商用密码应用安全性评估报告（2024版，402页）

陈石 图解 商用密码应用安全性评估 2024版V2.0.0 炼石网络 2024年2月 炼石整理：密评相关法规政策一览陈石 ETE 本文总体结构及参考文献 练V石 密评背景介绍二密评总体要求三.密评评要求六密评团标解读 请评要求 学一咨评发展历程回额弹估内客BTEPD2023信惠安全找求 智评开摩政重依板 西南密码检利机构管连办活高风险项 评估温程 四，出评方紧要求 技术更求 上6/743207-2023信房安全热 利武准备 方案编制信FAO GB/T43207-2023信息安全技术 GE 寄改方案效 利电合机 带安全实就防护场！ 炼石 01密评背景介绍 02密评总体要求 03密评测评要求 04密评方案要求 05密评测评过程 06密评团标解读 07密改FAQ解读 08密改方案实践 陈石 更新解读 《商用密码管理条例》 1999年10月7日中华人民共和国国务院令第273号发布 2023年4月27日中华人民共和国国务院令第760号修订 陈石 条例概述：规范商用密码应用和管理，发挥密码在网络空间安全中的剪要作用 2023年5月24日：中央人民政府网发布2023年4月14日国务院第4次常务会议修订 通过的《商用密码管理条例条例自2023年7月1日施行，在： 规范商用密码应用和管理，鼓励促进离用密码产业发展保障网络与信息安 全，维护国家安全和社会公共利益，保护公民、法人和其他组织合法权益。 民共和国南码流 MZS 条例修订历程该日请为发布日第 （商电连网管理系例）修订草客证求登见款（商用率码管理务例2023年正式程 洋务防专族213号国关现令集T60号 全文共子装27禁主量罐节包活总购科碳 生产营速、销售管理、佳用管理、安全/保 密管理、刘鸡、时鸡 好订车家征球意见精全文共9活64务 合括总则、科技创新与标准化，格谢认证：电于认信送出，应用促 全文共靠舒领，与修订摩车证求感见限时比 进、施督管理、法律责任、附期、 求和国家安全诺查更求，制定网安全等级保护密码模准现感荐。 条例意义适应新时代商用密码事业发展需求 01修订必票性 近年来，商用密码放用感发广适，在维护国家主权，安全和装 03楼订发布主单过惠 团家密码管理员全适贸码党中美星于学社代高用型科工作的 展期监以及保摩购特甜要发全方质的作用能案超百，光的管理工作成动经站，湿关研充商质配码发展南形务，新任务， 积极限军国外旺码理理专益做法，在率码法立法过程中间 送脉理组了一利费米：2020年能行的需装实对商用密销发开题条例研究修订工作 精神，的化审码活相关利英，有心安对练的进行全面修 定 专 IT全开电子 中央和国家机关单业和4家企多形见，并在国家由码理览门广店站面向社会公开延本每见，在分康收各方面惠更物要础上对值求息 2023年51245 商用微码提3店正式发布进自2023年7月1日配行 陈石 条例亮点豪六大重点修订应对商密在技术进步和产业发展中出现的新情况新问题 促进商用密码科技创新商用密码检测认证电子认证 规定 耐新持更码相美学科和专业据设： 建立健全商用电码科学技来创新促进机南，领审社，实行商用连自检请认证制基支持商用冠码科学技术自车创新：对作出来 出西款的细好刷按国实有关妞定于以 联爽童润医科学技术盛美韩化和产业我认就 三理明确电子收务电认证需购拍购的率 三出明亿电子认链造任挂动电 国光明消成务活动中电子收务、电子印单 愉息汇交发在造用件凉反爆机制缆好于证取等冰及的妞子认证带身要求， 优化投行感用密驾科开品荣家专美定审扭的适用范里，快活保护商用吾码得球的制识产 板 越范商用整码标准的制定、实、监警、菌际化以及法单效力 条例亮点：六大重点修订应对商密在技术进步和产业发展中出现的新情况新问题烁石 进出口管理的体制机制 为规范商用密码进出口警理，微播德码法 明 烁促进商用密码应石用的规定商用密码监管要求 美于商用更国对口的现定从及国家中日和安全品 沙及园源安全、社会公共利造舞真有加资输出 