图解《商用密码应用安全性评估FAQ（第二版）》

图解《商用密码应用安全性评估FAQ（第一版）》炼石CipherGateway炼石网络2022年08月 炼石《密码法》于2020年1月1日施行CipherGateway密码法第一章总则第二章核心密码、普通密码第四章法律责任从事密码违法活动追责32立法目的13.14管理原则使用要求安全保密管理密码定义核心、普通密码违法使用处罚坚持总体国家安全观16工作机构和人员管理工作监督检查安全协作机制和问题查处核心、普通密码泄密等处罚34统一领导19.20.提供免检便利建立安全审查制度商用密码检测、认证违法处罚分级负责商用密码市场准入违法处罚36分类管理第三章商用密码核心密码、普通密码管理21.2223.关基运营者处罚管理原则标准体系国际标准化商用密码管理进出口处罚382425标准法律效力检测认证产品和服务市场准入管理创新发展、人才建设[0]电子政务电子认证服务处罚密码安全教育27.2829关基使用要求进口许可和出口管制电子政务电子认证服务密码管理部门工作人员处罚纳入规划和经费预算行业协会职责事中事后监管和保密义务41禁止行为刑事责任、民事责任第五章附则42.密码管理规章43.解放军和武警部队密码立法44.施行时间 炼石密码相关政策标准总览CipherGateway网络安全法密码法数据安全法个人信息保护法法律第十二届全国人民代表大会常务委员会第二第十三届全国人民代表大会常务委员会第十四次会议通过，2020年1月1日起施行第十三届全国人民代表大会常务委员会第二第十三届全国人民代表大会常务委员会第三十四次会议通过，2017年6月1日起施行十九次会议通过，2021年9月1日起施行十次会议通过，2021年11月1日起施行商用密码管理条例商用密码应用安全性评估管理办法商用密码应用安全性测评机构管理办法商用密码应用安全性测评机构能力评法规政策催订草案征求意见摄试行】【试行】审实施细则（试行】国家密码管理局，2020年8月20日发布国家密码管理局，2017年发布国家密码管理局，2017年9月27日发布国家密码管理局，2017年9月27日发布促进商用密码产业高质量爱展的若干措施信息安全等级保护商用密码管理办法国家密码管理局，2021年发布国家密码管理局，2007年11月27日发布国标信息安全技术信息系统密码应用设计技术要求信息系统密码应用测评要求信息系统密码应用基本要求征求意见精征求意见稿GB/T39786-2021，国家市场监督管理总局、国家全国信息安全标准化技术委员会，2021年12月发布全国信息安全标准化技术委员会，2021年4月发布标准化管理委员会发布行标信息系统密码应用基本要求信息系统密码应用测评要求信息系统密码应用测评过程指南GM/T0054-2018，国家密码管GM/T0115-2021，国家密码GM/T0116-2021，国家密码理局发布管理局发布管理局发布团标信息系统密码应用方案评估规范信息系统密码应用方案评估过程指南T/GDCCA0001-2022，广东省商用密码协会发布T/GDCCA0002-2022，广东省商用密码协会发布机构人员本次解读测评政务信息系统密码应用与安全性评商用密码应用安全性评估机构能力密码技术应用员国家职业技能标准商用密码应用安全性评估FAQ活工作指南要求和评价规范（报批稿）征求意见稿）指导性文件中国密码学会密评联委会，2022年8月5日更新中国密码学会密评联委会，2020年9月24日发布商用密码应用安全性评估监智检查人力资源社会保障部，2021年9月23日发布商用密码应用安全性评估行业自律商用密码应用安全性评估报告模板规范（送审稿）实施2021版）管理信息安全等级保护商用密码技术实施要求中国密码学会密评联委会，2021年发布中国密码学会密谭联委会，2021年12月17日发布信息系统密码安全管理体系（送审稿）商用密码应用安全性评估信息系统密码应用高风险判定指引国家密码管理局，2009年发布量化评估规工业控制系统密码应用技术要求信息系统密码应用实施指南（报批稿）中国密码学会密评联委会，2021年12月17日发布中国密码学会密评联委会，2021年12月17日发布送审福） 炼石密评提供密码技术合规基线CipherGateway《密码法》第二十七条规定：运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。《密码法》第三十七条规定：关键信息基础设施的运营者未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。计划(Plan)改进(Act)GM/TGB/T密码应用方案制定整改改进0054-201839786-2021方案评估密码应用方案初次/STANDARDS定期信息系统运行监控POLICY建设实施应急评估实施(Do)检查(Check) 密评合规性、正确性、有效性的含义炼石CipherGateway、密码算法、密码协议、密钥管理、密码产品和服务使用合规合规性·按照《商用密码管理条例》等密码使用要求，使用符合国家密码法规和标准规定的商用密码算法使用经过国家密码管理局审批的密码产品或服务。