解读商用密码应用安全性评估发展研究报

CAll 2023商用密码大会中国工业互联网研究院 ChinaAcademyofIndustrialInternet 解读 《商用密码应用安全性评估发展研究报告（2023年）：》 王聪 中国工业互联网研究院 （工业和信息化部密码应用研究中心） 2023年8月 目录2023商用密码大会 01背景及总体情况 02编写过程 03主要内容 编制背景 2023商用密码大会 中华人民共和国国务院令 750号 2023#4月218 中华人民共和国 密码法 《密码法》《商用密码管理条例》 党中央高度重视密码工作密码工作上升为国家法律高度密评迈向依法管理新阶段 习近平总书记连续8年对密码工作作出重要指示《中华人民共和国密码法》颁布以来，密码应用保2023年7月1日，《商用密码管理条例》正式施 批示。做好新时代党的密码工作，努力建设世界障领域全面拓宽，密码在维护国家安全、促进经济行，标志着密评从试点建设迈向依法管理的新阶 流密码强国，为维护国家主权、安全、发展利社会发展、保护人民群众利益中的作用日益凸显。段。为总结密评试点工作经验，进一步规范和引 益作出新的更大贡献。密评作为验证密码应用科学性的有效手段和方法导相关单位开展密评工作，密评联委会组织编制 可进一步规范商用密码使用和管理，提升网络安全《商用密码应用安全性评估发展研究报告》 编制背景 2023商用密码大会 根据《关于开展密码应用安全性评估试点工作的通知》（国密局字【2017】138号）的工作部署，2017年4月起，国家密码管理局启动密评试点。 自启动密评试点工作以来，密评工作机制不断健全，密评机构能力进一步增强，密评活动标准化工作持续推进，密评程序逐步完善，密评已进入蓬勃发展时期。 2017年4月 2017年11月 2018年2月 2019年3月 2019年 2020年1月 2020年 2020年 2020年 10月26日 13日至17日 6月30日 9月16日 12月8日 2021年 1月8日 国家密码管理局启组织全国第一批密密码行业标准化技国家密码管理局商十三届全国人大常密评联委会支撑密评联委会组织密评联委会组织编密评联委会发布由密评联委会主 动密评试点.评人员培训考核工术委员会发布了G用密码检测中心等委会第十四次会议国家密码管理局全国密评机构能制的《政务信息系信息系统密码应用 作，认定第一批27M/T0054-2018六密评机构的主通过《中华人民共开展第二批密评力验证，随后，统密码应用与安全测评要求《信通过远程会议方式家密评试点机构《信息系统密码应要负责人共同发起和国密码法》试点机构相关从国家密码管理局性评估工作指南》息系统密码应用测召开，研讨会旨在于2018年6月向推用基本要求》倡议成立密评联委近平主席签署第业人员培训工作发布第40号公告（2020版）正式评过程指南）等5项宣贯最新密码拍关荐省部印发《商用会。2019年6月3-35号主席令予以发布《商用密码发布.密码应用与安全性法律法规和标准要密码应用安全性测4日，密评联委会公布应用安全性评估评估指导性文件 评机构目录》工作启动置技术交试点机构目录》 流培训会议在京召（共收录24家机 开构) 2023年 2023年 2023年 2023年 2022年 2021年 2021年 2021年 2021年 2021年 7月17日 6月9日 4月27日 1月20日 7月8日 11月 10月 6月 5月 3月19日 版 密评联委会更新发《商用密码检测机李强总理签署第中国密码学会密评国家密码管理局国家密码管理局印国家密码管理局公国家密码管理局密评联委会支撑国家市场监管总局布《商用密码应用构管理办法（征求760号国务院令联委会发布《商用组织密评试点机发了《关于规范商发布第42号公告国家密码管理局国家标准化管理安全性评估量化评意见稿）》和《商颁布了新修订的密码应用安全性评构测评技术人员用密码应用安全性布GM/T0115，更新《商用开展第二批密评委员会发布公告， 的通知》，进步 密码应用测评要求 估试点机构目录 规范密评工作 》等15项密码行业 》（共收录48家 标准。 