GM国密及密评相关制度

欢迎学习密码知识

一、国密类型

二、密码相关政策标准总览

法律

相关法律	发布日期
网络安全法	2017年6月1日
密码法	2020年1月1日
数据安全法	2021年9月1日
个人信息保护法	2021年11月1日

法规政策

相关法规政策	发布日期
商用密码应用安全性评估管理办法(试行)	2017年
商用密码管理条例	2020年8月20日
商用密码应用安全性测评机构管理办法(试行)	2017年9月27日
商用密码应用安全性测评机构能力评审实施细则(试行)	2017年9月27日
促进商用密码产业高质量发展的若干措施	2021年
信息安全等级保护商用密码管理办法	2007年11月27日

国标

相关国标	发布日期
信息安全技术信息系统密码应用基本要求GB/T 39786- -2021	2021年
信息系统密码应用设计技术要求征求意见稿	2021年
信息系统密码应用测评要求征求意见稿	2021年

行标

相关行标	发布日期
信息系统密码应用基本要求GM/T 0054- 2018	2018年
信息系统密码应用测评要求GM/T 0115- -2021.	2021年
信息系统密码应用测评过程指南.GM/T 0116- -2021	2021年

指导性文件

密评工作

相关指导性文件	发布日期
商用密码应用安全性评估	2018年
商用密码应用安全性评估行业自律公约	2021年
商用密码应用安全性评估量化评估规则	2021年12月17日
政务信息系统密码应用与安全性评估工作指南	2020年9月24日
商用密码应用安全性评估报告模板(2021版)	2021年12月17日
信息系统密码应用高风险判定指引	2021年12月17日

密评机构

相关指导性文件	发布日期
商用密码应用安全性评估机构能力要求和评价规范(报批稿)	-
商用密码应用安全性评估监督检查规范(送审稿)	-

密评行业

相关指导性文件	发布日期
信息系统密码安全管理体系(送审稿)	-
工业控制系统密码应用技术要求(送审稿)	-

密评人员

相关指导性文件	发布日期
密码技术应用员国家职业技能标准(征求意见稿)	2021年9月23日

密评实施

相关指导性文件	发布日期
信息安全等级保护商用密码技术实施要求	2009年
信息系统密码应用实施指南(报批稿)	-

三、为什么做密评

《密码法》第二十七条规定:运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。
《密码法》第三十七条规定:关键信息基础设施的运营者未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

四、什么是商用密码应用安全性评估

商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

五、密评合规性、正确性、有效性的含义

合规性-密码算法、密码协议、密钥管理、密码产品和服务使用合规

1.按照《商用密码管理条例》等密码使用要求，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局审批的密码产品或服务
2.按照《信息系统密码应用基本要求》等标准，进行密码应用建设方案设计

正确性-密码算法、密码协议、密码管理、密码产品和服务使用正确

1.系统中采用的标准密码算法、协议和密钥管理机制按照密码国家和行业标准进行正确设计和实现
2.自定义密码协议、密钥管理机制的设计和实现正确，符合相关标准要求
3.密码保障系统建设或改造过程中密码产品和服务的部署和应用正确
4.密码应用安全立足系统安全、体系安全、动态安全

有效性-密码算法、密码协议、密码管理、密码产品和服务使用有效

1.信息系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制不仅设计合理,
2.在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性

六、密评5个工作流程

1.测评准备

• 系统信息收集
• 应用方案调研

2.方案编制

测评对象与指标确定
测评内容确定
测评工具接入点确定
测评工具和表单准备

3.现场测评

现场测评准备
问题整改与回归测评
现场测评和结果记录
结果确认与资料归还

4.分析及报告编制

单项测评结果判定
整体测评与风险分析
单元测评结果判定
测评结论与报告编制

5.出具报告

密码应用安全性测评报告

七、密评原则及内容

1、评估原则：

遵循商用密码管理政策和GB/T39786-2021《信息系统密码应用基本要求》、《信息系统密码测评要求》等相关密码标准的要求，遵循独立客观、公正的原则。

2、评估内容：

主要对物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理等六个方面进行测评。