商用密码安全性评估

商用密码应用安全性评估（简称“密评”）指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性等进行评估。

01办理依据

GM/T0054-2018《信息系统密码应用基本要求》

《信息系统密码测评要求（试行）》

《商用密码应用安全性评估测评过程指南（试行）》

《商用密码应用安全性评估管理办法（试行）》

《商用密码应用安全性评估作业指导书》

《商用密码应用安全性评估测评工具使用需求说明书》

02密评对象

密评工作的责任主体是涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位。密评对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。

03主要内容

密评的内容包括密码应用安全的三个方面：合规性、正确性和有效性。

1.商用密码应用合规性评估

商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。

2.商用密码应用正确性评估

商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确，即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。

3.商用密码应用有效性评估

商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题。

04办理流程

递交测评相关申请材料

填写合同信息，提交相关材料

配合密评人员调研分析

配合密评人员实施测评

收到密评结果