16-商用密码应用安全性评估发展研究报告（2023）

2023 商用密码应用安全性评估发展研究报告中国密码学会商用密码应用安全性评估联合委员会 2023 年 8 月前言当前，世界之变、时代之变、历史之变正以前所未有的方式展开，党的二十大报告为我们擘画了以中国式现代化推进中华民族伟大复兴的宏伟蓝图，开启了全面建成社会主义现代化强国、实现第二个百年奋斗目标的新征程。这举旗定向的政治宣言、引领复兴的行动纲领以专章论述“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”，指出“必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿党和国家工作各方面全过程，确保国家安全和社会稳定。” 网络安全是国家安全的重要组成部分，密码作为国之重器，是保障网络与数据安全的核心技术，是数字经济高质量发展的基础，是推进中国式现代化的重要支撑。商用密码应用安全性评估（以下简称密评），作为密码应用管理过程的重要组成部分和不可缺失的环节，是发挥密码作用的重要抓手。密评活动贯穿于密码应用管理整个生命周期，对维护网络和数据安全、赋能数字经济、护航中国式现代化发展具有重要意义。我国高度重视密评工作，出台多项顶层战略规划和法律法规，要求在重点领域和关键环节开展密评，为密评工作提供了合规驱动力。各地区、各领域积极落实密评要求，加强密评政策引导，加速推动密码在金融、通信、公安、税务、社保、交通、卫生健康、能源、电子政务等领域中的应用。在国家密码管理局的指导下，密评工作机制不断健全，密评机构能力进一步增强，密评活动标准化工作持续推进，密评程序逐步完善，密评进入蓬勃发展时期。未来，密评将焕发出更强的生命力和活力，持续为保障数字经济安全、助力现代化强国建设发挥积极作用。 2023 年 7 月 1 日，《商用密码管理条例》正式施行，标志着密评从试点建设迈向依法管理的新阶段。站在推进密评法制化建设的新起点，本报告总结了密评相关政策法规要求及密评体系建设进展，分析了密评行业发展情况，并对密评工作未来发展提出了建议，为密评相关工作者提供参考。 – I – 中国密码学会密评联委会版权声明本报告版权属于中国密码学会商用密码应用安全性评估联合委员会，并受法律保护。转载、摘编或以其他方式使用报告文字或观点的，均应注明“来源：中国密码学会商用密码应用安全性评估联合委员会”或“来源：密评联委会”。违反以上声明者，中国密码学会商用密码应用安全性评估联合委员会将保留追究其相关法律责任的权利。 – II – 商用密码应用安全性评估发展研究报告 2023 本报告主要编写单位：中国工业互联网研究院（工业和信息化部密码应用研究中心）、深圳市网安计算机安全检测技术有限公司、北京炼石网络技术有限公司、江苏省信息安全测评中心、中国电子科技集团公司第十五研究所、工业和信息化部电子第五研究所、中国电子信息产业发展研究院、中国信息通信研究院本报告主要编写人员：王聪、唐明环、查奇文、王伟忠、彭浩楠、杨宏志、孙少波、白小勇、钱晶、魏婷、张齐军、张腾标、衡帅、刘健、杨龙、韦永霜、张皓涵、王东阳、李佳曦 – III – 中国密码学会密评联委会目录引言 .............................................................................................................. 1 1 密评相关政策法规要求 ....................................................................... 2 1.1 国家法律法规布局密评顶层设计 ............................................................................................2 1.2 国家多项政策文件为密评实施提供指引 .................................................................................3 2 1.3 有关部门出台指导性及规范性文件落实密评要求 ...................................................................4 1.4 相关地区积极将密评要求纳入地方政策制度 ..........................................................................5 密评体系建设进展 .............................................................................. 5 2.1 密评工作机制 .........................................................................................................................6 2.2 密评机构培育 .........................................................................................................................8 3 2.3 密评系列标准 .........................................................................................................................9 2.4 密评程序 ..............................................................................................................................13 密评行业发展情况 ............................................................................ 15 3.1 密评试点机构规模布局日趋合理 ..........................................................................................15 3.2 密评人才供给能力持续提升 .................................................................................................17 3.3 4 密评覆盖范围逐年扩大 .........................................................................................................17 发展建议 .......................................................................................... 21 附录 1：密评相关法规政策汇总 .................................................................. 22 1.1 国家层面密码应用及密评相关法律法规 ...............................................................................22 1.2 国家层面密码应用及密评相关政策文件 ...............................................................................24 1.3 各部门密码应用及密评相关政策文件 ...................................................................................25 1.4 各省（自治区、直辖市）及新疆生产建设兵团密码应用及密评相关政策文件 ......................29 附录 2：密评相关标准与指导性文件列表 ................................................... 48 附录 3：密评大事记 .................................................................................... 49 – IV – 引言在数字经济时代，密码作为国家重要战略资源，广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，是保障网络与信息安全的核心技术和基础支撑。在推动数字经济高质量发展、推进中国式现代的进程中，如何更好地规范商用密码应用和管理、发挥密码在保障网络安全中的核心支撑作用至关重要。商用密码应用安全性评估作为验证密码应用科学性的有效手段和方法，既是应对网络安全严峻形势的迫切需要，也是落实国家重要领域和关键行业网络安全防护责任的有效手段，更是全面贯彻落实《中华人民共和国密码法》（以下简称《密码法》）和《商用密码管理条例》基本要求、推进商用密码法治建设的重要举措。密码应用涉及密码算法、技术、产品、服务、密钥管理等多个方面。在当前密码应用实践中，由于密码专业技术人员保障不足，密码应用要求理解把握不到位，密码错用、误用情况经常发生。商用密码应用安全性评估依据科学全面的测评标准，由专业的技术人员采用专业的技术手段和测评工具，科学直观地对信息系统密码应用情况给出评价，发现信息系统密码应用存在的不规范、不安全、不正确等问题，给出专业、可行的意见建议，为网络运营者掌握系统密码应用情况并进一步开展密码应用改造提供支撑，有效规范密码应用，提升网络安全保障水平。 – 1 – 中国密码学会密评联委会 1 密评相关政策法规要求商用密码应用安全性评估（以下简称密评）是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动 1。密评是衡量与改进网络与