2023商用密碼應用安全性評估發(fā)展研究報告

–IV– 2 31.3有關(guān)部門出臺指導性及規(guī)范性文件落實密評要求 4 5 6 8 9 3.2密評人才供給能力持續(xù)提升 22 24 251.4各?。ㄗ灾螀^(qū)、直轄市）及新疆生產(chǎn)建設兵團密碼應用及密評相關(guān)政策文件 29 –涵蓋金融和通信、公安、稅務、社保、交通、衛(wèi)生健康、能源、電子政務等重要領域，是保障網(wǎng)絡與信息安全的核心技術(shù)和基礎支撐。在推動數(shù)字經(jīng)濟高質(zhì)量發(fā)展、推進中國式現(xiàn)代的進程中，如何更好地規(guī)范商用密碼應用和管理、發(fā)揮密碼在保障網(wǎng)絡安全中的核心支撐作用至關(guān)重要。商用密碼應用安全性評估作為驗證密碼應用科學性的有效手段和方法，既是應對網(wǎng)絡安全嚴峻形勢的迫切需要，也是落實國家重要領域和關(guān)鍵行業(yè)網(wǎng)絡安全防護責任的有效手段，更是全面貫徹落實《中華人民共和國密碼法》（以下簡稱《密碼法》）和《商用密碼管理條例》基本要求、推進商用密碼法治建專業(yè)技術(shù)人員保障不足，密碼應用要求理解把握不到位，密碼錯用、誤用情況經(jīng)常發(fā)生。性評估依據(jù)科學全面的測評標準，由專業(yè)的技術(shù)人員采用專業(yè)的技術(shù)手段和測評統(tǒng)密碼應用情況給出評價，發(fā)現(xiàn)信息系統(tǒng)密碼應用存在的不規(guī)范、不安全、不正確等問題 例》《網(wǎng)絡安全等級意見稿）》第四十七條非涉密網(wǎng)絡應當按照國家密碼管理法律法規(guī)和標準的要求，使用密碼技術(shù)、產(chǎn)品和服務。第三級以上網(wǎng)絡應當采用密碼保護，并使用國家密碼管理部門認可的密碼技術(shù)、產(chǎn)品和第三級以上網(wǎng)絡運營者應在網(wǎng)絡規(guī)劃、建設和運行階段，按照密碼應用安全性評估管理辦法和相關(guān)標準，委托密碼應用安全性測評機構(gòu)開展密碼應用安全性評估。網(wǎng)絡通過評估后，方可上線運行，并在投入運行后，每年至少組織一次評估。密碼應用安全性評估結(jié)果應當報受理條例》明確，網(wǎng)絡運營者應當按照國家網(wǎng)絡安全等級保護制度要求，使用商用密碼保護網(wǎng)絡安全。網(wǎng)絡安全等級保護制度中的商用密碼使用、管理和應用安全性評估要求重點適用對象是絡安全等級保護三級以上網(wǎng)絡加強商用密碼應有關(guān)要求，對網(wǎng)絡的密碼保護作出規(guī)定。其中，對非涉密網(wǎng)絡、第三級以上網(wǎng)絡提出密碼保護要求，定網(wǎng)絡運營者應在網(wǎng)絡規(guī)劃、建設和運行階段委托專業(yè)測評機構(gòu)開展密碼應用安全性評估，并對評估結(jié)度安排，推動密評體系健全完善。密評相關(guān)國家政策文件要求如表2所示，更多國家層面密碼應用及–4–《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》《國家政務信息化項目建設管理辦法》（國辦發(fā)〔2019〕57號）項目建設單位應當落實國家密碼管理有關(guān)法律1.3有關(guān)部門出臺指導性及規(guī)范性文件落實密評要求國家能源局、國家郵政局等部門出臺多項密評政策文件，明確金融、政務、教育、工信、商用密碼應用安全性評估工作要求，提升商用密碼應用和管依法督促建設密碼保障體系，并強化重要網(wǎng)絡《2020年教育信息化和網(wǎng)絡《關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)安〔2021〕134號）2020〕1960號）《政務信息系統(tǒng)政府采購管理暫 《公路水路關(guān)鍵信息基礎設施安全保護管理辦法》行保護的公路水路關(guān)鍵信息基礎設施，其運營使用商用密碼進行保護，自行或者委托商用密《關(guān)于印發(fā)〈電力行業(yè)網(wǎng)絡安全《“十四五”郵政業(yè)發(fā)展規(guī)劃》政策文件，針對性提出適應地方特點的信息系統(tǒng)商用密碼應用工作要求，推進商用密碼應用及安全作，切實提升信息系統(tǒng)的安全性和密碼應用合規(guī)性。各?。ㄗ灾螀^(qū)、直轄市）及新疆 2017年4月，國家密碼管理局印發(fā)《關(guān)于開展密碼應用安全性評估試點工作的通知》（國密局字〔2017〕138號），附《商用密碼應用安全性評估管理辦法（試行）》，開始開展等文件，密評制度體系初步建立。2019年4月，為支撐密評各項工作開展，中國密碼學會設立商用密碼應），評技術(shù)評價和能力評估、密評關(guān)鍵共性技術(shù)研究、密評行業(yè)發(fā)展促進等重點工作。2021年11月，國家密碼管理局印發(fā)《關(guān)于規(guī)范商用密碼應用安全性評估結(jié)果備案工作的通知》（國密局字〔2021〕392號），明確密評工作主要涉及的主體有密碼管理部門、2.1.2地方各級密碼管理部門負責管理本行政區(qū)域的商用密碼工作一是縣級以上地方各級密碼管理部門負責本行政區(qū)域內(nèi)商用密碼檢測二是縣級以上地方各級密碼管理部門負責督促本地區(qū)有關(guān)網(wǎng)絡運營者2.1.4密評機構(gòu)開展商用密碼應用安全性評估具體實施 商用密碼應2023科學公正、誠實信用原則，尊重知識產(chǎn)權(quán)，恪守職業(yè)道德，承擔社會責其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的二是在系統(tǒng)建設階段，網(wǎng)絡運營者應當按照通過商用密碼應用安全性評估的商用密碼應用方案組織實（4）提供商用密碼產(chǎn)品管理入口、網(wǎng)絡交換設備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件，并配合進安全性評估，確保商用密碼保障系統(tǒng)正確有效運行。