金融、通信、公安、税务、社保、交通、卫生健康、能源、电子政务等领域中的应用。在国家密码管理局的指导下，密评工作机制不断健全，密评机构能力进一步增强，密评活动标准化工

3、作持续推进，密评程序逐步完善，密评进入蓬勃发展时期。未来，密评将焕发出更强的生命力和活力，持续为保障数字经济安全、助力现代化强国建设发挥积极作用。2023 年 7 月 1 日，商用密码管理条例正式施行，标志着密评从试点建设迈向依法管理的新阶段。站在推进密评法制化建设的新起点，本报告总结了密评相关政策法规要求及密评体系建设进展，分析了密评行业发展情况，并对密评工作未来发展提出了建议，为密评相关工作者提供参考。前 言 II 中国密码学会密评联委会版权声明本报告版权属于中国密码学会商用密码应用安全性评估联合委员会，并受法律保护。转载、摘编或以其他方式使用报告文字或观点的，均应注明“来源：中国密码学会

4、商用密码应用安全性评估联合委员会”或“来源：密评联委会”。违反以上声明者，中国密码学会商用密码应用安全性评估联合委员会将保留追究其相关法律责任的权利。商用密码应用安全性评估 发展研究报告2023 III 本报告主要编写单位：中国工业互联网研究院（工业和信息化部密码应用研究中心）、深圳市网安计算机安全检测技术有限公司、北京炼石网络技术有限公司、江苏省信息安全测评中心、中国电子科技集团公司第十五研究所、工业和信息化部电子第五研究所、中国电子信息产业发展研究院、中国信息通信研究院本报告主要编写人员：王聪、唐明环、查奇文、王伟忠、彭浩楠、杨宏志、孙少波、白小勇、钱晶、魏婷、张齐军、张腾标、衡帅、刘健、

5、杨龙、韦永霜、张皓涵、王东阳、李佳曦 IV 中国密码学会密评联委会引言.11 密评相关政策法规要求.21.1 国家法律法规布局密评顶层设计.21.2 国家多项政策文件为密评实施提供指引.31.3 有关部门出台指导性及规范性文件落实密评要求.41.4 相关地区积极将密评要求纳入地方政策制度.52 密评体系建设进展.52.1 密评工作机制.62.2 密评机构培育.82.3 密评系列标准.92.4 密评程序.133 密评行业发展情况.153.1 密评试点机构规模布局日趋合理.153.2 密评人才供给能力持续提升.173.3 密评覆盖范围逐年扩大.174 发展建议.21附录 1：密评相关法规政策汇总.

6、221.1 国家层面密码应用及密评相关法律法规.221.2 国家层面密码应用及密评相关政策文件.241.3 各部门密码应用及密评相关政策文件.251.4 各省（自治区、直辖市）及新疆生产建设兵团密码应用及密评相关政策文件.29附录 2：密评相关标准与指导性文件列表.48附录 3：密评大事记.49目 录 1 在数字经济时代，密码作为国家重要战略资源，广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，是保障网络与信息安全的核心技术和基础支撑。在推动数字经济高质量发展、推进中国式现代的进程中，如何更好地规范商用密码应用和管理、

7、发挥密码在保障网络安全中的核心支撑作用至关重要。商用密码应用安全性评估作为验证密码应用科学性的有效手段和方法，既是应对网络安全严峻形势的迫切需要，也是落实国家重要领域和关键行业网络安全防护责任的有效手段，更是全面贯彻落实中华人民共和国密码法（以下简称密码法）和商用密码管理条例基本要求、推进商用密码法治建设的重要举措。密码应用涉及密码算法、技术、产品、服务、密钥管理等多个方面。在当前密码应用实践中，由于密码专业技术人员保障不足，密码应用要求理解把握不到位，密码错用、误用情况经常发生。商用密码应用安全性评估依据科学全面的测评标准，由专业的技术人员采用专业的技术手段和测评工具，科学直观地对信息系统密

8、码应用情况给出评价，发现信息系统密码应用存在的不规范、不安全、不正确等问题，给出专业、可行的意见建议，为网络运营者掌握系统密码应用情况并进一步开展密码应用改造提供支撑，有效规范密码应用，提升网络安全保障水平。引 言 2 中国密码学会密评联委会1 密评相关政策法规要求商用密码应用安全性评估（以下简称密评）是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动1。密评是衡量与改进网络与信息系统密码保障水平的关键技术措施，对密码应用的助力推动和网络安全的兜底保障作用突出。我国立足国情将密评相关工作要求纳入顶层设计，出台法律法规

