解读商用密码应用安全性评估发展研究报
AI智能总结
《商用密码应用安全性评估发展研究报告(2023年):》 王聪中国工业互联网研究院 (工业和信息化部密码应用研究中心)2023年8月 01 背景及总体情况 02编写过程 03主要内容 编制背景 《商用密码管理条例》 密码工作上升为国家法律高度 党中央高度重视密码工作 密评迈向依法管理新阶段 《中华人民共和国密码法》颁布以来,密码应用保障领域全面拓宽,密码在维护国家安全、促进经济社会发展、保护人民群众利益中的作用日益凸显。密评作为验证密码应用科学性的有效手段和方法可进一步规范商用密码使用和管理,提升网络安全 习近平总书记连续8年对密码工作作出重要指示批示。做好新时代党的密码工作,努力建设世界流密码强国,为维护国家主权、安全、发展利益作出新的更大贡献。 2023年7月1日,《商用密码管理条例》正式施行,标志着密评从试点建设迈向依法管理的新阶段。为总结密评试点工作经验,进一步规范和引导相关单位开展密评工作,密评联委会组织编制《商用密码应用安全性评估发展研究报告》 编制背景 根据《关于开展密码应用安全性评估试点工作的通知》(国密局字【2017】138号)的工作部署,2017年4月起,国家密码管理局启动密评试点。自启动密评试点工作以来,密评工作机制不断健全,密评机构能力进一步增强,密评活动标准化工作持续推进,密评程序逐步完善,密评已进入蓬勃发展时期。 总体情况 商用密码应用安全性评估发展研究报告(2023年) 且录 牵头单位: 中国工业互联网研究院(工业和信息化部密码应用研究中心)参编单位: 密评相关政策法规要求 1.1国家法津法规布展密评顶层设计12国家多项政第文件为器评实施撑供指号1.3有关酒门出台指导性及据范性文件落实紧评费求 深圳市网安计算机安全检测技术有限公司北京炼石网络技术有限公司江苏省信息安全测评中心中国电子科技集团公司第十五研究所工业和信息化部电子第五研究所中国电子信息产业发展研究院中国信息通信研究院 密评体系建设进展 2.1高件工作机22新评机构培高2.9西评系际准24每平程序 密评行业发展情况 3/ 3.1评试点抗均规模布日趋合理 4/发展建议 附录1:密评相关法规政策汇总 1.1图家品面磨的生用及密评带关法律法规12国家层盗密码选用及密评雅关致策文件1.3各部门销用及密评相关政量文1.4各省(自治区、高销市)及新生产 全文共4章12节,3个附录,近5万字 附录2:密评相关标准与指导性文件列表 附录3:密评大事记 目录 01 背景及总体情况 02编写过程 03主要内容 编写过程 目录 01 背景及总体情况 02编写过程 03主要内容 主要内容 1.密评相关政策法规要求 国家法律法规布局密评顶层设计 国家多项政策文件为密评实施提供指引 我国充分适应新时代商用密码事业发展需要,坚持密评的立法、司法、执法和守法协同推进,通过法律法规明确密评的重要定位、评估范围责任主体和评估要求等深刻内涵,推动密评在重要领域和关键环节加速推广普及为数字经济高质量发展提供基础支撑。 面对新时代全球安全形势及发展需求,我国统筹发展与安全,出台多项政策文件对密评进行整体性的制度安排,推动密评体系健全完 有关部门出台指导性及规范性文件落实密评要求 相关地区积极将密评要求纳入地方政策制度 据不完全统计,国家密码管理局、国家网信办、教育部、工业和信息化部、公安部、财政部、交通运输部、国家能源局、国家邮政局等部门出台多项密评政策文件,明确金融、政务、教育、工信、交通、能源等行业商用密码应用安全性评估工作要求,提升商用密码应用安全性和管理水平,深化商用密码在各行业或领域的应用。 据不完全统计,我国各省(自治区、直辖市)及新疆生产建设兵团共出台130余项密评和密码应用相关政策文件,针对性提出适应地方特点的信息系统商用密码应用工作要求,推进商用密码应用以及商用密码应用安全性评估工作,切实提升信息系统的安全性和合规 主要内容 1.