未通過商用密碼應用安全性評估的，運營者應當密碼管理局或者網(wǎng)絡與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報告，必要時啟研究、公共服務等活動，加強學術(shù)和行業(yè)自律，推動誠信建設，促進行業(yè)健康發(fā)展。在導下，密評聯(lián)委會全面支撐密評人才隊伍教育與培訓、標準制定、技術(shù)評價和能力評估、關(guān)鍵共性技術(shù)的研推進研制、質(zhì)量把關(guān)、標準驗證、標準修訂等，以及標準配套指導性文件的跟蹤研究及制修訂工理論考試、技能考核、報告質(zhì)量評價等具體環(huán)節(jié)的方法與指標，并支持搭建密評能力驗證實訓爭及密評過程行為等。建立密評行業(yè)信息收集、反饋、通報機制，促進行業(yè)信息公開，支撐建立密評行息平臺，加強密評工作信息發(fā)布與宣傳推廣。通過學術(shù)研討、專題論壇、技術(shù)沙龍、專業(yè)講座及知作的健康持續(xù)發(fā)展。國家密碼管理局按照“總量控制、合理布局、擇優(yōu)國家密碼管理局積極組織制修訂《商用密碼檢測機構(gòu)管理辦法》《商用密碼應用安全性評估管理辦法測評過程測評報告7結(jié)果規(guī)范過程指南量化評估7GM/TO116-2021《信息系統(tǒng)密碼應用測評過程指南》《商用密碼應用安全性評估量化評估規(guī)則》《商用密碼應用安全性評估報告模板》評估類GM/T0115-2021《信息系統(tǒng)密碼應用測評要求》測評結(jié)果風險判定測評過程測評報告7結(jié)果規(guī)范過程指南量化評估7GM/TO116-2021《信息系統(tǒng)密碼應用測評過程指南》《商用密碼應用安全性評估量化評估規(guī)則》《商用密碼應用安全性評估報告模板》評估類GM/T0115-2021《信息系統(tǒng)密碼應用測評要求》測評結(jié)果風險判定《信息系統(tǒng)密碼應用高風險判定指引》自2017年密評試點工作啟動以來，國家密碼管理局持續(xù)加強密評標準規(guī)范供給。試點工作之初，研究確定了密評體系總體架構(gòu)，并組織有關(guān)單位起草14項制度文件，明確了密評體系建設、密評機構(gòu)培育、密評活動開展的基本依據(jù)。近年來，在國家密碼管理局的指導下，相關(guān)標準化組織及密評工作實際，積極組織密評標準及指導性文件制修訂工作，推動密評工作標準化建設，為密評活動有序開下簡稱GM/T0054-2018）從行業(yè)標準上升為國家標基本要求》（以下簡稱GB/T39786-2021），為密評工作開展提供基礎性指導。密碼行業(yè)標準GM/T0115-應用是否合規(guī)的依據(jù)；評估類標準依據(jù)應用類標準制定，具體指導密評工作的開展；管理類標應用類GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》《信息安全技術(shù)信息系統(tǒng)密碼應用設計技術(shù)指南》《信息系統(tǒng)密碼應用實施指南》各行業(yè)密碼應用相關(guān)標準規(guī)范《信息系統(tǒng)密碼安全管理體系》管理類《信息系統(tǒng)密碼安全管理體系》管理類《商用密碼應用安全性評估監(jiān)督檢查規(guī)范》《商用密碼應用安全性評估機構(gòu)能力要求和評價規(guī)范》GB/T39786-2021用于指導、規(guī)范信息系統(tǒng)密碼應用的規(guī)劃、建設、運行及測評，是指導密評工作開展的基礎性標準。該標準規(guī)定了信息系統(tǒng)從第一級到第四級的密碼應用的基本要求，從信息系統(tǒng)的物人員管理、建設運行和應急處置四個方面提出了密碼應用管理要求。在該標準的基礎上，各領域與行業(yè)同時，密評試點的具體實踐和工作經(jīng)驗對GB/T39786-2021的編制起到了積極的促進作用。2018年9月26日，該標準項目組在國家密碼管理局和全國信息安全標準化技術(shù)委員會WG3工作組的指導下，向全國27家密評試點機構(gòu)征求意見。2018年9月到10月，該標準項目組根據(jù)27家密評試點機構(gòu)的意見，對標準進行了多次研討，將身份鑒別、訪問控制、數(shù)據(jù)完整性等部分條款進行調(diào)整與修改。來自真實應用場景的密評試點實踐成果有力支撐了GB/T39786-2021的編制工作，相較于標準前身密碼行業(yè)標準GM/T0054-范與指導性文件，主要涉及信息系統(tǒng)密碼應用設計、建設、測評等各工作環(huán)節(jié)的要求。密評《信息安全技術(shù)用設計技術(shù)指南》密碼應用方案設計指南，適用于指導信息系統(tǒng)密碼應用方案息系統(tǒng)密碼保障系統(tǒng)建設、密碼應用安全性評估、密碼管理《信息系統(tǒng)密碼應用實施指南》建設、運行及終止階段的實施流程及主要活動，適用《信息系統(tǒng)密碼應用測評要求》規(guī)定了信息系統(tǒng)不同等級密碼應用的測評要求，從密碼算法、密碼技品和密碼服務合規(guī)性、密鑰管理安全性方面，提出了第一級到第五級的通用測評要求；從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡和通信安全、設備全、應用和數(shù)據(jù)安全等四個技術(shù)層面提出了第一級到第四級密碼應用技要求；從管理制度、人員管理、建設運行和應急處置等四個管理方面提級到第四級密碼應用管理的測評要求，并給出了整體測評、風險分析和評結(jié)論等測評環(huán)節(jié)的要求。