英精课部门式有关命们的商用型销监务好 理电费权据； H 保护功能能尚用德码迅口件可薄及规范商用密码在售思谨域新技米，新业进务用码品售管理与社会情用体品拍生 国家安全社会业共利益我香中国承国惠、高模式中的披用 名一方面：朝购关造信息然础设请的商用解蹈型码能球输门和看关媒门及其工准人 业图务提商务主部门会间享数码监部部 和沟关品事定庭用思码选口许可洁等然安全专极保护制康的衔控效、走出口等单位和商用国码检题， 和出口银附道： 大众满宽类严品所果用的商用幸码不实行 进口许可和出口制制需 《商用密码管理条例》总结构 商用密码管理条例 烁石 用 24.科机 专产务保用 第五歌进出口 行为 67行日防 石 补充了商用密码应用安全性评估的相关图解内容 商用密码应用安全性评估对采用商用密码技术产品和服务集成建设的网络和信息系统密码应用的含规性，正确性、有效性进行评估，是商用密码产业健康发展的“监督员” 练石围绕商用密码管理条例的具体内容以图文形式深入出解折了条例要点的同时，并从商用密码应用的角度出发，补充了商用密码应用安全性评估的相关图解内容以更好展示商用密码管理和应用的相关知识内容供读者学习参考不足之处诚邀 大家共同完善。 明确商用密码定义与各层级监管部门职责陈石 在中华人民共和国场内的商用出码科研生产、销售、服务、检测、认证、进出口、应用等活动及监督 2股创新与悦维化通用范国营理，适用本条例。 承电子认证 商用密码 重要定义是指采用特定宽换的方法对不属于国家秘密的信您等进行加密保护安全认证的技术，产品和服务， 国家密码管理部门 免童全国的童用密码工作 坚持中国共产党对商用密码工作的领贵街落实总体 县级以上地方各级密码管理部门 管理 国家安全观网信商务未端监督 、法德香任 90在客自职费范用内，免售商用密购有关管工作 引导各主体加强人才培养、宣传教育及行业自律陈石 2科技创新与航准化 3格认正 点电子认证人才培养宣传教育学术和行业自律 国家加强商用密码人才培养，建 各级人民政府及其有关部门应当 商用密码辅域的学会、行业协会 立健全翻用密码人才发展体制机 采取多种形式加强新用学码直传 等社会组织依照法律、行政法规 制和人才评价制度，鼓动和支持 教育，增强公民、法人和其他约 及其章程的规定，开展学术交流 密码相关学科和专业建设，规范商用密码社会化培请，促进商用 织的出码安全意识。 政策研究，公热服务等活验， 加强学术和行业自律，推动读信 密码人才交流。 建设，促进行业健康发展。 密码管理部门皮当加强对高用密码领城社会组织的指导和支持 5进出口 6.惠用促进 落实多项机制提升商密技术创新、知识产权保护及成果转化能力烁石 1总制01创新促进机制 02知识产权保护机制 03政励在外商投资合作 2技创街专代准化国家建立健全商用潮码科学技术创 黑家依法保护商用密码领诚的知识 国家鼓畅在外商投资过程中基于自通 新促进机制，支持商用密玛料学技 产权。从事商用密码活动，应当增 原妈和商业规开展商用密玛技术合 术自主创新，对作出安出责献的组 望知识产权意识，提高通用、保护 作。行政机关及其工作人员不得利用 织和个人按康国家有关定予以者 和管理知说产校的能力。 行政手股强制转让商用留码技术。 彰和突。 海电子以证04成果转化机制05安全市查机制 国家锣时和支持商用声码科学技术国家密码理邮门期织对法得，行政法规和国 成集转化知产业化应声，审立和光家有关规定要求便用商用密妈进行保护的质络 蓝商用主码科学技术虎果情惠汇交与信意乐给新使用的密码算法、密马协议、密 、发布和成用情况反机制朗管理机制待商用密码技术进行申准库 8.法律责任 0·6 科技创新与成果转化 加快商用密码行业标准、国家标准及国际标准制定进程陈石 01规范：引导和监督标准制定 做品各自职费，维织利定商座密码国家标准、行业标准，对商用密码团体标准 3.