CAII* 2023商用密码大会中国工业互联网研究院 ChinaAcademyofIndustrialInternet 解读 《商用密码应用安全性评估发展研究报告(2023年)》 王聪 中国工业互联网研究院 (工业和信息化部密码应用研究中心) 2023年8月 目录2023商用密码大会 01背景及总体情况 02编写过程 03主要内容 编制背景 2023商用密码大会 中华人民共和国国务限专 中华人民共和国 密码法 《密码法》《商用密码管理条例》 党中央高度重视密码工作密码工作上升为国家法律高度密评迈向依法管理新阶段 习近平总书记连续8年对密码工作作出重要指示《中华人民共和国密码法》顾布以来,密码应用保2023年7月1日,《商用密码管理条例》正式施 批示。做好新时代党的密码工作,努力建设世界障领域全面拓宽,密码在维护国家安全、促进经济行,标志着密评从试点建设迈向依法管理的新阶 流密码强国,为维护国家主权、安全、发展利社会发展、保护人民群众利益中的作用日益凸显。段。为总结密评试点工作经验,进一步规范和引 益作出新的更大贡献。密评作为验证密确应用科学性的有效手段和方法导相关单位开展密评工作,密评联委会组织编制 可进一步规范商用密码使用和暂理,提升网络安全《商用密码应用安全性评估发展研究报告》 编制背景 2023商用密码大会 根据《关于开展密码应用安全性评估试点工作的通知》(国密局字【2017】138号)的工作部署,2017年4月起,国家密码管理局启动密评试点。 自启动密评试点工作以来,密评工作机制不断健全,密评机构能力进一步增强,密评活动标准化工作持续推进,密评程序逐步完善,密评已进入蓬勃发展时期。 2017年4月 2017年11月 2018年2月 2019年3月 2019年 2020年1月 2020年 2020年 2020年 2021年 10月26日 13日至17日 6月30日 9月16日 12月8日 1月8日 国家密码管理局启 动密评试点 密评联委会组织编密评联委会发布 制的《改务信息系信 组织全国第一批密 密码行业标准化技 国家密码管理局商 十三周全国人大常 密评联委会支撑 密评联要会组织 评人员培训考核工 术委员会发布了G 用密码检测中心等 委会第十四次会议 国家密码管理局 全国密评机构能 信息系统密码应用 作,认定第一批27M/T0054-2018六家密评机构的主通过《中华人民共开展第二批密评力验证,随后统密码应用与安全评要求) 由密评联委会主力的密评工作研过会 通过远程会议方式 家密评试点机构《信息系统密码位要负责人共同发起和国德码法)试点机构相关从国家密码管理局激系统码应用测召开,研讨会旨在手2018年6月向推用基本要求)倡议成立密评联委近平主席签器第业人员培训工作。发布第40号公告(2020版)正式详过程播南》等5项直费最新密码相关荐省部印发《商用会,2019年6月335号主席令予以发布(尊用密码发布密码应用与安全性法律法规和标准要密码应用安全性测4日,密评联委会公布。应用安全性评估评估播导性文件 评机构目票》工作启动数技术交试点机构目录) 流培训会议在京召(共收录24家机 开构) 2023年 2023年 2023年 2023年 2022年 2021年 2021年 2021年 2021年 2021年 7月17日 6月9日 4月27日 1月20日 7月8日 11月 10月 6月 5月 3月19日 密评联委会更新发《商用密码检测机李强总理签署第中国密码学会密评 国家密码管理局国家密码管理展印国家密码管理局公国家密码管理局密评联委会支撑国家市场监管总局 布(商用离码应用构管理办法(征求760号国务院令联委会发布《商用 组织密评试式点机 发了关于规范商发布第42号公告国家密码管理局国家标准化管理 安全性评估量化评第见精))和(商领布了新修订的密码应用安全性评构测评技术人员用密码应用安全布GM/T0115更新《商用开展第二批密评委员会发布公告, 告规则(2023用密码应用安全性(商用密码管理条估报告模板(2023进行线上考核。