密评密改的科普系列 — 密评密改的“前生今世”

自从4月份我们发布了一篇《什么是密评密改》后不少业内人士私聊我们表示希望出更多的相关内容以补充对该行业的知识，今天小编带大家一起了解密评密改的“前生今世”。

“前生”–发展背景

1999年10月，我国商用密码管理与发展走上了法治化的轨道的标志是《商用密码管理条例》正式由国务院颁布施行；

2003年9月，中共中央办公厅印发27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》，第一次明确提出“加强以密码技术为基础的信息保护和网络信任体系建设”；

2007年，国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》，要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担，成为密评工作的开端。虽然金融与政务行业已开展密码应用自查，但缺乏统一标准，密码应用还存在“重建设、轻测评”问题，导致实际安全性不足。

为我国商用密码应用推广按下“加速键”的，是2013年6月，“棱镜计划”被曝光，加之后续不断被披露的“后门”事件，导致国际形势复杂程度日益加剧，在形势迫切要求和政策不断加持的背景下，2016年，国家密码管理局成立起草小组，研究起草《商用密码应用安全性评估管理办法（试行）》。2017 年 4 月 22 日，正式印发《关于开展密码应用安全性评估试点工作的通知》（国密局（2017）138 号文），在七省五行业开展密评试点，密评工作走上了发展快车道，科学性和规范性不断提升；密评体系建设在法律法规、标准规范、机构培育等方面取得了长足的进展。

“今世”–密评密改的核心内容

2020年1月1日《中华人民共和国密码法》的正式施行，第二十七条对关键信息基础设施使用商用密码和开展密评提出了明确要求，并在第三十七条对违反该要求的行为明确了罚则，从根本上建立起了密评制度，也是开展密评工作最基本的法律依据。为密码产业的规模化发展提供了重大机遇，也为商用密码应用市场的发展提供了广阔舞台。同时，作为指导商用密码应用与安全性评估工作的基础性标准。

2021年10月1日正式实施的基于GM/T-0054上升为国家标准GB/T-39786-2021《信息安全技术信息系统密码应用基本要求》，这对于规范和引导信息系统合规、正确、有效应用密码，标志着我国密评标准体系初步建立。

2023年，新修订的《商用密码管理条例》正式颁布，将于7月1日期实施，第三十八条进一步明确了关键信息基础设施“三同步”、每年定期评估以及备案管理的具体要求；此外，包括国务院办公厅印发的《国家政务信息化项目建设管理办法》、公安部印发的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》、财政部印发的《政务信息系统政府采购管理暂行办法》等，相关部门规章和规范性文件也对密码应用和密评作出了明确规定，与其他法律法规共同构成了密评工作的法律依据和制度支撑。

商用密码应用安全性评估

对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用合规性、正确性和有效性进行评估。

合规性

指密码算法、密码协议、密钥管理、密码产品和服务使用合规，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局核准的密码产品，许可的密码服务。

正确性

指密码算法、密码协议、密钥管理、密码产品和服务使用正确，即采用密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现，密码保障系统建设或改造过程中密码产品和服务部署和应用正确。

有效性

是指采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理，而且在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性和抗抵赖性。

密评流程