密评相关政策法规要求 系统梳理了密评相关法律法规、政策文件: 8项7项25项各省(自治区、直辖市)及新疆生产建设兵团共132项 1.1国家层面密评相关法律法规1.2国家层面密评相关政策文件1.3各部门密评相关政策文件1.4各省(区、市)密评相关政策文件 主要内容 2.1密评工作机制2.2密评机构培育2.3密评系列标准2.4密评程序 2.1密评工作机制 各方职责: 《商用密码管理条例》《商用密码应用安全性评估管理办法(征求意见))《商用密码检测机构管理办法(征求意见稿)》《关于规范商用密码应用安全性评估结果备案工作的通知》(国密局字【2021]392号《关于进一步规范商用密码应用安全性评估试点工作的通知》(国密局字【2022】454号) (一)国家密码管理部门负责管理全国的商用密码工作(二)地方各级密码管理部门负责管理本行政区域的商用密码工作三)行业主管部门推动本行业本领域密码应用(四)密评机构开展商用密码应用安全性评估具体实施(五)网络运营者履行密评主体责任(六)中国密码学会密评联委会支撑密评各项工作开展 主要内容 2.密评体系建设进展一2.2密评机构培育 随着《商用密码管理条例》正式施行,密评机构作为商用密码检测机构的一类,具备了行政许可的基础。国家密码管理局积极组织制修订《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》等配套规章,推动落实密评机构行政许可,为密评依法管理提供基础 2017年4月、2019年9月分两批培育认定密评试点机构并进行分类管理,其中48家纳入《商用密码应用安全性评估试点机构目录》并面向社会公布,可在全国范围内开展密评工作,25家准予在本地区、本行业从事密评工作。 行政许可 密评试点 主要内容 2.密评体系建设进展一2.3密评系列标准 商用密码应用安全性评估相关标准经历了从无到有、不断优化的过程,逐步构建了涵盖应用类,评估类和管理类的密评系列标准框架。应用类标准指导信息系统商用密码应用,同时也是评判密码应用是否合规的依据:评估类标准依据应用类标准制定,具体指导密评工作的开展:管理类标准是密评工作的基础和保障。这些标准和指导性文件相互关联、相互支撑,有力支撑了《密码法》和《商用密码管理条例》的落地实施。 主要内容 2.密评体系建设进展一2.3密评系列标准 主要内容 2.密评体系建设进展一2.4密评程序 梳理密评开展程序,为网络运营者开展密评工作提供指引 密评开展程序如右图所示,在系统规划阶段、建设阶段、运行阶段,网络运营者和密评机构需紧密配合,完成系统密码应用方案评估和信息系统评估,并将评估结果报密码管理部门备案。 主要内容 3.1密评试点机构规模布局日趋合理3.2密评人才供给能力持续提升3.3密评覆盖范围逐年扩大 3.密评行业发展情况 2021年国家密码管理局公告(第42号)发布的密评试点机构共48家,可在全国范围内开展密评工作。48家密评试点机构覆盖全国18个省(自治区、直辖市)其中行业主管部门推荐机构20家,地方密码管理部门推荐机构28家。地方密码管理部门推荐的28家机构中,北 京市、浙江省、广东省各3家,上海市、山东省四川省、新疆维吾尔自治区各2家,天津市、河北省、辽宁省、吉林省、江苏省、安徽省、福建省、江西省、河南省、湖南省、重庆市各1家。 主要内容 3.密评行业发展情况-3.2密评人才供给能力持续提升 通过密评人员考核人数稳步增加,为密评工作开展提供了重要的人才保障 密码职业人才培养认定体系加速构建有效满足密评人才需求 2021年3月,“密码科学与技术”列入《普通高等学校本科专业目录(2021年)》,高等职业教育专科专业增加“密码技术应用"专业。2022年9月,密码专业正式纳入《研究生教育学科专业目录(2022年)》 国家密码管理局持续加大密评从业人员考核力度,先后于2017年11月、2020年1月、2022年7月、2023年7月组织4次密评人员考核,通过密评人员考核人数稳步增加,为密评工作开展提供了重要的人才保障。 2022年9月,人力资源社会保障部颁布了2022版《中华人民共和国职业分类大典》,新增“密码技术应用员”和“密码工程技术人员”两个职业。 主要内容 3.密评行业发展情况-3.3密评覆盖范围逐年扩大 2018-2022年,年度开展系统评估的系统数量从81个增长到4665个,实现大幅增长。 2018-2022年各行业密评数量基本呈上一升趋政务行业密评数量在各区域中排名第一 2018-2022年各区域密评数量基本呈上升趋势华东地区密评数量在各区域中排名第- 主要内容 3.密评行业发展情况-3.3密评覆盖范围逐年扩大 从密评结果来看,各年度密评通过率呈现出逐年增长的变化趋势。 按照机构划分,各年度机构开展密评数量(前十)对比如上图 主要内容 谢谢大家! 报告全文下载,请访问中国密码学会官方网站:https://www.cacrnet.org.cn/
