商用密码应用安全性评估报告（2024版，402页）

2024版V2.0.0 炼石网络 2024年2月 本文总体结构及参考文献 密评背景介绍 六密评团标解读 西南密码检利机构管连办活 四，出评方紧要求 寄改方案效 利电合机 带安全实就防护场！ 01密评背景介绍 02密评总体要求03密评测评要求04密评方案要求05密评测评过程06密评团标解读07密改FAQ解读08密改方案实践 更新解读 《商用密码管理条例》 1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日中华人民共和国国务院令第760号修订 条例概述：规范商用密码应用和管理，发挥密码在网络空间安全中的剪要作用 2023年5月24日：中央人民政府网发布2023年4月14日国务院第4次常务会议修订通过的《商用密码管理条例条例自2023年7月1日施行，在：规范商用密码应用和管理，鼓励促进离用密码产业发展保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织合法权益。 条例修订历程 （商电连网管理系例） 修订草客证求登见款 （商用率码管理务例2023年正式程 国关现令集T60号 洋务防专族213号 全文共靠舒领，与修订摩车证求感见限时比求和国家安全诺查更求，制定网安全等级保护密码模准现感荐。 全文共子装27禁主量罐节包活总购科碳生产营速、销售管理、佳用管理、安全/保密管理、刘鸡、时鸡 好订车家征球意见精全文共9活64务合括总则、科技创新与标准化，格谢认证：电于认信送出，应用促进、施督管理、法律责任、附期、 条例意义适应新时代商用密码事业发展需求 03楼订发布主单过惠 01修订必票性 团家密码管理员全适贸码党中美星于学社代高用型科工作的管理工作成动经站，湿关研充商质配码发展南形务，新任务，积极限军国外旺码理理专益做法，在率码法立法过程中间发开题条例研究修订工作 近年来，商用密码放用感发广适，在维护国家主权，安全和装展期监以及保摩购特甜要发全方质的作用能案超百，光的送脉理组了一利费米：2020年能行的需装实对商用密销精神，的化审码活相关利英，有心安对练的进行全面修 专电子 中央和国家机关单业和4家企多形见，并在国家由码理览门广店站面向社会公开延本每见，在分康收各方面惠更物要础上对值求息 开 IT定全 2023年51245 商用微码提3店正式发布进自2023年7月1日配行 条例亮点豪六大重点修订应对商密在技术进步和产业发展中出现的新情况新问题 促进商用密码科技创新 商用密码检测认证 电子认证 三理明确电子收务电认证需购拍购的率三出明亿电子认链造任挂动电国光明消成务活动中电子收务、电子印单好于证取等冰及的妞子认证带身要求， 耐新持更码相美学科和专业据设：建立健全商用电码科学技来创新促进机南，支持商用冠码科学技术自车创新：对作出来出西款的细好刷按国实有关妞定于以联爽童润医科学技术盛美韩化和产业愉息汇交发在造用件凉反爆机制缆优化投行感用密驾科开品荣家专美定审扭的适用范里，快活保护商用吾码得球的制识产板越范商用整码标准的制定、实、监警、菌际化以及法单效力 领审社，实行商用连自检请认证制基规定 我认就 条例亮点：六大重点修订应对商密在技术进步和产业发展中出现的新情况新问题烁石H 商用密码监管要求 促进商用密码应用的规定 进出口管理的体制机制 为规范商用密码进出口警理，微播德码法美于商用更国对口的现定从及国家中日明沙及园源安全、社会公共利造舞真有加资保护功能能尚用德码迅口件可薄及国家安全社会业共利益我香中国承国业图务提商务主部门会间享数码监部部和沟关品事定庭用思码选口许可洁等和出口银附道：大众满宽类严品所果用的商用幸码不实行进口许可和出口制制需 和安全品 英精课部门式有关命们的商用型销监务好理电费权据； 进务用码品售管理与社会情用体品拍生解蹈型码能球输门和看关媒门及其工准人效、走出口等单位和商用国码检题， 规范商用密码在售思谨域新技米，新业惠、高模式中的披用名一方面：朝购关造信息然础设请的商用输出然安全专极保护制康的衔控 补充了商用密码应用安全性评估的相关图解内容 练石围绕商用密码管理条例的具体内容以图文形式深入出解折了条例要点的同时，并从商用密码应用的角度出发，补充了商用密码应用安全性评估的相关图解内容以更好展示商用密码管理和应用的相关知识内容供读者学习参考不足之处诚邀大家共同完善。 