图解《商用密码应用安全性评估FAQ（第二版）》

炼石 CipherGateway 图解《商用密码应用安全性评估FAQ（第一版）》 炼石网络2022年08月 《密码法》于2020年1月1日施行 密码法 炼石 CipherGateway 第一章总则第二章核心密码、普通密码第四章法律责任 立法目的13.14 管理原则使用要求安全保密管理 32 从事密码违法活动追责 密码定义核心、普通密码违法使用处罚 16 坚持总体国家安全观统一领导 分级负责分类管理 核心密码、普通密码管理 工作监督检查安全协作机制和问题查处 工作机构和人员管理 34 核心、普通密码泄密等处罚 商用密码检测、认证违法处罚 36 商用密码市场准入违法处罚 关基运营者处罚 商用密码管理 创新发展、人才建设 [0] 密码安全教育 纳入规划和经费预算 38 进出口处罚 电子政务电子认证服务处罚密码管理部门工作人员处罚 41 19. 提供免检便利 20. 建立安全审查制度 第三章商用密码 21. 22 23. 管理原则 标准体系 国际标准化 24标准法律效力 25 检测认证 产品和服务市场准入管理 27. 28 29 关基使用要求 进口许可和出口管制 电子政务电子认证服务 行业协会职责 事中事后监管和保密义务 禁止行为刑事责任、民事责任 第五章附则 42.密码管理规章43.解放军和武警部队密码立法44.施行时间 密码相关政策标准总览 炼石 CipherGateway 法律网络安全法密码法数据安全法个人信息保护法 第十二届全国人民代表大会常务委员会第二第十三届全国人民代表大会常务委员会第十 第十三届全国人民代表大会常务委员会第二第十三届全国人民代表大会常务委员会第三 十四次会议通过，2017年6月1日起施行 四次会议通过，2020年1月1日起施行 十九次会议通过，2021年9月1日起施行十次会议通过，2021年11月1日起施行 法规政策 商用密码管理条例商用密码应用安全性评估管理办法商用密码应用安全性测评机构管理办法商用密码应用安全性测评机构能力评 催订草案征求意见摄试行】【试行】审实施细则（试行】 国家密码管理局，2020年8月20日发布国家密码管理局，2017年发布国家密码管理局，2017年9月27日发布国家密码管理局，2017年9月27日发布 促进商用密码产业高质量爱展的若干措施信息安全等级保护商用密码管理办法 国家密码管理局，2021年发布国家密码管理局，2007年11月27日发布 国标信息安全技术信息系统密码应用设计技术要求信息系统密码应用测评要求信息系统密码应用基本要求征求意见精征求意见稿 GB/T39786-2021，国家市场监督管理总局、国家全国信息安全标准化技术委员会，2021年12月发布全国信息安全标准化技术委员会，2021年4月发布 标准化管理委员会发布 行标信息系统密码应用基本要求信息系统密码应用测评要求信息系统密码应用测评过程指南 GM/T0054-2018，国家密码管GM/T0115-2021，国家密码GM/T0116-2021，国家密码 理局发布管理局发布管理局发布 团标信息系统密码应用方案评估规范信息系统密码应用方案评估过程指南 测评 T/GDCCA0001-2022，广东省商用密码协会发布T/GDCCA0002-2022，广东省商用密码协会发布机构人员 本次解读 政务信息系统密码应用与安全性评商用密码应用安全性评估机构能力密码技术应用员国家职业技能标准 商用密码应用安全性评估FAQ活工作指南要求和评价规范（报批稿）征求意见稿） 指导性文件中国密码学会密评联委会，2022年8月5日更新中国密码学会密评联委会，2020年9月24日发布商用密码应用安全性评估监智检查人力资源社会保障部，2021年9月23日发布 管理 商用密码应用安全性评估行业自律商用密码应用安全性评估报告模板规范（送审稿）实施 2021版） 中国密码学会密评联委会，2021年发布中国密码学会密谭联委会，2021年12月17日发布信息系统密码安全管理体系（送审稿） 信息安全等级保护商用密码技术实施要求 商用密码应用安全性评估信息系统密码应用高风险判定指引 量化评估规 中国密码学会密评联委会，2021年12月17日发布中国密码学会密评联委会，2021年12月17日发布 工业控制系统密码应用技术要求 送审福） 国家密码管理局，2009年发布 信息系统密码应用实施指南（报批稿） 密评提供密码技术合规基线炼石 CipherGateway 《密码法》第二十七条规定：运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。 《密码法》第三十七条规定：关键信息基础设施的运营者未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效性进行评估。 计划(Plan) 密码应用方案制定 方案 评估 改进(Act)GM/TGB/T 整改改进0054-201839786-2021 密码应用方案初定次期/STANDARDS 建设实施应急 评估 信息系统运行监控POLICY 实施(Do)检查(Check) 密评合规性、正确性、有效性的含义炼石 CipherGateway 、密码算法、密码协议、密钥管理、密码产品和服务使用合规 合规性·按照《商用密码管理条例》等密码使用要求，使用符合国家密码法规和标准规定的商用密码算法 使用经过国家密码管理局审批的密码产品或服务 。