机构） 估规则（2023用密码应用安全性《商用密码管理条估报告模板（2023进行线上考核。评估结果备案工作2021《信息系统码应用安全性评试点机构能力考正式发布国家标准 用于替代评估管理办法（征版)>用于替代 2021年12月发布求意见稿）》向社1日起正式施行。2021年12月发布的 的《商用密码应用会公开征求意见《商用密码应用安 核.GB/T39786-2021 《信息安全技术信 息系统密码应用基 安全性评估量化评全性评估报告模板本要求） 估规则(2021版）） 总体情况 商用密码应用安全性评估发展研究报告（2023年） 牵头单位： 2023商用密码大会 且录 引吉 中国工业互联网研究院（工业和信息化部密码应用研究中心）1/密评相关政策法规要求 参编单位： 1.1国家法津法规布展密评顶层设计 12国家多项政第文件为器评实施撑供指号 1.3有关酒门出台指导性及据范性文件落实紧评费求 深圳市网安计算机安全检测技术有限公司 2/密评体系建设进展 北京炼石网络技术有限公司2.1高件工作机 江苏省信息安全测评中心 22新评机构培高 2.9西评系际准 24每平程序 中国电子科技集团公司第十五研究所3/密评行业发展情况 3.1评试点抗均规模布日趋合理 工业和信息化部电子第五研究所 中国电子信息产业发展研究院4/发展建议 附录1：密评相关法规政策汇总 中国信息通信研究院 1.1图家品面磨的生用及密评带关法律法规 12国家层盗密码选用及密评雅关致策文件 1.3各部门销用及密评相关政量文 1.4各省（自治区、高销市）及新生产 全文共4章12节，3个附录，近5万字附录2：密评相关标准与指导性文件列表附录3：密评大事记 目录2023商用密码大会 01背景及总体情况 02编写过程 03主要内容 编写过程 2023商用密码大会 通过征集+邀邀请相关专家 征求专家意见 形成发展研究经过多次研讨编写小组根据内 请的方式，组 形成发展研 对发展研究报 报告初稿，征和修改，于8月 部意见再次修改 织形成7个单告提纲进行评 位的编写小组审，并根据专 开始发展研究家意见修改完 11条，并根据专家意见对发展研究报告 求专家意见底根据专家意完善，于10月底 165条并根见完成修改，形成发展研究报 据专家意见修并在内部征求告征求意见稿第 报告起草工作。 提纲完成修改。 善。 改完善。 意见。版。 2022年2月底3月下旬3月24日4月18日5月25日8月底10月底 形成编写小组提纲初稿专家评审征求意见初稿内部征求意见稿征求意见稿1 并完成提纲 终稿评审稿专家评审补充内容初步定稿责任专家制征求意见稿2 7月18日6月29日3月9日3月5日2023年1月13日11月28日11月18日 密评联委会组织 对结构和行文进基本成稿根据各地方密码 在责任专家的指应用推进处组织在联委会总体组 专家评审，后根 行调整，7月4组织专家评审，收 管理部门提交的导下，编制组经专家评审，并制 征求意见58条 据专家意见修改 日完成第一 到专家意见20 本地政策文件 过5次修订，对定责任专家制 根据专家意见对 完善，最终定稿。 7月11日现场讨 条，根据专家意 各密评机构工作发展研究报告内指导编制组对发 发展研究报告进 论，根据讨论意 见修改完善。 见修改完善。 情况统计数据 补充相关章节。 容进行完善并初 步定稿。 展研究报告持续 进行修改完善。 行修改完善，形成征求意见稿第 版。 目录2023商用密码大会 01背景及总体情况 02编写过程 03主要内容 主要内容 1.密评相关政策法规要求 2023商用密码大会 国家法律法规布局密评顶层设计国家多项政策文件为密评实施提供指引 我国充分适应新时代商用密码事业发展需要，坚持密评的立法、司法、面对新时代全球安全形势及发展需求，我国统筹发展与安全，出台 执法和守法协同推进，通过法律法规明确密评的重要定位、评估范围多项政策文件对密评进行整体性的制度安排，推动密评体系健全完 责任主体和评估要求等深刻内涵，推动密评在重要领域和关键环节加速推广普及为数字经济高质量发展提供基础支撑。 