商用密码应用安全性评估对采用商用密码技术产品和服务集成建设的网络和信息系统密码应用的含规性，正确性、有效性进行评估，是商用密码产业健康发展的“监督员” 引导各主体加强人才培养、宣传教育及行业自律 学术和行业自律 宣传教育 人才培养 国家加强商用密码人才培养，建立健全翻用密码人才发展体制机制和人才评价制度，鼓动和支持密码相关学科和专业建设，规范商用密码社会化培请，促进商用密码人才交流。 商用密码辅域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术交流政策研究，公热服务等活验，加强学术和行业自律，推动读信建设，促进行业健康发展。密码管理部门皮当加强对高用密码领城社会组织的指导和支持 各级人民政府及其有关部门应当采取多种形式加强新用学码直传教育，增强公民、法人和其他约织的出码安全意识。 落实多项机制提升商密技术创新、知识产权保护及成果转化能力 03政励在外商投资合作 02知识产权保护机制 01创新促进机制 黑家依法保护商用密码领诚的知识产权。从事商用密码活动，应当增望知识产权意识，提高通用、保护和管理知说产校的能力。 国家建立健全商用潮码科学技术创新促进机制，支持商用密玛料学技术自主创新，对作出安出责献的组织和个人按康国家有关定予以者彰和突。 国家鼓畅在外商投资过程中基于自通原妈和商业规开展商用密玛技术合作。行政机关及其工作人员不得利用行政手股强制转让商用留码技术。 05安全市查机制 04成果转化机制 国家密码理邮门期织对法得，行政法规和国家有关规定要求便用商用密妈进行保护的质络与信意乐给新使用的密码算法、密马协议、密朗管理机制待商用密码技术进行申准库 国家锣时和支持商用声码科学技术成集转化知产业化应声，审立和光蓝商用主码科学技术虎果情惠汇交、发布和成用情况反机制 科技创新与成果转化 加快商用密码行业标准、国家标准及国际标准制定进程 01规范：引导和监督标准制定 做品各自职费，维织利定商座密码国家标准、行业标准，对商用密码团体标准的制定进行规范、引导和监督，国家生玛管残部门依据职更，建立我涌密码标准实快信息反携和评估机制，对商用密码标准实扇进行监格控壶。基他领域的标准涉及费用密码的，应当与商用密码国家标准、行业标准保持协Alo 03强制性和推荐性标准遵循 02推动国际标准化活动 从更商用型码活动，应当符合有关法律、行政法规、高用生码酷制性国家标准，以及自我声明公开标准的技术费求。国家胶助在商用密码活动中采用热用密码推荐性国家标准、行业标注，提升我用密码的防护能力，维护用户的合法权益。 国家推动参通惠出品国际标准化活动，参与制定商用密码国际标准推进商用密码中国标准与国外标准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商用密码回际标准化活动。 国家鼓励在商用密码活动中自愿接受商用密码检测认证 推进商用密码技术检认证体系星务鼓谢在商用密码活动中自盈更商用密码检测认证 商用密码检测技术规范，规测电国家密码管理部门制定并公布。 立国家转推行的商用密码认证制度 实行商用密码产品，服务、管理体系认证制定并公布认证目录和技术规范、规购 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关镶设备和网络安全专用产品目录，由具备资格的商用密码检测认证机构检测认证合格后，方可销售或者提供。 