該標準適用于指導、規(guī)范信息系統(tǒng)在規(guī)劃、《信息系統(tǒng)密碼應用測評過程指南》規(guī)定了信息系統(tǒng)密碼應用的測評過程。該標準在遵循測評的客觀公正重用性原則、可重復性和可再現(xiàn)性原則及結(jié)果完善性原 評估規(guī)則》依據(jù)GB/T39786-2021和GM估結(jié)果，適用于規(guī)范信息系統(tǒng)密碼應用安全性評估，以劃、建設等工作。該指導性文件結(jié)合當前密碼應用推進營者使用密碼技術(shù)，特別是使用合規(guī)的密碼技術(shù)、產(chǎn)品《信息系統(tǒng)密碼指引》給出了信息系統(tǒng)密碼應用過程中可能存在的高風險安全引導網(wǎng)絡運營者使用合規(guī)的密碼產(chǎn)品和服務，防止因產(chǎn)品和服安全性評估報告系統(tǒng)密評報告》模板（以下簡稱系統(tǒng)密評報系統(tǒng)密碼應用方案的密評報告格式進行了規(guī)工作提供參考。確立了定期更新機制，不斷應對技術(shù)發(fā)展和應用情況《信息安全技術(shù)規(guī)范》檢查規(guī)范》《信息系統(tǒng)密碼安全管理體系》建立組織內(nèi)部的密碼應用安全管理體系提供指導。標準應用安全風險管理、密碼應用安全控制、有效性測量、密評相關(guān)標準在制修訂過程中嚴格落實法律要求，并注重密評與關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡安全第一，GB/T39786-2021是商用密碼應用安全性評估的基礎性指導。GB/T39786-2021和GB/T22239-第二，信息系統(tǒng)遵循的密碼應用等級及范圍參照網(wǎng)絡安全等級保護定級。信息系統(tǒng)根據(jù)GB/T22240-2020《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》完成定級備案后，其密碼應用等級及范圍也相應確定。從密評機構(gòu)的視角看，信息系統(tǒng)完成等級保護定級是啟動密評的基礎，密評對象的范圍范內(nèi)容的一致性。例如，在GB/T22239-2019中，對于等驗技術(shù)或密碼技術(shù)”保障完整性，對于等級保護第四級系統(tǒng)提出“應采用密碼技術(shù)”保障完整性程指南》是為配合GB/T39786-2021的貫徹實施，更好地定采用符合性判定“一票否決”的機制，但隨著密評工作的推進，該機制的不適應性逐步顯現(xiàn)碼應用推進工作難度大、周期長，“一票否決”不利于網(wǎng)絡運營者統(tǒng)籌各方資源落實密碼應用要求。另一方定指引》制定工作適時啟動，目前以指導性文件的形式在實際工評價指標，主要從密碼使用有效性、密碼算法/技術(shù)合規(guī)性、密鑰管理安全三個方面量化評估。密碼使用有效性關(guān)注密碼技術(shù)是否被正確、有效使用，以滿足信息系統(tǒng)的安全需求。密碼算法/技術(shù)合規(guī)性關(guān)注信息系統(tǒng)使用的密碼算法是否符合法律、行政法規(guī)、國家有關(guān)規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的要術(shù)是否遵循密碼相關(guān)國家標準和行業(yè)標準或通過國家密碼管理部門審查鑒定。密鑰管理 先行”的原則，通過指導性文件的方式先行發(fā)布一些亟需規(guī)范。2020年密評聯(lián)委會發(fā)布《信息系統(tǒng)密碼應用測評要求》等5項商用密碼應用與安全性評估指導性文件，之風險判定指引》《商用密碼應用安全性評估量化評估規(guī)則》《商用密碼應用安全性評估報告模板越來越頻繁，亟需規(guī)范的活動內(nèi)容越來越多。另一方面，密碼應用場景的不斷豐富，對不同場景應用系統(tǒng)的密評工作帶來了新的挑戰(zhàn)。因此，需要積極歸納總結(jié)密評試點過程的寶貴經(jīng)典型業(yè)務需求豐富完善相關(guān)標準內(nèi)容。在后續(xù)工作中，結(jié)合試點實踐情況，還需要進一步推進指導性文件加根據(jù)網(wǎng)絡安全等級保護定級情況和密碼應用需求，依據(jù)GB/T39786-2021等相關(guān)標準要求制定商用密碼應用方案，規(guī)劃商用密碼保障系統(tǒng)。方案編制完成后，自行或者委托商用密碼檢測機構(gòu)開展密商用密碼應用安全性評估的商用密碼應用方案進行實施，落實商用密碼安全統(tǒng)。系統(tǒng)運行前，網(wǎng)絡運營者應當自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全少開展一次商用密碼應用安全性評估，確保商用密碼保障系統(tǒng)正確有效運行。系統(tǒng)發(fā)生密碼通過V通過通過V通過網(wǎng)絡運營者密評機構(gòu)密碼管理部門委托評估評估評估修改完成形式審查合格出具回執(zhí)密碼應用方案修改通過評估的密碼應用方案和評估報告報告和備案材料報告和備案材料必要時必要時項目立項材料委托評估未通過備案材料形式審查形式審查合格7備案材料形式審查形式審查合格7出具回執(zhí)依據(jù)密碼應用方案進行建設系統(tǒng)整改系統(tǒng)測評報告報告和備案材料報告和備案材料必要時必要時項目驗收完成項目驗收完成項目驗收材料系統(tǒng)整改系統(tǒng)測評委托評估未通過發(fā)生重大安全事故通過系統(tǒng)測評委托評估未通過發(fā)生重大安全事故通過出具回執(zhí)完成年度密評工作出具回執(zhí)完成年度密評工作備案材料形式審查備案材料形式審查應急評估系統(tǒng)測評報告報告和備案材料報告和備案材料 并依據(jù)評估結(jié)果進行應急處置，采取必要的安全防范措施。