9、、政策文件，推动密评体系不断完善，密评工作进入新发展阶段。1.1 国家法律法规布局密评顶层设计我国充分适应新时代商用密码事业发展需要，坚持密评的立法、司法、执法和守法协同推进，通过法律法规明确密评的重要定位、评估范围、责任主体和评估要求等深刻内涵，推动密评在重要领域和关键环节加速推广普及，为数字经济高质量发展提供基础支撑。表 1 密评相关法律法规要求法律法规主要要求密码法第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测

10、评估、网络安全等级测评制度相衔接，避免重复评估、测评。商用密码管理条例（2023 年7 月 1 日施行）第三十八条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。第四十一条网络运营者应当按照国家

11、网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。第四十二条商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。1商用密码应用安全性评估管理办法（征求意见稿），http:/ 发展研究报告2023 3 法律法规主要要求关键信息基础设施安全保护条例第五十条 关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。网络安全等级保护条例（征求意见稿）第四十七条 非涉密网络应当按照国家密码管理法律法规和标准的要求，使

12、用密码技术、产品和服务。第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。密码法明确关键信息基础设施运营者作为第一责任人，应使用商用密码对关键信息基础设施进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码管理条例进一步细化了关键信息基础设施商用密码应用与

13、安全性评估要求，明确关键信息基础设施应在规划、建设等必要阶段进行评估，投入运行后，还应当定期开展评估。同时，商用密码管理条例明确，网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。网络安全等级保护制度中的商用密码使用、管理和应用安全性评估要求重点适用对象是第三级以上网络，凸显了对网络安全等级保护三级以上网络加强商用密码应用安全性评估工作、落实商用密码应用相关要求的迫切需要。关键信息基础设施安全保护条例明确，关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。这对使用密码技术保护关键信息基础设施安全提出了原则性要求。网络安全等级保护条例（征求意见稿）第

14、五章中明确提出密码配备使用、管理和应用安全性评估的有关要求，对网络的密码保护作出规定。其中，对非涉密网络、第三级以上网络提出密码保护要求，明确规定网络运营者应在网络规划、建设和运行阶段委托专业测评机构开展密码应用安全性评估，并对评估结果备案提出了要求2。1.2 国家多项政策文件为密评实施提供指引面对新时代全球安全形势及发展需求，我国统筹发展与安全，出台了多项政策文件对密评进行整体性制度安排，推动密评体系健全完善。密评相关国家政策文件要求如表 2 所示，更多国家层面密码应用及密评相关政策文件详见附录 1.2。2网络安全等级保护条例（征求意见稿）解读，https:/ 4 中国密码学会密评联委会表

15、2 密评相关国家政策文件要求文件名称密评相关工作要求密码应用与创新发展相关工作规划全面提升密码基础支撑能力，完善密码应用安全性评估审查机制。“十四五”数字经济发展规划加强网络安全等级保护和密码应用安全性评估。国家政务信息化项目建设管理办法（国办发201957 号）项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。国务院关于加强数字政府建设的指导意见（国发202214 号）建立健全网络安全、保密监测预警和密码应用安全性评估的机制。1.3 有关部门出台指导性及规范性文件落实密评要求据不完全统计，国家密码管理局、中央网信办、教育部、

16、工业和信息化部、公安部、财政部、交通运输部、国家能源局、国家邮政局等部门出台多项密评政策文件，明确金融、政务、教育、工信、交通、能源等行业商用密码应用安全性评估工作要求，提升商用密码应用和管理水平，深化商用密码在各行业或领域的应用。密评相关行业政策文件要求如表 3 所示，更多各部门密码应用及密评相关政策文件详见附录 1.3。表 3 密评相关行业政策文件要求有关部门文件名称密评相关内容国家密码管理局、中央网信办、国家发展改革委、科技部、工业和信息化部、公安部、财政部、国务院国资委、市场监管总局、证监会促进商用密码产业高质量发展相关文件依法督促建设密码保障体系，并强化重要网络与信息系统商用密码应用