按照《信息系统密码应用基本要求》等标准，进行密码应用建设方案设计、密码算法、密码协议、密码管理、密码产品和服务使用正确系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现正确性：自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求·密码保障系统建设或改造过程中密码产品和服务的部署和应用正确·密码应用安全立足系统安全、体系安全、动态安全有效性信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理在系统运行过程中能够发挥密码效用，保障信息的机密性，完整性、真实性、抗抵赖性 密评工作流程炼石CipherGateway系统信息收集测评准备·应用方案调研·测评对象与指标确定·测评内容确定方案编制·测评工具接入点确定·测评工具和表单准备·现场测评准备，问题整改与回归测评·现场测评和结果记录结果确认与资料归还现场测评·单项测评结果判定·整体测评与风险分析分析及报告·单元测评结果判定测评结论与报告编制编制密码应用安全性测评报告出具报告 炼石密评总体要求CipherGateway信息系统密码应用基本要求分级技术要求安全管理要求实施物理网络设备应用等保四级密钥制规建运行和计应和环和通和数管理度员划设急等保三级境安信安算安据安全全全全等保二级等保一级分层评估原则评估内容遵循商用密码管理政策和GB/T39786-2021信息系统密码应用基本要求》信主要对物理和环境、网络和通信、设备和计算、应用和数据、息系统密码测评要求及等相关密码标准的要求，遵循独立客观、公正的原则，密钥管理以及安全管理等六个方面进行测评。 炼石《商用密码应用安全性评估FAQ（第二版）》更新发布CipherGateway依据《中华人民共和国密码法》等法律法规，按照相关工作安排，中国密码学会密评联委会修订了《商用密码应用安全性评估FAQ》，形成了《商用密码应用安全性评估FAQ（第二版）》，2022年8月发布，用于替代2021年12月发布的《商用密码应用安全性评估FAQ》，供相关单位开展商用密码应用与安全性评估工作参考。中国密码学会请输入关键词湿索ChineseAsseclation farCryptologicHesearch.CAcH首页学会概况党建工作活动会议密码学报学会奖站会员中心算法竞赛密码科普总当前位置：首页>活助合议>遇筑通告《商用密码应用《商用密码应用安全性评估FAQ》安全性评估FAQ（第二版）》《商用密码应用安全性评估FAQ（第二版）》更新发布时周：2022年08月05日来源：中国需码学会分享：0600依据《中华人民共和国密码法》等法律法规，按照相关工作安排，中国密码学会密评联委会参订了《商用密码应用安全性评估FAQ》，形成了《商用害码应用安全性评估FAQ（第二版）》，现予发布，用于替代2021年12月发布的《商用害码应用安全性评估FAQ》，供相关单位开展商用密码应用与安全性评估工作参考。有关问题建议，可发送邮件至mplwh@cacnet.org.cn。商用密码应用安全性评估FAQ（第二图）Pd2021年12月2022年8月 炼石文件意义：为密码应用及商密应用安全性评估人员的评估工作提供指引CipherGateway2022年8月，中国密码学会密评联委会发布《商用密码应用安全性评估FAQ（第二版）》，用于替代2021年12月发布的《商用密码应用安全性评估FAQ》，旨在：对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行整理和解答帮助密码应用以及商用密码应用安全性评估人员，更好的开展商用密码应用安全性评估工作。《中华人民共和国密码法》第二版修订情况说明修订依据序号章节修改情况备注新增修订情况速明修订历史完善各案增加了害管理测评中，与密码应用方案一致性的要求5.2新增月意第一版第二版5.3新圳月愿9.1完等答案设备与计算安全感自指标测评中，增坏了“是否技照害码产品使用”的要求9.2新圳月愿全文共解答了22个问题，主要包括信息系统全文共解答了26个问题，目录内新增内容如下：10.2 新增区重要敌据完整性保护的实现方法问题10.3新地同惠密码应用基本要求的等级、应/宜/可测评指2.通过代码实现数据机密性、完整性保护的11.2新圳月标把提、密钥安全符合性判定、各层测评对10新圳月题象确定、测评对象选取粒度、远程管理通道判定方法新圳同3.网络层安全接入认证和身份鉴别指标的差1215.2 新增月题安全、合规密码产品身份鉴别/完整性相关指别13完善谷案对出码产品认延证书中缺少害码模扶等添如何进标的判定等内客。17行列定规出了具体刻定费求应用层身份鉴别是吾可以解网络层身份1418完著谷案鉴别的高风险完养善案明确了测评对象的网外情况需根据实添情况经专家刻定1625新圳河地1726新增月题 炼石第1问：如何确定被测信息系统密码应用等级？CipherGatewayGB/T39786-2021中的密码应用等级一般由网络安全等级保护的级别确定网络与信息系统确定等级保护级别根据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》已完成等保定级未完成等保定级第一级第二级第三级第四级第五级对于未完成网络安全等级保护定级的重要信息系统遵循遵循遵循遵循遵循其密码应用等级至少为第三级GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对应等级的密码应用基本要求第一级6第二级G第三级合第四级6第五级表1定级要素与安全保护等级的关系受慢害的客体对客体的受害程度一般损害严重损害特别严重摄害公民、法人和其地组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表格来源于：GB/T22240-2020《信息安全技术网络安全等级保护定级指南》10 炼石第2问：在密评实施中，如何理解和把握“宜”的指标要求？CipherGateway根据GM/T0115-2021《信息系统密码应用测评要求》若信息系统编制了密码应用方案密码应用各项指标要求的力度若信息系统未编制密码应用方案宜如何界定？或方案通过评估在方案中未对“宜”的指标要求做明确说明依据方案中明确不适用的“宜”的指标要求项GB/T 39786-2021有对应的风险控制措施说明的情况下宜”的指标要求纳入标准符合性密评人员在测评时含义明确测评范围应根据信息系统的密码应用方案和方案评估报应告/评审意见核实方案中不适用指标要求项所采用的风险控制措施的适用条件在实际的信息系统中可是否被满足信息系统的实施情况与方案中所描述的风险控制措施是否一致