未通過商用密碼應用安全性評估應當進行改造。若系統(tǒng)約束條件發(fā)生重要變化，必要時，項目使用單位需重新修訂和編制密具30日內(nèi)，填寫《網(wǎng)絡與信息系統(tǒng)密評備案信息表》等密評工作情況相關(guān)材料，按照國家密碼管理部門有關(guān)規(guī)定，連同評估報告一起報送國家密碼管理局或者網(wǎng)絡與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管門備案。國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門應當對備案材料進行形式審查，審查不的，應當責令網(wǎng)絡運營者重新提供商用密碼應用安全性評估報告。相關(guān)商用密碼檢測機構(gòu)應當配者重新開展商用密碼應用安全性評估或者重 48家密評試點機構(gòu)覆蓋全國18個?。ㄗ灾螀^(qū)、直轄市），其中行業(yè)主管部門推薦機構(gòu)20家，地方密碼管 人數(shù)穩(wěn)步增加，為密評工作開展提供了重要的人才保障。2021年3月，“密碼科學與技術(shù)”列入《普通高等學校本科專業(yè)目錄（2021年）》，高等職業(yè)教育專科專業(yè)增加“密碼技術(shù)應用”專業(yè)。2022年9月，密碼專業(yè)正式納入《研究生教育學科專業(yè)目錄（2022年）》。目前已有15所高校開設“密碼科學與技術(shù)”本科專業(yè)。2022年9月，人力資源社會保障部頒布了2022版《中華人民共和國職業(yè)分類大典》，新增“密碼技術(shù)應用員”和“密碼工程技術(shù)人員”兩個職業(yè)。密碼技術(shù)應用員定義為從事信息系統(tǒng)安全密碼設計、系統(tǒng)集成、檢測評估、運維管理、密碼咨詢等相關(guān)密碼服務的人員。密碼工程技術(shù)人員定義碼算法與協(xié)議實現(xiàn)、設備和系統(tǒng)研制、產(chǎn)品檢測與認證、服務系統(tǒng)設計建設、標準編制、密碼管理術(shù)培訓咨詢的工程技術(shù)人員?！睹艽a技術(shù)應用員國家職業(yè)技能標準》《密碼工程技術(shù)人員國家職業(yè)按照區(qū)域劃分，2018-2022年各區(qū)域開展密評數(shù)量的統(tǒng)計如表5及圖4所示。各區(qū)域密評數(shù)量基本呈上256758006004002000華北華東華中西南西北華南華北華東華中西南西北2018年數(shù)量2019年數(shù)量2020年數(shù)量2018年數(shù)量2019年數(shù)量2020年數(shù)量2021年數(shù)量 按照系統(tǒng)所屬行業(yè)領域劃分，2018-2022年各行業(yè)開展密評數(shù)量的統(tǒng)計如23數(shù)量基本呈上升趨勢，政務行業(yè)密評數(shù)量在各行業(yè)中75352720005000政務金融2018年數(shù)量公安能源衛(wèi)生健康社會保障自然資源交通其他2019年數(shù)量2020年數(shù)量2021年數(shù)量2022年數(shù)量–20–100.00%90.00%80.00%70.00%60.00%50.00%40.00%30.00%20.00%10.00%0.00% 92.59%89.86% 7.41%20182019202020212022通過率不通過率35030025020003503002502000機構(gòu)2機構(gòu)3機構(gòu)4機構(gòu)5機構(gòu)6機構(gòu)機構(gòu)2機構(gòu)3機構(gòu)4機構(gòu)5機構(gòu)6機構(gòu)7機構(gòu)8機構(gòu)9機構(gòu)12018年數(shù)量2019年數(shù)量2020年數(shù)量2018年數(shù)量2019年數(shù)量2020年數(shù)量2021年數(shù)量–21–44推動商用密碼應用安全性評估要求與各地區(qū)各有關(guān)部門相關(guān)工作規(guī)劃及政策制度同步部署、深落地，統(tǒng)籌建立資金、人員、技術(shù)等方面要素保障機制與參考依據(jù)，形成制度化、?，F(xiàn)密評工作與網(wǎng)絡化、數(shù)字化發(fā)展戰(zhàn)略深度融合。加強密碼宣傳教育與密評引導培訓，為密碼應用云計算、車聯(lián)網(wǎng)、區(qū)塊鏈、隱私計算等新領域、新場景、新技術(shù)的技術(shù)指南與測評規(guī)范，不斷施要素，提升密評可操作性與落地性。強化密評管理平臺、工具、手段創(chuàng)新，研究建設密碼運行安全管理基礎設施，實現(xiàn)密評監(jiān)管在線化、動態(tài)化、實時化，推動密評決策信息化、精準化、科學化，通過提升管制度，組織開展密評工作“飛行檢查”，嚴厲查處密評違法違規(guī)行為。健全密評聯(lián)委會組織體系，有效整合密評機構(gòu)參與力量，探索引入社會監(jiān)督，圍繞密評行業(yè)總體規(guī)劃、標準供給、能力建設、行泛吸納智慧方案。