17、安全性评估的执法检查。教育部2020 年教育信息化和网络安全工作要点（教科技厅20201 号）有序推动教育重要业务信息系统开展密码应用安全性评估，推动国家教育管理信息系统密码普遍应用，提升系统安全和数据安全。工业和信息化部关于加强车联网网络安全和数据安全工作的通知（工信部网安2021134 号）认定为关键信息基础设施的，要按照国家有关标准使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。公安部贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见（公网安20201960 号）第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办

18、法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。财政部政务信息系统政府采购管理暂行办法（财库2017210 号）采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。商用密码应用安全性评估 发展研究报告2023 5 有关部门文件名称密评相关内容交通运输部公路水路关键信息基础设施安全保护管理办法法律、行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。商用密码应用安全性评估应当与公路水路关键信息

19、基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。国家能源局关于印发电力行业网络安全管理办法的通知（国能发安全规2022100 号）电力企业应当按照国家有关规定开展商用密码应用安全性评估等工作，未达到要求的应当及时进行整改。国家邮政局、国家发展改革委、交通运输部“十四五”邮政业发展规划在网络建设和运营过程中，同步规划、建设、使用有关安全保护措施，严格落实国家关于等保、关保、密评等有关要求。1.4 相关地区积极将密评要求纳入地方政策制度据不完全统计，我国各省（自治区、直辖市）及新疆生产建设兵团共出台 130 余项密码应用及密评相关政策文件，针对性提出适应地方特点的信息系统商用

20、密码应用工作要求，推进商用密码应用及安全性评估工作，切实提升信息系统的安全性和密码应用合规性。各省（自治区、直辖市）及新疆生产建设兵团密码应用及密评相关政策详见附录 1.4。2 密评体系建设进展2017 年 4 月，国家密码管理局印发关于开展密码应用安全性评估试点工作的通知（国密局字2017138 号），附商用密码应用安全性评估管理办法（试行），开始开展商用密码应用安全性评估试点及机构培育工作。2017 年 9 月，国家密码管理局印发商用密码应用安全性测评机构管理办法（试行）等文件，密评制度体系初步建立。2019 年 4 月，为支撑密评各项工作开展，中国密码学会设立商用密码应用安全性评估联合委

21、员会（以下简称密评联委会），聚焦密评人才队伍教育与培训、密评相关标准制定、密评技术评价和能力评估、密评关键共性技术研究、密评行业发展促进等重点工作。2021 年 11 月，国家密码管理局印发关于规范商用密码应用安全性评估结果备案工作的通知（国密局字2021392 号），明确 6 中国密码学会密评联委会规范商用密码应用安全性评估结果备案相关要求，密评体系进一步规范。2023 年 7 月，商用密码管理条例正式施行，设立专章推进商用密码检测认证体系建设，密评体系逐步走向完善。2.1 密评工作机制密评工作主要涉及的主体有密码管理部门、行业主管部门、商用密码应用安全性评估机构（以下简称密评机构）、网络运

22、营者以及密评联委会等。按照商用密码管理条例商用密码应用安全性评估管理办法（征求意见稿）商用密码检测机构管理办法（征求意见稿）关于规范商用密码应用安全性评估结果备案工作的通知（国密局字2021392 号）、关于进一步规范商用密码应用安全性评估试点工作的通知（国密局字2022454 号）等法规文件要求，以上各主体在密评工作中的职责如下。2.1.1 国家密码管理部门负责管理全国的商用密码工作一是负责和有关部门建立商用密码监督管理协作机制，加强商用密码监督、检查、指导等工作的协调配合。二是负责全国商用密码检测机构的资质认定和监督管理；负责管理全国的商用密码应用安全性评估工作。三是规范商用密码应用安全性

23、评估结果备案工作，并对密评结果备案材料进行季度抽查并组织开展技术复核，定期通报各地区密评结果备案材料形式审查工作成效和技术复核结果。2.1.2 地方各级密码管理部门负责管理本行政区域的商用密码工作一是县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理；负责管理本行政区域的商用密码应用安全性评估工作。二是县级以上地方各级密码管理部门负责督促本地区有关网络运营者同步规划、同步建设、同步运行商用密码保障系统，规范开展密评工作。三是各省、自治区、直辖市密码管理部门负责指导本地区有关网络运营者履行备案程序，并对备案材料进行形式审查；按季度向国家密码管理局报送本地区商用密码应用安全性评