评估结果备案工步作2021(信息系统码应用安全性评 核试点机构能力考正式发布国家标准 版)),用于替代评估营理办法(征例》2023年7月版)》用于替代的通知》,进 密码应用要求估试点机构目录 GB/T39786-2021 2021年12月发布求意见稿向社1日起正式海行,2021年12月发布的规范密评工作》等15项密码行业(共收录48家《信息安全技术信的(商用密码应用会公开征求意见。《商用密码应用安标准机构)原系统密码用基安全性评估量化评全性评估报告楼板本要求) 告规则》(2021版)) 总体情况 商用密码应用安全性评估发展研究报告(2023年) 牵头单位: 2023商用密码大会 且录 中国工业互联网研究院(工业和信息化部密码应用研究中心)1离评相关改策法现要求 参编单位: 深圳市网安计算机安全检测技术有限公司 2/密评体系建设进照 北京炼石网络技术有限公司22 江苏省信息安全测评中心 中国电子科技集团公司第十五研究所3/康评行业发展销况 工业和信息化部电子第五研究所 中国电子信息产业发展研究院 4发展建议 中国信息通信研究院 湖录1:南评相关法规政第汇总 1289 14名者(物客,格)及量生 全文共4章12节,3个附录,近5万字附录2:密评相关标准与招导性文件列表附录3:密评大事记 目录2023商用密码大会 01背景及总体情况 02编写过程 03主要内容 编写过程 2023商用密码大会 通过征集+邀邀请相关专家 征求专家意见 形成发展研究经过多次研讨 编写小组根据内 请的方式,组 形成发展研 对发展研究报11条,并根报告初稿,征和修改,于8月 部意见再次修改 织形成7个单告提纲进行评 位的编写小组审,并根据专 开始发展研究家意见修改完 据专家意见对发展研究报告 提纲完成修改。 求专家意见底根据专家意完善,于10月底 165条并根见完成修改形成发展研究报 据专家意见修并在内部征求告征求意见稿第 报告起草工作。 善。改完善。意见。版。 2022年2月底3月下包3月24日4月18日5月25日8月底10月底 形成编写小组提纲初稿专家评审征求意见初稿内部征求意见稿征求意见稿1 并完成提纲 终稿评审稿专家评审补充内容初步定稿责任专家制征求意见稿2 7月18日6月29日3月9日3月5日2023年1月13日11月28日11月18日 密评联委会组织对结构和行文进基本成稿根据各地方密码在责任专家的指应用推进处组织在联委会总体组 专家评审,后根 行调整,7月4组织专家评审,收管理部门提交的 导下,编制组经专家评审,并制征求意见58条 据专家意见修改 日完成第一稿, 到专家意见20 本地政策文件 过5次修订,对定责任专家制根据专家意见对 完善,最终定稿。7月11日现场讨 条,根据专家意 各密评机构工作发展研究报告内指导编制组对发 发展研究报告进 论,根据讨论意 见修改完善。 情浣统计数据容进行完善并初展研究报告持续行修改完善,形 见修改完善。 补充相关章 步定精。 进行修改完善。 成征求意见稿第 版。 目录2023商用密码大会 01背景及总体情况 02编写过程 03主要内容 主要内容 1.密评相关政策法规要求 2023商用密码大会 国家法律法规布局密评顶层设计国家多项政策文件为密评实施提供指引 我国充分适应新时代商用密码事业发展需要,坚持密评的立法、司法面对新时代全球安全形势及发展需求,我国统筹发展与安全,出台执法和守法协同推进,通过法律法规明确密评的重要定位、评估范围多项政策文件对密评进行整体性的制度安排,推动密评体系健全完责任主体和评估要求等深刻内涵,推动密评在重要领域和关键环节加 速推广普及,为数字经济高质量发展提供基础支撑。 