加強各地區(qū)各部門各機構(gòu)密評實踐定向試點管理向行政許可銜接轉(zhuǎn)換，建立密評機構(gòu)常態(tài)化準入及退出機制，加快實現(xiàn)密評職業(yè)人才常態(tài)化–22–發(fā)文/發(fā)布/“發(fā)布時間”）《密碼法》（中華人民共自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用用密碼應用安全性評估應當與關(guān)鍵信息基礎設施安《網(wǎng)絡安全法》行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術(shù)措施要措施，保障網(wǎng)絡安全、穩(wěn)定運行，有效應對網(wǎng)絡安全事《數(shù)據(jù)安全法》健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教相應的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利日《個人信息保號）方式、個人信息的種類以及對個人權(quán)益的影響、可能存險等，采取下列措施確保個人信息處理活動符合法律、–23– 發(fā)文/發(fā)布/“發(fā)布時間”）日《商用密碼管理條例》同步建設、同步運行商用密碼保障系統(tǒng)，自行或者前款所列關(guān)鍵信息基礎設施通過商用密碼應用投入運行，運行后每年至少進行一次評估，評估情況按照國規(guī)定報送國家密碼管理部門或者關(guān)鍵信息基礎設施所在地省使用商用密碼保護網(wǎng)絡安全。國家密碼管理部門根據(jù)網(wǎng)絡的護等級，確定商用密碼的使用、管理和應用安全性評估要求日《網(wǎng)絡安全等求意見稿）》要求，使用密碼技術(shù)、產(chǎn)品和服務。第三級以上網(wǎng)絡應當密碼應用安全性評估管理辦法和相關(guān)標準，委托密碼應用并在投入運行后，每年至少組織一次評估。密碼應用安全《關(guān)鍵信息基護條例》門日《網(wǎng)絡數(shù)據(jù)安求意見稿）》保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法據(jù)安全事件，防范針對和利用數(shù)據(jù)的違法犯罪活動，–24–發(fā)文/《國務院關(guān)于加強數(shù)字政府建設的指導意見》（國發(fā)〔2022〕14號）全制度要求”中提出：加強關(guān)鍵信息基礎設施安全保護安全等級保護，建立健全網(wǎng)絡安全、保密監(jiān)測預警和密《國務院辦公廳關(guān)于加《“十四五”數(shù)字經(jīng)濟金融、能源、交通運輸、水利等重要行業(yè)領域關(guān)鍵信施網(wǎng)絡安全防護能力，支持開展常態(tài)化安全風險評估發(fā)〔2019〕57號）建設單位應當落實國家密碼管理有關(guān)法律法規(guī)和標求，同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)《國務院關(guān)于在線政務數(shù)據(jù)安全涉及電子認證、密碼應用的，按照法律《政府網(wǎng)站發(fā)展指引》（國辦發(fā)〔2017〕47號）–25– 2023發(fā)文/起草單位《鐵路關(guān)鍵信稿）》局《商用密碼檢稿）》性評估等商用密碼檢測活動，向社會出具具有證果的機構(gòu)，應當經(jīng)國家密碼管理局認定，依法取局的網(wǎng)絡與信息系統(tǒng)（以下簡稱重要網(wǎng)絡與信息系統(tǒng)），其當使用商用密碼進行保護，制定商用密碼應用方案，配備《公路水路關(guān)理辦法》護的公路水路關(guān)鍵信息基礎設施，其運營者應當使用保護，自行或者委托商用密碼檢測機構(gòu)每年至少開展局《關(guān)于進一步局字〔2022〕進一步加強對密評試點工作的督促指導，強調(diào)重要網(wǎng)者密評主體責任，規(guī)范密評試點機構(gòu)的日常監(jiān)案材料的形式審查，包括對密評活動真實客觀《關(guān)于印發(fā)<國家有關(guān)規(guī)定開展電力監(jiān)控系統(tǒng)安全防護評估、測評、關(guān)鍵信息基礎設施網(wǎng)絡安全檢測和風險評安全性評估和網(wǎng)絡安全審查等工作，未達到要求《醫(yī)療衛(wèi)生機碼法》等有關(guān)法律法規(guī)和密碼應用相關(guān)標準規(guī)范，在中同步規(guī)劃、同步建設、同步運行密碼保護措施，使–26–發(fā)文/起草單位部《“十四五”劃》《關(guān)于印發(fā)構(gòu)建民政統(tǒng)一的密碼應用基礎服務平臺，提供統(tǒng)一的數(shù)據(jù)局《關(guān)于規(guī)范商障系統(tǒng)，規(guī)范開展密評工作，履行備案程序。密碼管理機機構(gòu)的備案材料進行形式審查，定期收集匯總備案信息，送國家密碼管理局。密評機構(gòu)按年度統(tǒng)計密評工作情況報依法督促建設密碼保障體系，并強化重要網(wǎng)絡與信息系統(tǒng)商部鍵信息基礎設施的，要落實《關(guān)鍵信息基礎設施安全保護條關(guān)規(guī)定，并按照國家有關(guān)標準使用商用密碼進行保護，自行基礎設施建設三年行動計劃（2021-2023年）》（工加快物聯(lián)網(wǎng)領域商用密碼技術(shù)和產(chǎn)品的應用推廣，建設領域的密碼應用檢測平臺，提升物聯(lián)網(wǎng)領域商用密碼安–27– 發(fā)文/起草單位局帆”行動計劃（2021-2023年）》（工信第四章“提升5G應用支撐能力”第三條“5G應用安全提升行動”《關(guān)于印發(fā)<辦運〔2022〕聯(lián)網(wǎng)票務的密鑰使用和管理應符合國家網(wǎng)絡安全及商用《關(guān)于加快發(fā)號）保障。數(shù)字家庭系統(tǒng)應同步規(guī)劃、同步建設、同步使術(shù)。按照法律法規(guī)規(guī)定和國家強制性標準要求，采取確保收集、產(chǎn)生數(shù)據(jù)和個人信息安全。遵守密碼應用《關(guān)于加強全–28–發(fā)文/起草單位〔2020〕1960號）落實密碼安全防護要求。網(wǎng)絡運營者應貫徹落實有效采用密碼技術(shù)進行保護，并使用符合相關(guān)要務。