24、估工作开展情况。2.1.3 行业主管部门推动本行业本领域密码应用一是和密码管理部门建立商用密码监督管理协作机制，加强商用密码监督、检查、指导等工作的协调配合，推进重要领域和行业商用密码应用。二是在职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。三是采取多种形式加强商用密码宣传教育，增强公民、法人和其他组织的密码安全意识。2.1.4 密评机构开展商用密码应用安全性评估具体实施密评机构是商用密码检测机构的一类，从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果。商用密码应用安全性评估 发展研究报告2023 7 一是按照法律、行政法

25、规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责。二是对检测原始记录和检测报告归档留存，保证其具有可追溯性。原始记录和检测报告的保存期限不得少于 6 年。三是于每年 1 月 15 日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据。四是积极配合密码管理部门的监督检查，如实提供相关材料和信息。商用密码检测机构及相关从业人员应当按照法律法规、标准规范等要求开展检测活动，遵循客观独立、科学公正、诚实信用原则，尊重知识产权，恪守职业道德，承担社会责任，保守在工作中知悉的国家秘密、商业秘密和个人

26、隐私。2.1.5 网络运营者履行密评主体责任法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施、重要网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。一是在系统规划阶段，网络运营者应当依照相关法律法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统。自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设

27、依据。二是在系统建设阶段，网络运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。系统运行前，应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。委托商用密码检测机构开展商用密码应用安全性评估的，不得对评估结果施加影响，并需提供如下支持：（1）对网络与信息系统的重要数据进行备份；（2）提供完整有效的网络与信息系统设备清单和网络拓扑；（3）提供详细的网络与信息系统商用密码应用方案、密码相关管理制度和密码配置、运行、维护记录；（4）提供商用

28、密码产品管理入口、网络交换设备接入端口等相关信息、数据接入分析条件，并配合进行数据采集；（5）安排网络与信息系统相关网络管理员、系统管理员、商用密码产品管理员等做好配合；（6）其他需要配合的事项。三是系统建成运行后，网络运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。四是网络运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的，应当及时向国家 8 中国密码学会密评联委会密码管理局或者网络与信息系统所在地省、自治区、

29、直辖市密码管理部门报告，必要时启动应急处置方案并开展商用密码应用安全性评估。网络运营者应当在商用密码应用安全性评估报告出具之日起 30 日内，将评估报告连同相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门备案。2.1.6 密评联委会支撑密评各项工作开展商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术交流、政策研究、公共服务等活动，加强学术和行业自律，推动诚信建设，促进行业健康发展。在国家密码管理局的指导下，密评联委会全面支撑密评人才队伍教育与培训、标准制定、技术评价和能力评估、关键共性技术的研究、密评行业促进等

30、方面工作。一是依托密码行业标准化技术委员会（以下简称密标委），推动商用密码应用与安全性评估标准规范制定。规划设计密评标准体系，提出标准编制需求、发布编制任务、征集编制单位、与密标委对接完成标准立项、推进研制、质量把关、标准验证、标准修订等，以及标准配套指导性文件的跟踪研究及制修订工作。组织开展标准宣贯、解读及相关培训、研讨活动，主动了解行业密码应用需求，推进行业相关标准制定或内容嵌入。二是支撑密码管理部门建立密评机构能力验证体系，完善配套流程机制，明确密评机构能力综合评价和理论考试、技能考核、报告质量评价等具体环节的方法与指标，并支持搭建密评能力验证实训环境。支撑密码管理部门建立完善密评人员培

31、训考核体系，开展密评人员水平评价。三是推动密评行业自律建设及宣贯推广。负责制定并组织实施密评行业自律公约，规范密评机构市场竞争及密评过程行为等。建立密评行业信息收集、反馈、通报机制，促进行业信息公开，支撑建立密评行业信息平台，加强密评工作信息发布与宣传推广。通过学术研讨、专题论坛、技术沙龙、专业讲座及知识竞赛等方式，提升密评队伍的综合素养和专业能力，加强密评经验交流与创新研究。2.2 密评机构培育作为密评试点工作的重要内容，机构培育与密评开展相辅相成，日益壮大的密评队伍力量支撑着密评工作的健康持续发展。国家密码管理局按照“总量控制、合理布局、择优选择”原则，采取“省部推荐、集中考核”模式，于