检清认证的制定进行规范、引导和监督，国家生03强制性和推荐性标准遵循 02推动国际标准化活动玛管残部门依据职更，建立我涌密码标 准实快信息反携和评估机制，对商用密 从更商用型码活动，应当符合有关 高电子认证国家推动参通惠出品国际标准化 码标准实扇进行监格控壶。法律、行政法规、高用生码酷制性 活动，参与制定商用密码国际标准基他领域的标准涉及费用密码的，应当国家标准，以及自我声明公开标准 推进商用密码中国标准与国外标与商用密码国家标准、行业标准保持协 的技术费求。 5.应用促进 准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商 用密码回际标准化活动。 Alo国家胶助在商用密码活动中采用热 用密码推荐性国家标准、行业标注 ，提升我用密码的防护能力，维护 用户的合法权益。 8.法律竞任 15 国家鼓励在商用密码活动中自愿接受商用密码检测认证豚石 2科验创新与标准！ 23 电子以 推进商用密码技术检认证体系星务鼓谢在商用密码活动中自盈更商用密码检测认证 商用密码检测技术规范，规测电国家密码管理部门制定并公布。 5进母口立国家转推行的商用密码认证制度实行商用密码产品，服务、管理体系认证 应电促制定并公布认证目录和技术规范、规购 涉及国家安全、国计民生、社会公共利益的商用商用密码服务使用网络关键设备和网络安全 密码产品，应当依法列入网络关镶设备和网络安专用产品的，应当经商用密码认证机构对递全专用产品目录，由具备资格的商用密码检测商用密码服务认证合格， 认证机构检测认证合格后，方可销售或者提供。 明确商用密码检测机构资质审批条件，流程及其从业规范烁石 1总期 从事商用出码产品腔酒、两络与链息系统藏用密妈良用克全性评估等商用皇码检洲活对，面向社会出具具有证 2科技创新与标准化明作用的数愿，精果的机构，皮当经国家配码宽谨部认跑！依准激换尚用密码检房机街资质。 3.检测认证 电子U证H接交材料 符合清件 5始出口取得商用密码检油机构资质，应当特合下列条件 生字认定 有法人留格解时简不计靠在20个工件 真有与从事商用密码检测活动相适应的黄金，场所、设备设施，专业人员和专日内的期限内国家击科些 后应用促进业能力器 具有保证商用密码检测活动有效运行的警理体系告知申请人 商用密码检测机构应按照法律、行政法规和商用密码检测技术规范、规则，在批准范国内独立、公正、科学、诚信 8.法律责任地开展商用密码检漫 对出具的检测致据、结果负贵 9.附0定期向国家密码管理部门报送检测实能请况 17 明确商用密码认证机构资质审批条件、程序及其从业规范娇石 重批流程从业规范 电子认证商用密码认证机构应当按照法律、行政法规和 护面电 商用密码认证技术规范、规则，在批准范围内 独立公正、科学、诚信地开展商用密码认证 五虚用促申请人除应当好合法律、行改法国务院市场监督管对出具的认证结论负贵 现和国家有关规定要求的认证机理部门在审商用对其认证的商用密码产品、服务、管理体系实枸基本条件外还应当具备与从虚码认证机构资质 事商用老码认证活动相适成时商电责时立当航求施有效的跟踪调查，以保证通过认证的商用密 品法神费任 用密码检测、检查、标准研制与码产品、服务、理体系持续特合认证要求 验证等专业能力的忘见 补充说明：商用密码认证全流程图陈石 认证委托人认证机构 审栈认证要托材口 2科技新与代准化 认证业务网下载认进委托材科棉版 委托人确定产品类载级引 制认证爱托人发送受理结果通知 定工户检专方点 3.检测认证 按要求填零认证要托材料与认量要托人皱订认 猴认证委托材科递送至 高角空码检覆中心以证要托人绝纳认证费 电子以证用 腰收型式试管任务刮定组认证开实海式方案，试维工厂现场检奇 与认证要托人签订至试试给协议 开晨型式试验 审核型式试验提告 工原检卖报 检滑机构 出具型式试验报告认证链价决定南桥工厂检盘报告 发放认证结来通知认定证书认注业务网公 品法律德任示证书信息（如适用） 9时0来课：商用密码业务认证网 获证后监督 明确电子认证服务使用密码要求和使用规范炼石 L总斯 2科技创新与标准化 3.检测认证应当按照法律