第三級以上網(wǎng)絡運營者應在網(wǎng)絡規(guī)劃、建設密碼應用安全性評估管理辦法和相關(guān)標準，在網(wǎng)《關(guān)于加快落完善智慧化改造網(wǎng)絡安全管理制度規(guī)范。認真落實采購部署安全可靠的軟硬件產(chǎn)品，具備與智慧化水《2020年教號）第十五點提出：加強教育系統(tǒng)密碼應用與管理。落實有序推動教育重要業(yè)務信息系統(tǒng)開展密碼應用安全性《2020年水 利網(wǎng)信工作要點》（辦信息持續(xù)推進三峽水利樞紐、南水北調(diào)工程等重要水利基礎《關(guān)于印發(fā)<（2020-2025加強重要數(shù)據(jù)和個人信息安全保護，制定數(shù)據(jù)分級安全脫敏等制度規(guī)范。推進重要信息系統(tǒng)密碼技術(shù)應用和重密碼基礎設施建設。在重要業(yè)務、重要領域?qū)嵤┟艽a力行業(yè)密碼支撐體系，實現(xiàn)電力行業(yè)密碼基礎設施一全電力行業(yè)密碼檢測手段，開展密碼應用安全性評估–29– 發(fā)文/起草單位《交通一卡通號）按照國家關(guān)于網(wǎng)絡安全及商用密碼管理的法律和行政和標準規(guī)范的要求，同步規(guī)劃、同步建設、目驗收，根據(jù)項目特點制定完整的項目驗收方案。括項目所有功能的實現(xiàn)情況、密碼應用和安全審查共享情況、維保服務等采購文件和采購合同規(guī)定的1.4各?。ㄗ灾螀^(qū)、直轄市）及新疆生產(chǎn)建設兵團密碼應用及密評密碼的通知》數(shù)據(jù)安全、密碼使用相關(guān)要求；項目建設部門《關(guān)于切實做好政務信《關(guān)于進一步加強非涉化項目建設管理辦法》要求采用密碼技術(shù)，并定期開展密碼應用安全性保政務信息系統(tǒng)運行安全和政務信息資源共享交統(tǒng)密碼應用安全性評估的通知》（冀國密局字〔2019〕2號）的重要信息系統(tǒng)開展密評，省密碼管理部門對《山西省財政廳關(guān)于在《山西省政務云管理方和政務云使用部門要嚴格落實密碼應用法律優(yōu)先使用自主可控的軟硬件產(chǎn)品，定期開展密目建設應用管理辦法》加強商用密碼應用安全性評估和管理。推動關(guān)設施、等級保護三級及以上信息系統(tǒng)、全區(qū)政務信息等同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)，定展商用密碼應用安全性評估；加強與政務信息化項目持續(xù)提升密評機構(gòu)能力水平；根據(jù)國家總體部署，按學布局、強優(yōu)兼顧、考核認定的原則，適時培育商用應用安全性測評機構(gòu)；持續(xù)優(yōu)化“內(nèi)蒙古自治區(qū)商用業(yè)務監(jiān)管平臺“功能，推進商用密碼應用動態(tài)監(jiān)測， 商用密碼應20232022〕1963號）一致性的防護體系，按要求采用密碼技術(shù)，碼應用安全性評估和等保測評，確保政務信《內(nèi)蒙古自治區(qū)數(shù)字經(jīng)依法進行安全評估，采取軟件測評、風險評估、安分析和預警監(jiān)測、網(wǎng)絡安全等級保護、商用密碼應《關(guān)于做好自治區(qū)本級政務信息化項目商用密碼應用安全性評估工作的通知》（內(nèi)國密局發(fā)〔2021〕7號）研究報告和初步設計時，要單設章節(jié)專題闡述密碼容并編制密碼應用方案。項目報竣申請驗收時，要碼事中事后監(jiān)管方案》（內(nèi)國密局發(fā)〔2021〕5號）保護第三級及以上信息系統(tǒng)、國家政務信息4.監(jiān)管方式和檢查頻次、監(jiān)管方式：現(xiàn)場檢查和2021〕382號）《關(guān)于進一步加強政《吉林省促進商用密碼步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)，定用密碼應用安全性評估；加強關(guān)鍵信息基礎設施制度、網(wǎng)絡安全等級保護制度與商用密碼應用安要求的銜接；規(guī)范數(shù)據(jù)分類分級保護、互聯(lián)網(wǎng)平《吉林省數(shù)字政府建設安全管理和運維工作機制”中提出：嚴格落實網(wǎng)律法規(guī)和政策標準要求，推動安全可靠技術(shù)和產(chǎn)領域的應用，推動政務云平臺獲得安全認證，政統(tǒng)落實信息系統(tǒng)安全等級保護、風險評估、商密關(guān)要求。推動自主可控信息化產(chǎn)品和國產(chǎn)密碼在的應用，提升密碼基礎支撐能力，確保數(shù)字政府《關(guān)于進一步做好政務信息系統(tǒng)密碼應用與安全性評估工作的通知》委托開展商用密碼應用安全性評估的，應從《聯(lián)〔2020〕9號） 商用密碼應2023工作的通知》系統(tǒng)運營者，應同步規(guī)劃、同步建設、同步絡與信息系統(tǒng)密評備案信息表》，連同密評《黑龍江省“十四五”政發(fā)〔2021〕17號）《黑龍江省省級政務云《關(guān)于進一步加強政務全性評估工作的通知》評估工作，要求我省非涉密政務信息系統(tǒng)項目步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)并碼應用安全性評估，保障密碼應用與安全性評2022〕535號）《上海市重要網(wǎng)絡和信版）》國家安全和社會公共利益的重要網(wǎng)絡和信息系涉密的關(guān)鍵信息基礎設施、網(wǎng)絡安全等級保護網(wǎng)絡（含信息系統(tǒng)）、政務信息系統(tǒng)，以及法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護和信息系統(tǒng)，應當落實密碼有關(guān)法律法規(guī)、管準規(guī)范的要求，同步規(guī)劃、同步建設、同步運《上海市政務云管理暫《上海市電子政務云政行）》碼應用與安全性評估工作，也可供系統(tǒng)集成用支撐單位和商用密碼檢測機構(gòu)參考。