32、2017 年 4 月、2019 年 9 月分两批培育认定密评试点机构并进行分类管理，其中 48 家纳入商用密码应用安全性评估试点机构目录 并面向社会公布，可在全国范围内开展密评工作，25家准予在本地区、本行业从事密评工作，覆盖全国 26 个省（自治区、直辖市）、11 家部委或央企行业领域。随着商用密码管理条例正式施行，密评机构作为商用密码检测机构的一类，具备了行政许可的基础。国家密码管理局积极组织制修订商用密码检测机构管理办法商用密码应用安全性评估管理办法等配套规章，推动落实密评机构行政许可，为密评依法管理提供基础。随着管理模式由试点资格向许可资质过渡，密评机构层次范围、质量水平将得到进一步提

33、升拓展。商用密码应用安全性评估 发展研究报告2023 9 2.3 密评系列标准自 2017 年密评试点工作启动以来，国家密码管理局持续加强密评标准规范供给。试点工作之初，研究确定了密评体系总体架构，并组织有关单位起草 14 项制度文件，明确了密评体系建设、密评机构培育、密评活动开展的基本依据。近年来，在国家密码管理局的指导下，相关标准化组织及密评联委会立足密评试点工作实际，积极组织密评标准及指导性文件制修订工作，推动密评工作标准化建设，为密评活动有序开展搭建标准化支撑基础。2.3.1 密评系列标准框架随着密评试点工作的深入，密评系列标准不断完善。GM/T 0054-2018 信息系统密码应用基

34、本要求（以下简称 GM/T 0054-2018）从行业标准上升为国家标准 GB/T 39786-2021信息安全技术 信息系统密码应用基本要求（以下简称 GB/T 39786-2021），为密评工作开展提供基础性指导。密码行业标准 GM/T 0115-2021信息系统密码应用测评要求（以下简称 GM/T 0115-2021）、GM/T 0116-2021信息系统密码应用测评过程指南（以下简称 GM/T 0116-2021）以及指导性文件商用密码应用安全性评估量化评估规则 信息系统密码应用高风险判定指引等相继发布，规范了测评要求、测评过程、测评结果以及测评报告等内容。截至目前，已有 1 项商用密

35、码应用与安全性评估相关国家标准发布、2 项在研，2 项相关密码行业标准发布、4 项在研，5 项指导性文件发布。商用密码应用安全性评估相关标准经历了从无到有、不断优化的过程，逐步构建了涵盖应用类、评估类和管理类的密评系列标准框架（如图 1 所示）。应用类标准指导信息系统商用密码应用，同时也是评判密码应用是否合规的依据；评估类标准依据应用类标准制定，具体指导密评工作的开展；管理类标准是密评工作的基础和保障。这些标准和指导性文件相互关联、相互支撑，有力支撑了密码法和商用密码管理条例的落地实施。图 1 密评系列标准示意图 10 中国密码学会密评联委会2.3.2 密评系列标准主要内容（1）GB/T 39

36、786-2021 为密评工作提供基础性指导GB/T 39786-2021 用于指导、规范信息系统密码应用的规划、建设、运行及测评，是指导密评工作开展的基础性标准。该标准规定了信息系统从第一级到第四级的密码应用的基本要求，从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求，从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求。在该标准的基础上，各领域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用。同时，密评试点的具体实践和工作经验对 GB/T 39786-2021 的编制起到了积极的促进作用。2018 年

37、 9月 26 日，该标准项目组在国家密码管理局和全国信息安全标准化技术委员会 WG3 工作组的指导下，向全国 27 家密评试点机构征求意见。2018 年 9 月到 10 月，该标准项目组根据 27 家密评试点机构的意见，对标准进行了多次研讨，将身份鉴别、访问控制、数据完整性等部分条款进行调整与修改。来自真实应用场景的密评试点实践成果有力支撑了 GB/T 39786-2021 的编制工作，相较于标准前身密码行业标准 GM/T 0054-2018，国标 GB/T 39786-2021 的合理性和可操作性得到进一步提升。（2）密评相关标准及指导性文件有力支撑密评工作开展近年来，在国家密码管理部门的指

38、导下，我国陆续出台了一系列商用密码应用与安全性评估相关标准规范与指导性文件，主要涉及信息系统密码应用设计、建设、测评等各工作环节的要求。密评系列标准包含应用、评估及管理三类标准。表 4 密评相关标准及指导性文件类别标准及指导性 文件名称状态主要内容应用类信息安全技术 信息系统密码应用设计技术指南在研包括信息系统密码应用框架、密码应用方案设计原则、密码应用方案设计过程和密码应用方案设计指南，适用于指导信息系统密码应用方案的设计，也可作为信息系统密码保障系统建设、密码应用安全性评估、密码管理部门密评备案工作的参考。信息系统密码应用实施指南在研参照GB/T 39786-2021给出了信息系统密码应用