有关部门出台指导性及规范性文件落实密评要求相关地区积极将密评要求纳入地方政策制度 据不完全统计，国家密码管理局、国家网信办、教育部、工业和信据不完全统计，我国各省（自治区、直辖市）及新疆生产建设兵团 息化部、公安部、财政部、交通运输部、国家能源局、国家邮政局共出台130余项密评和密码应用相关政策文件，针对性提出适应地等部门出台多项密评政策文件，明确金融、政务、教育、工信、交方特点的信息系统商用密码应用工作要求，推进商用密码应用以及 通、能源等行业商用密码应用安全性评估工作要求，提升商用密码商用密码应用安全性评估工作，切实提升信息系统的安全性和合规 应用安全性和管理水平，深化商用密码在各行业或领域的应用。 主要内容 1.密评相关政策法规要求 系统梳理了密评相关法律法规、政策文件： 1.1国家层面密评相关法律法规8项 1.2国家层面密评相关政策文件7项 1.3各部门密评相关政策文件25项 1.4各省(区、市)密评相关政策文件各省（自治区、直辖市）及新疆生产建设兵团共132项 200 150 100 5025 2023商用密码大会 132 0 国家层面密评相关法律法规国家层面密评相关政策文件各部门密评相关政策文件各省（区、市）密评相关政策文件 主要内容 2023商用密码大会 2.密评体系建设进展 2.1密评工作机制 2.1密评工作机制 2.2密评机构培育 2.3密评系列标准 2.4密评程序 《商用密码管理条例》各方职责： 《商用密码应用安全性评估管理办法（征求意见））（一）国家密码管理部门负责管理全国的商用密码工作 《商用密码检测机构管理办法（征求意见稿）》（二）地方各级密码管理部门负责管理本行政区域的商用密码工作 《关于规范商用密码应用安全性评估结果备案工作的通三）行业主管部门推动本行业本领域密码应用 知》（国密局字【2021]392号（四）密评机构开展商用密码应用安全性评估具体实施 《关于进一步规范商用密码应用安全性评估试点工作的（五）网络运营者履行密评主体责任 通知》（国密局字【2022】454号）（六）中国密码学会密评联委会支撑密评各项工作开展 主要内容 2.密评体系建设进展一2.2密评机构培育 2023商用密码大会 2017年4月、2019年9月分两批培育认定密随着《商用密码管理条例》正式施行，密评机构 评试点机构并进行分类管理，其中48家纳作为商用密码检测机构的一类，具备了行政许可 入《商用密码应用安全性评估试点机构目 的基础。国家密码管理局积极组织制修订《商用 录》并面向社会公布，可在全国范围内开密码检测机构管理办法》《商用密码应用安全性 展密评工作，25家准予在本地区、本行业评估管理办法》等配套规章，推动落实密评机构 从事密评工作。行政许可，为密评依法管理提供基础 密评试点行政许可 主要内容 2.密评体系建设进展一2.3密评系列标准 2023商用密码大会 商用密码应用安全性评估相关标准经历了从无到有、不断优应用类评估类 化的过程，逐步构建了涵盖应用类，评估类和管理类的密评GB/T39786-2021（信皇安全技术偏息系统密码应用基本要求）(2I/T0115-2021（信息系统密码应用测评要求） 个 南 系列标准框架。应用类标准指导信息系统商用密码应用，同《信息安全技术编息系统《信息系统密码应用实施 密码应用设计技术指期） 割评过程财详投告 时也是评判密码应用是否合规的依据：评估类标准依据应用介过程指油 类标准制定，具体指导密评工作的开展：管理类标准是密评CM/T0116-202) 《信息系统密码 高用连码应 各行业密码应用相关标准规查 信息系线密码成 高风购判全性评估量化 安全板性评估报告 用测评过程指南》指引评信规测 工作的基