各級辦公信息化建設、使用、管理單位也可參照《關(guān)于進一步加強我市知》加強上海市電子政務云及上云信息系統(tǒng)密碼應《關(guān)于規(guī)范和加強我市指南（2021版））》《關(guān)于進一步加強和規(guī)碼應用工作的通知》規(guī)范和加強上海市關(guān)鍵信息基礎設施密碼應用《省政府關(guān)于加快統(tǒng)籌發(fā)〔2022〕44號）執(zhí)行安全管理制度”中提出：依法加強數(shù)據(jù)安實網(wǎng)絡安全等級保護、關(guān)鍵信息基礎設施安全《關(guān)于規(guī)范密碼應用安進一步規(guī)范省各有關(guān)部門、單位的密評與備化項目建設管理辦法》位應當落實國家和省密碼管理有關(guān)法律法規(guī)和標要求，同步規(guī)劃、同步建設、同步運行密碼保障局字〔2020〕43號） 商用密碼應2023《關(guān)于對密評結(jié)果開展《浙江省密碼應用與創(chuàng)新發(fā)展實施方案》涉及的重要網(wǎng)絡與信息系統(tǒng)的密評結(jié)果，逐項核查密評活動是否客觀、密報工作的通知》級或密級，設計和采取網(wǎng)絡安全保護措施。案應包括符合國家標準設計的密碼應用設計《浙江省人民政府關(guān)于知》必須落實商用密碼應用安全性評估要求：同建設、同步運行商用密碼保障系統(tǒng)，選擇經(jīng)局認可、具備相關(guān)資質(zhì)的檢測機構(gòu)開展密碼行）》提供密碼服務；對本地區(qū)網(wǎng)絡安全等保三級及以上發(fā)〔2021〕29號）請各地市各部門指導督促本地區(qū)、本部門（行備案信息表并在規(guī)定期限內(nèi)將表格與密評報告?zhèn)浒福徽埜魇忻艽a管理部門定期收集匯總所在結(jié)果備案信息，填寫《密評備案信息匯總表》《關(guān)于加強浙江轄區(qū)證字〔2021〕120號）《數(shù)字安徽建設2023年重點工作安排》加強對基礎網(wǎng)絡、數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)平臺基礎設施的安全防護，定期開展網(wǎng)絡安全等數(shù)安〔2022〕2號）應當按照國家密碼管理有關(guān)法律法規(guī)和標準步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)《綜合績效考核依據(jù)》工作的通知》《福建省數(shù)字政府改革政〔2022〕32號） 《福建省“十四五”數(shù)政〔2021〕25號）絡安全監(jiān)管體系”中提出：全面落實網(wǎng)絡安《關(guān)于在數(shù)字福建建設《江西省電子印章管理暫行辦法》（贛府廳字〔2021〕61號）安全防護措施，通過商用密碼應用安全性評府廳字〔2020〕68號） 商用密碼應2023《山東省“十四五”數(shù)政字〔2021〕128號）推動密碼創(chuàng)新和融合應用，落實密碼應用與安《關(guān)于促進山東省網(wǎng)絡《山東省政務云平臺管理暫行辦法》（魯數(shù)字〔2020〕7號）關(guān)法律法規(guī)，建立安全管理體系，定期開展《河南省非涉密政務信息系統(tǒng)安全建設指南〔2023〕1號）要求建設單位應根據(jù)政務信息系統(tǒng)安全保護等級碼應用等級及需求，并編制密碼應用方案；應于上線前和運維期間每年開展安全風險評等級第三級及以上系統(tǒng)還應同時開展密碼應要求運維單位應根據(jù)密碼管理部門的安全通報，要求建設單位應依法通過政府采購方式確定承擔《河南省促進商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展若干政策措施》（豫發(fā)改數(shù)字〔2023〕13號）依法督促重要網(wǎng)絡和信息系統(tǒng)建設單位同步規(guī)劃、設、同步運行密碼保障系統(tǒng)并定期開展商用密碼應性評估，落實評估結(jié)果備案制度。強化重要網(wǎng)絡與統(tǒng)商用密碼應用與安全性評估情況的執(zhí)法檢查。加交通、能源、醫(yī)療等領域密碼應用示范，遴選推廣《河南省網(wǎng)絡安全條三十六次會議通過）《河南省加快推進電子提高“四電”支撐系統(tǒng)、應用系統(tǒng)安全保障能力，《河南省大數(shù)據(jù)產(chǎn)業(yè)實施數(shù)據(jù)安全“鑄盾”行動，定期開展關(guān)鍵全檢查、風險評估，建設網(wǎng)絡安全應急體系碼保護數(shù)據(jù)安全，定期開展密碼應用安全性《河南省政務數(shù)據(jù)安全《河南省“十四五”新型基礎設施建設規(guī)劃》（豫發(fā)改數(shù)字〔2022〕52號）政策法規(guī)和標準規(guī)范要求”通知》（國密局字〔2021〕392號對河南省區(qū)《關(guān)于開展我省重要領要求各單位對已建重要領域網(wǎng)絡和信息系統(tǒng)開展《關(guān)于進一步加強政務信息系統(tǒng)密碼應用與安全性評估工作的通知》根據(jù)國家密碼管理局《關(guān)于請進一步加強國家政務統(tǒng)密碼應用與安全性評估工作的函》（國密據(jù)管理局聯(lián)合印發(fā)文件，就河南省非涉密政務碼應用與安全性評估工作提出“三同步一評估碼應用與安全性評估經(jīng)費、配備密碼保障系統(tǒng) 商用密碼應2023（2022版）》北省商用密碼應用與安全性評估工作指南（2022版）》《關(guān)于印發(fā)深化數(shù)據(jù)賦能擴大“免證明”應用領域工作方案的通知》留存電子證照等風險。對涉及個人隱私的證決定權(quán)。