有关部门出台指导性及规范性文件落实密评要求相关地区积极将密评要求纳入地方政策制度 ·据不完全统计,国家密码管理局、国家网信办、教育部、工业和信据不完全统计,我国各省(自治区、直辖市)及新疆生产建设兵团息化部、公安部、财政部、交通运输部、国家能源局、国家邮政局共出台130余项密评和密码应用相关政策文件,针对性提出适应地等部门出台多项密评政策文件,明确金融、政务、教育、工信、交方特点的信息系统商用密码应用工作要求,推进商用密码应用以及通、能源等行业商用密码应用安全性评估工作要求,提升商用密码商用密码应用安全性评估工作,切实提升信息系统的安全性和合规应用安全性和管理水平,深化商用密码在各行业或领域的应用。 主要内容 1.密评相关政策法规要求 系统梳理了密评相关法律法规、政策文件: 1.1国家层面密评相关法律法规8项 1.2国家层面密评相关政策文件7项 1.3各部门密评相关政策文件25项 1.4各省(区、市)密评相关政策文件各省(自治区、直辖市)及新疆生产建设兵团共132项 200 150 100 5025 2023商用密码大会 132 0 国家层面密评相关法律法规国家层面密评相关政策文件各部门密评相关政策文件各省(区、市)密评相关政策文件 userid:414195,docid:136608,date:2023-08-15,sgpjbg.com 主要内容 2023商用密码大会 2.密评体系建设进展 2.1密评工作机制 2.1密评工作机制 2.2密评机构培育 2.3密评系列标准 2.4密评程序 《商用密码管理条例》各方职责: 《商用密码应用安全性评估管理办法(征求意见高)(一)国家密码管理部门负责管理全国的商用密码工作 《商用密码检测机构管理办法(征求意见稿)》(二)地方各级密码管理部门负责管理本行政区域的商用密码工作 《关于规范商用密码应用安全性评估结果备案工作的通(三)行业主管部门推动本行业本领域密码应用 知》(国密局字【2021】392号)(四)密评机构开展商用密码应用安全性评估具体实施 《关于进一步规范商用密码应用安全性评估试点工作的(五)网络运营者履行密评主体责任 通知》(国密局字【2022】454号)(六)中国密码学会密评联委会支撑密评各项工作开展 主要内容 2.密评体系建设进展一2.2密评机构培育 2023商用密码大会 2017年4月、2019年9月分两批培育认定密随着《商用密码管理条例》正式施行,密评机构评试点机构并进行分类管理,其中48家纳作为商用密码检测机构的一类具备了行政许可入《商用密码应用安全性评估试点机构目的基础。国家密码管理局积极组织制修订《商用录》并面向社会公布,可在全国范围内开密码检测机构管理办法》《商用密码应用安全性展密评工作,25家准予在本地区、本行业评估管理办法》等配套规章,推动落实密评机构从事密评工作。行政许可,为密评依法管理提供基础 密评试点行政许可 主要内容 2.密评体系建设进展一2.3密评系列标准 2023商用密码大会 商用密码应用安全性评估相关标准经历了从无到有、不断优评结员 化的过程,逐步构建了涵盖应用类、评估类和管理类的密评/727期-2021(销卫安全技术B系统宽R用基本费本) 个 系列标准框架。应用类标准指导信息系统商用密码应用,同《错皂安全技术书息系线 码控用设计技术推再 《结息系统速码由用实差 涮泽球程 时也是评判密码应用是否合规的依据:评估类标准依据应用介介 类标准制定,体指导密评工作的开展管理类标准是密评各行业器码府用相大标福造 G/T:0116-202) 工作的基础和保障。这些标准和指导性文件相互关联、相互个 支撑,有力支撑了《密码法》和《商用密码管理条例》的落 地实施。 (信息系提至码安会管理你系) (自事码向用安全丝洋结机构能力多求和评价提箱) 主要内容 2.密评体系建设进展一2.3密评系列标准 密评相关标准列表 2023商用密码大会 序号标准编号标准名称备注 1GB/T39786-2021信息安全技术信息系统密码应用基本要求已发布 2GM/T0115-2021信息系统密码应用测评要求已发布 3GM/T0116-2021信息系统密码应用测评过程指南