商用密码应用安全性评估
定义
重要性

商用密码应用安全性评估是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。

开展商用密码应用安全性评估工作,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。商用密码应用安全性评估工作,不仅对规范密码应用具有重大意义,同时对维护网络和信息系统密码安全,切实保障网络安全,有效应对各类网络安全风险,也具有不可替代的重要作用。


法律
国标
法规政策

《信息安全技术 信息系统密码应用基本要求》

GB/T 39786-2021


《信息安全技术 信息系统密码应用基本要求》强调其在商用密码应用标准体系中的基础性地位。该标准从技术与管理两个维度提出要求,分别涵盖物理与环境安全、网络与通信安全、设备与计算安全、应用与数据安全等方面的技术要求;以及管理制度、人员管理、建设运行、应急处置等管理要求。


《中华人民共和国密码法》


第二十七条规定,关键信息基础设施必须依法使用商用密码进行保护,并开展商用密码应用安全性评估,与安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。


《商用密码管理条例》


第十二条规定,国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。