各地要加強數(shù)據(jù)安全管理自查和監(jiān)證照數(shù)據(jù)和應用接口的安全防護，嚴格遵守保護制度規(guī)定，強化國產(chǎn)密碼應用和安全性密局發(fā)〔2021〕3號）《進一步加強政務信息密局發(fā)〔2021〕2號）《關(guān)于印發(fā)湖北省數(shù)政辦發(fā)〔2018〕59號）展網(wǎng)絡與信息安全風險評估，嚴格落實等級保護、分護和國家密碼管理的要求，同步規(guī)劃、同步建設、同行密碼保障系統(tǒng)并定期評估，切實保障政務信息化項–40–《關(guān)于促進電子政務協(xié)政辦發(fā)〔2015〕95號）保障基礎信息網(wǎng)絡、重要信息資源庫、重點全基礎設施的安全。推動信任服務體系建設家相關(guān)標準規(guī)范的統(tǒng)一認證、授權(quán)管理、可基礎設施。加大自主可控信息安全產(chǎn)品運用《政務信息化項目網(wǎng)絡《湖南省省直單位政務同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)評估。未進行密碼應用安全評估或評估不合格《關(guān)于印發(fā)〈廣東省促《關(guān)于進一步規(guī)范商用碼局發(fā)〔2022〕13號）按照國家密碼管理局有關(guān)文件要求，為進一步碼應用安全性評估各相關(guān)主體責任、密評工協(xié)調(diào)組〔2021〕7號）按照國家密碼管理局有關(guān)文件要求，為規(guī)范商在粵府辦〔2020〕9號文件基礎上，進一步《廣東省政務服務數(shù)據(jù)在粵府辦〔2020〕9號文件基礎上，進一步–41– 商用密碼應2023《廣東省政務服務數(shù)據(jù)數(shù)〔2020〕13號）在粵府辦〔2020〕9號文件基礎上，進一步組〔2020〕2號）2020〕13號文件基礎上，廣東省密碼應用推進組辦公室印發(fā)該指引，進一步明確項目規(guī)劃、流程；并根據(jù)最新政策和標準要求不斷優(yōu)化完《廣東省人民政府辦公規(guī)和標準規(guī)范的要求，同步規(guī)劃、同步建設、碼保障系統(tǒng)并定期進行評估”。“不符合密碼發(fā)〔2022〕18號）統(tǒng)籌發(fā)展和安全，堅持促進發(fā)展與監(jiān)管規(guī)范并重，全安全管理體系、技術(shù)防護體系和協(xié)同監(jiān)管體系，絡安全、關(guān)鍵信息基礎設施安全、數(shù)據(jù)資源安全，健全網(wǎng)絡安全等級保護、信息系統(tǒng)分級保護全性評估、風險評估、預警和應急處置制度《廣西政務信息化建設《廣西壯族自治區(qū)政務發(fā)〔2021〕21號）委、省密碼局等相關(guān)部門組織竣工驗收。明確將應用安全性評估作為項目竣工驗收的前置必備條報告作為項目驗收必備材料，省密碼局專家代表–42–進一步規(guī)范全省電子政務云上信息系統(tǒng)商用理，依托省電子政務云密碼服務平臺為全省各級政目建設管理實施細則〔2022〕5號）《海南省促進商用密碼應用和產(chǎn)業(yè)發(fā)展若干政策措施》（瓊國密局字〔2022〕12號）設其他費”第七條“商用密碼應用安全性評估費”提出：商用密碼應用安全性評估費的定義、費用范《關(guān)于進一步明確省政務信息化項目建設密碼應用有關(guān)要求的通知》（瓊國密局字〔2021〕2號）購買服務產(chǎn)生的政務信息化項目，項目建設設完成后，應委托評估機構(gòu)對信息系統(tǒng)進行性評估。政務信息系統(tǒng)投入運行后，建設單管理有關(guān)法規(guī)要求定期委托評估機構(gòu)對系統(tǒng)安全性評估，并根據(jù)安全需求、風險威脅程府辦〔2020〕38號）《關(guān)于規(guī)范重慶市市級密局〔2022〕1號）進一步明確市級政務化項目各階段密碼應用劃階段應按照相關(guān)標準編制密碼應用方案，并–43– 商用密碼應2023一致性的防護體系，按要求采用密碼技術(shù)，碼應用安全性評估，確保政務信息系統(tǒng)運行《關(guān)于印發(fā)重慶市工業(yè)信息安全管理實施辦法（試行）的通知》任，應結(jié)合實際做好本單位工業(yè)信息安全防工業(yè)信息安全責任制，負責本單位工業(yè)信息急管理工作，落實人、財、物保障。主體企實網(wǎng)絡安全等級保護制度，開展定級備案、碼應用安全性評估結(jié)果備案相關(guān)工作的通知》密評結(jié)果備案的初審轉(zhuǎn)報工作。駐川機構(gòu)、中央、省屬企事業(yè)單位規(guī)劃建設的信息系統(tǒng)密局〔2022〕18號）《四川省一體化政務服照系統(tǒng)建設單位按照“誰建設、誰負責”的原絡安全等級保護制度和國家密碼應用相關(guān)要求系統(tǒng)建設單位應充分利用密碼技術(shù)、生物特征他必要的安全技術(shù)手段，加強證照申請人、持《四川省一體化政務服辦發(fā)〔2021〕49號）依法加強對政務信息系統(tǒng)密碼應用的安全監(jiān)管，指–44–《四川省“十四五”數(shù)府發(fā)〔2021〕24號）鍵信息基礎設施保護制度和網(wǎng)絡安全等級保護制度重大項目網(wǎng)絡安全風險評估機制，加強密碼應用安提升密碼產(chǎn)品檢測和系統(tǒng)分析能力，完善密碼應用推進基礎設施網(wǎng)絡密碼應用，強化密碼在信《關(guān)于進一步規(guī)范商用密評試點工作用戶單位、密評機構(gòu)，規(guī)范密明確要求，省大數(shù)據(jù)局組織相關(guān)部門，對項送的年度服務方案在相關(guān)政策符合性、可行及業(yè)務功能、數(shù)據(jù)資源建設與管理、密碼運工作的通知》碼應用安全性評估結(jié)果備案管理工作，按時報備案信息，指導督促本地網(wǎng)絡與信息系統(tǒng)運營