39、的过程指导和建议，描述了规划、建设、运行及终止阶段的实施流程及主要活动，适用于指导信息系统密码应用的实施。评估类GM/T 0115-2021信息系统密码应用测评要求发布规定了信息系统不同等级密码应用的测评要求，从密码算法、密码技术、密码产品和密码服务合规性、密钥管理安全性方面，提出了第一级到第五级的密码应用通用测评要求；从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面提出了第一级到第四级密码应用技术的测评要求；从管理制度、人员管理、建设运行和应急处置等四个管理方面提出了第一级到第四级密码应用管理的测评要求，并给出了整体测评、风险分析和评价、测评结论等测评

40、环节的要求。该标准适用于指导、规范信息系统在规划、建设、运行环节的密评工作。该标准升国标的工作正在进行。GM/T 0116-2021信息系统密码应用测评过程指南发布规定了信息系统密码应用的测评过程。该标准在遵循测评的客观公正性原则、可重用性原则、可重复性和可再现性原则及结果完善性原则的基础上，规范了各项测评活动及其工作任务。商用密码应用安全性评估 发展研究报告2023 11 类别标准及指导性 文件名称状态主要内容评估类商用密码应用安全性评估量化评估规则发布依据 GB/T 39786-2021 和 GM/T 0115-2021 对信息系统的密码应用情况给出定量评估结果，适用于规范信息系统密码应用

41、安全性评估，以及指导相关信息系统的规划、建设等工作。该指导性文件结合当前密码应用推进的实际情况，鼓励网络运营者使用密码技术，特别是使用合规的密码技术、产品和服务，并且优先在网络和通信安全层面、应用和数据安全层面推进商用密码应用。信息系统密码应用高风险判定指引发布给出了信息系统密码应用过程中可能存在的高风险安全问题，强调密评过程要按照“综合判定、保住底线”的思路，一定程度上既保证信息系统具备安全防护能力，又有利于促进信息系统的密码应用，强调密码产品、密码服务自身的安全性，引导网络运营者使用合规的密码产品和服务，防止因产品和服务问题给系统带来新的风险。商用密码应用安全性评估报告模板（2023 版）

42、发布包括 商用密码应用安全性评估报告模板(2023版)方案密评报告 报告模板（以下简称方案密评报告模板）和商用密码应用安全性评估报告模板(2023 版)系统密评报告模板（以下简称系统密评报告模板）。方案密评报告模板对信息系统密码应用方案的密评报告格式进行了规范，系统密评报告模板对信息系统的密评报告格式进行了规范。商用密码应用安全性评估FAQ发布以问答形式解释了密评过程中常见的典型问题，为相关单位和从业人员开展密评工作提供参考。确立了定期更新机制，不断应对技术发展和应用情况的变化，以持续保持密评标准体系的活力。信息安全技术 信息系统密码应用测评要求在研根据 GB/T 39786-2021，将信息

43、系统密码应用测评要求分为通用测评要求和密码应用测评要求，规定了信息系统不同等级密码应用的测评要求，从密码算法、密码技术、密码产品和密码服务合规性、密钥管理安全性方面，提出了第一级到第五级的密码应用通用测评要求；适用于指导、规范信息系统密码应用在规划、建设、运行环节的商用密码应用安全性评估工作。管理类商用密码应用安全性评估机构能力要求和评价规范在研规定了密评机构的能力要求和评价规范。在密评机构能力要求方面，具体给出了基本条件、组织管理要求、资源要求（人员、工作场所条件、设施与设备、分包等）、风险控制能力要求、质量管理要求；在密评机构能力评价方面给出了评价流程、初次评价、期间评价、能力复评等要求。

44、商用密码应用安全性评估监督检查规范在研规定了商用密码应用安全性评估监督检查工作的组织管理形式、监督检查对象、检查工作内容和实施开展方式，为国家密码管理部门和省（市）密码管理部门对辖内机构实施日常监督检查提供依据，为重要领域网络和信息系统的建设、使用、管理单位进行商用密码应用自查工作提供标准，为密评机构实施密评工作提供合规性指导。信息系统密码安全管理体系在研参考 GB/T 22080信息技术 安全技术 信息安全管理体系要求，在 GB/T 39786-2021 的基础上，结合国内密码应用安全管理和实践经验进行制定，为网络运营者建立组织内部的密码应用安全管理体系提供指导。标准内容包括管理保障、密码应