商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对递商用密码服务认证合格， 明确商用密码检测机构资质审批条件，流程及其从业规范 从事商用出码产品腔酒、两络与链息系统藏用密妈良用克全性评估等商用皇码检洲活对，面向社会出具具有证明作用的数愿，精果的机构，皮当经国家配码宽谨部认跑！依准激换尚用密码检房机街资质。 取得商用密码检油机构资质，应当特合下列条件有法人留格 真有与从事商用密码检测活动相适应的黄金，场所、设备设施，专业人员和专业能力器具有保证商用密码检测活动有效运行的警理体系 明确商用密码认证机构资质审批条件、程序及其从业规范 从业规范 应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用密码提供电子认证服务，保证其电子认证服务密码使用持续符合要求 来用商用密码技术提供电子认证服务要求 应当具有与使用密码相适应的场所设备设施、专业人员、专业能力和管理体系依法取得国家密码管理部门同意使用码的证明文件 电子政务电子认证服务机构的资质审批条件、程序及其从业规范 外商投安电干设务电子认证版务 市子政务电子认证服务机构 应当按照法律，行政法规和电子政务电子认证股务技术规范、规则，在批准范国内提供电子政务电子认证服务定期向主要办事机构所在先省，身治区、轮市密码香理部门报送服务实施情况 影响者可能瑜国家安全的国当旅法进行外商投盗专全市童 国家建立统一的电子认证信任机制 国家 建立统一的电于认证信任机制 国家空码家部门 负责电子认证信任源的规划和偿理，会同有关部们性动电子认证服务互信互认。电子认证服劳密码使用技术规范、规则由国家密码管理部门制定并公布，电子政务电子认证服务技术规范、旋购由国家密码管理部门制定并公布 密码管理部材会同有关部门 负政务活动中使用电子名数据电文的警理 政务活动中的电子签名、电子印章，电子证照等涉及的电子认证服务，应当由依法设立的电子政务电子认证服务机构提供。 密评发展历程回顾 密评合规提供安全基线 码法第工十在案规定新选普者皮当自行或者要托商用检利机构开降商用甲皮用安全性评估，高用质甜度用安全性评估应当与关健信，品设脑安全检评估、同络安全等保利押耐配相接，范免更真评估、雨【带码法》蒙三十七东现定关键他慧基磁设题的运驾看未按就要求使用商用密妈，或看未按照要求开展商用密码旺用安全性呼估的，电费码管理部门责令改正，始予留告，拒不改正效者导致危害网络安全等后累的，处十万元以上一百万元以下前款，对接负贵的主除人贵处一万元以上十方元以卡罚款。一十四五“数字经济发展规影明弱接出支持开降学态化安全风险评估加强网路安全等费保护和密码应用安全性评估 商用密码应用安全性评估，报对采用离用密码技术，产品和胜务集成理设的隔络和信取系统密码应用的合规性正性、有效性进行评估： 中华人民共和国密码法 密评发展历程回顾 推广发展期 2021年起 十四五时期，后款手化引领评服款发质在金融，政务、载有电信连和业特实理现操化市量拿在评估机献证点机构效顾，接来自主创新能力、检得认证和标准支握体系，产业生态环境、产合作试点、人本队伍设导方面特形成较强综合竞争力，考字经流高速发展购纯支全屏障， 钻系建设期 试点理设期 2007年11月27日，国家表码管理展印发11号文件（&信退读全等级保萨童用密拍范推办造，求信息安全等级医护商用器码酒评工作由腾家码管理超据定的测评机构承担。.2009年1215日国家警码营理局印发警理办法实活食见，明确每品码有关的求 制虎更基期 2007:11-70168 密评等保相互衔接 扩展补充：关基、等保和密评定义概念 网络安全等保测评：，（商称“等保测评”）是测浮机构依据口家信感安全等级保护制度现定，按照有关管理现范和技术标准，对非涉及团家书密信感系流安全等缓保护状况进行检解评估的活动，是信息系统安全等级保护工作的兼爱环节。 关领信息基础设施安全检测评估：（简称关基安全检测评估）对关健信思基础设施安全性和可能存在的风险进行检测评估的活动。检谢详估内客包括但不度于网络安全制度，（国家和行业相关法律法规政策文件及运营者制定的制度）