按照《信息系统密码应用基本要求》等标准，进行密码应用建设方案设计 、密码算法、密码协议、密码管理、密码产品和服务使用正确 正确性 系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现 ：自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求 ·密码保障系统建设或改造过程中密码产品和服务的部署和应用正确 ·密码应用安全立足系统安全、体系安全、动态安全 有效性信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理 在系统运行过程中能够发挥密码效用，保障信息的机密性，完整性、真实性、抗抵赖性 密评工作流程炼石 CipherGateway 系统信息收集 测评准备·应用方案调研 ·测评对象与指标确定·测评内容确定 方案编制·测评工具接入点确定·测评工具和表单准备 现场测评 ·现场测评准备，问题整改与回归测评 ·现场测评和结果记录结果确认与资料归还 ·单项测评结果判定·整体测评与风险分析 编制 分析及报告·单元测评结果判定测评结论与报告编制 出具报告 密码应用安全性测评报告 密评总体要求 信息系统密码应用基本要求 炼石 CipherGateway 分级 技术要求安全管理要求 等保四级 物理网络设备应用 实施 密钥制规建应 和环和通和计 和数管理度员划设运行急 等保三级境安信安算安据安 全全全全 等保二级 等保一级 分层 评估原则评估内容 遵循商用密码管理政策和GB/T39786-2021信息系统密码应用基本要求》信主要对物理和环境、网络和通信、设备和计算、应用和数据、息系统密码测评要求及等相关密码标准的要求，遵循独立客观、公正的原则，密钥管理以及安全管理等六个方面进行测评。 《商用密码应用安全性评估FAQ（第二版）》更新发布 炼石 CipherGateway 依据《中华人民共和国密码法》等法律法规，按照相关工作安排，中国密码学会密评联委会修订了《商用密码应用安全性评估FAQ》，形成了《商用密码应用安全性评估FAQ（第二版）》，2022年8月发布，用于替代2021年12月发布的《商用密码应用安全性评估FAQ》，供相关单位开展商用密码应用与安全性评估工作参考。 中国密码学会 请输入关键词湿索 ChineseAsseclationfarCryptologicHesearch.CAcH 首页学会概况党建工作活动会议密码学报学会奖站会员中心算法竞赛密码科普 总当前位置：首页>活助合议>遇筑通告 《商用密码应用安全性评估FAQ（第二版）》更新发布 时周：2022年08月05日来源：中国需码学会分享：0600 《商用密码应用 安全性评估FAQ》 《商用密码应用 安全性评估FAQ （第二版）》 依据《中华人民共和国密码法》等法律法规，按照相关工作安排，中国密码学会密评联委会参订了《商用密码应用安全性评估FAQ》，形成了《商用害码应用安全性评估FAQ（第二版）》，现予发布，用于替代2021年12月发布的《商用害码应用安全性评估FAQ》，供相关单位开展商用密码应用与安全性评估工作参考。 有关问题建议，可发送邮件至mplwh@cacnet.org.cn。 商用密码应用安全性评估FAQ（第二图）Pd2021年12月2022年8月 文件意义：为密码应用及商密应用安全性评估人员的评估工作提供指引 炼石 CipherGateway 2022年8月，中国密码学会密评联委会发布《商用密码应用安全性评估FAQ（第二版）》， 用于替代2021年12月发布的《商用密码应用安全性评估FAQ》，旨在： 对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行整理和解答 帮助密码应用以及商用密码应用安全性评估人员，更好的开展商用密码应用安全性评估工作。 《中华人民共和国密码法》 第二版修订情况说明 修订依据序号章节修改情况备注 新增修订情况速明 修订历史 第一版第二版 全文共解答了26个问题，目录内新增内容如下： 增加了害管理测评中，与密码应用方案一致性的 完善各案 5.2 新增月意 5.3 新圳月愿 9.1 完等答案 9.2 新圳月愿 10.2 新增区 10.3 新地同惠 11.2 新圳月 10 新圳月题新圳同 12 15.2 新增月题 13 17 完善谷案 14 18 完著谷案完养善案 16 25 新圳河地 要求 设备与计算安全感自指标测评中，增坏了“是否技照害码产品使用”的要求 全文共解答了22个问题，主要包括信息系统 密码应用基本要求的等级、应/宜/可测评指 标把提、密钥安全符合性判定、各层测评对 重要敌据完整性保护的实现方法问题 2.通过代码实现数据机密性、完整性保护的 象确定、测评对象选取粒度、远程管理通道判定方法 3.网络层安全接入认证和身份鉴别指标的差 安全、合规密码产品身份鉴别/完整性相关指别 对出码产品认延证书中缺少害码模扶等添如何进 标的判定等内客。 应用层身份鉴别是吾可以解网络层身份鉴别的高风险 1726新增月题 行列定规出了具体刻定费求 明确了测评对象的网外情况需根据实添情况经专 家刻定 第1问：如何确定被测信息系统密码应用等级？ 炼石 CipherGateway GB/T39786-2021中的密码应用等级一般由网络安全等级保护的级别确定 网络与信息系统确定等级保护级别 根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》 已完成等保定级未完成等保定级 第一级第二级第三级第四级第五级 对于未完成网络安全等级保护定级的重要信息系统 遵循遵循遵循遵循遵循其密码应用等级至少为 第三级 GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对应等级的密码应用基本要求 第一级6第二级G第三级合第四级6第五级 表1定级要素与安全保护等级的关系 一般损害 严重损害 特别严重摄害 公民、法人和其地组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 受慢害的客体对客体的受害程度 表格来源于：GB/T22240-2020《信息安全技术网络安全等级保护定级指南》 10 第2问：在密评实施中，如何理解和把握“宜”的指标要求？