45、用安全风险管理、密码应用安全控制、有效性测量、持续改进和密码应用安全管理体系评估等。2.3.3 密评标准的特点在国家密码管理部门的指导下，密评相关标准规范、指导性文件在规范密评活动的同时，也在密评试点过程中得到验证和完善。12 中国密码学会密评联委会一是注重与相关标准的衔接性与协调性。中华人民共和国密码法第二十七条明确要求“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。”密评相关标准在制修订过程中严格落实法律要求，并注重密评与关键信息基础设施安全检测评估、网络安全等级测评工作衔接。以 GB/T 39786-2021 为例。第一，GB/

46、T 39786-2021 是商用密码应用安全性评估的基础性指导。GB/T 39786-2021 和 GB/T 22239-2019信息安全技术 网络安全等级保护基本要求（以下简称 GB/T 22239-2019）二者既相互补充，又可相互独立实施。标准内容的合理设计，有效避免了网络安全等级保护测评、密评工作在实施过程出现重复评估、测评的情况。第二，信息系统遵循的密码应用等级及范围参照网络安全等级保护定级。信息系统根据 GB/T 22240-2020信息安全技术 网络安全等级保护定级指南完成定级备案后，其密码应用等级及范围也相应确定。从密评机构的视角看，信息系统完成等级保护定级是启动密评的基础，密

47、评对象的范围与等级保护定级范围保持一致，以减少密评对象等级不同所带来的复杂性。第三，在标准具体条款内容上，注意与关键信息基础设施安全检测评估、网络安全等级测评相关标准规范内容的一致性。例如，在 GB/T 22239-2019 中，对于等级保护第三级系统的数据完整性要求是“应采用校验技术或密码技术”保障完整性，对于等级保护第四级系统提出“应采用密码技术”保障完整性。因此，在GB/T 39786-2021 制定过程中，将对应行标 GM/T 0054-2018信息系统密码应用基本要求第三级中对完整性要求的约束程度由“应”调整为 GB/T 39786-2021 中的“宜”，第四级维持“应”的要求。第四

48、，GM/T 0115-2021信息系统密码应用测评要求、GM/T 0116-2021信息系统密码应用测评过程指南是为配合 GB/T 39786-2021 的贯彻实施，更好地指导和规范密评工作而制定的两部行业标准，相关标准规范制定中注意与现行法律、法规以及国家标准相衔接，保证标准规范内容的合规性。二是标准制定具有科学性与可落地性。在密评试点推进伊始，对信息系统密码应用安全性评估的结果判定采用符合性判定“一票否决”的机制，但随着密评工作的推进，该机制的不适应性逐步显现。一方面，密码应用推进工作难度大、周期长，“一票否决”不利于网络运营者统筹各方资源落实密码应用要求。另一方面，密评机构在实施标准过程

49、中，缺乏量化评分机制，评估过程和评估结果缺乏说服力。结合密码应用推进工作实际，商用密码应用安全性评估量化评估规则信息系统密码应用高风险判定指引制定工作适时启动，目前以指导性文件的形式在实际工作中使用，起到了较好的规范和引领作用。相比于原有“一票否决”的规则，“量化评估风险判定”的综合判定思路完善了密评结果的出具过程。量化评估是为了“保量”，即商用密码应用应当达到一定的程度，便于纵向和横向的比较；风险判定是为了“保质”，即守住信息系统的安全底线。在风险可控前提下，商用密码应用安全性评估量化评估规则对系统的密码应用情况给出科学的定量评价指标，主要从密码使用有效性、密码算法/技术合规性、密钥管理安全

50、三个方面量化评估。密码使用有效性关注密码技术是否被正确、有效使用，以满足信息系统的安全需求。密码算法/技术合规性关注信息系统使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的要求，密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定。密钥管理安全关注密钥管理的全生命周期是否安全，用于密码计算或密钥管理的密码产品、密码服务是否安全。商用密码应用安全性评估 发展研究报告2023 13 随着全社会密码应用保障系统的建设和能力的提高，量化评估阈值也会随之进行调整。密码应用安全的量化评估不仅有助于呈现密码应用推进的阶段性成果，而且为密码应用安全持续改进指