信息安全等级保护商用密码测评机构审批服务指引

信息安全等级保护商用密码技术实施要求1. 引言1.1 概述信息安全的重要性日益凸显，商业密码技术作为保障信息安全的核心工具之一，其实施要求日益增多。

本文就商用密码技术实施要求进行了深入研究和总结，并提出了相应的基本原则、具体措施和方法，以期为相关领域的从业人员提供参考和指导。

1.2 文章结构本文分为五个部分，每个部分都围绕商用密码技术实施要求进行论述。

首先，在引言部分进行概述，介绍了文章的背景和意义。

接着，在第二部分中定义了商用密码技术实施要求，并强调其重要性和必要性。

第三部分阐明了商用密码技术实施要求的基本原则，包括机密性保护原则、完整性保护原则和可用性保护原则。

第四部分详细介绍了商用密码技术实施要求的具体措施和方法，涵盖了密码算法的选择与应用、密钥管理与分发控制、加密与解密操作的安全实施措施等方面。

最后，在结论部分对主要观点进行总结并展望了未来的研究方向。

1.3 目的本文旨在系统地阐述商用密码技术实施要求，并为相关领域的从业人员提供可操作性强的指导措施。

通过对商用密码技术实施要求的深入剖析，可以帮助相关领域的从业人员更好地了解和应用密码技术，以保障信息安全，并为未来的研究提供借鉴和启示。

同时，本文也可以为政府部门、企事业单位等制定信息安全策略提供参考依据，促进信息安全等级保护工作的有序发展。

2. 信息安全等级保护商用密码技术实施要求：2.1 定义密码技术实施要求：在信息系统和网络中，为了保证商用数据的机密性、完整性和可用性，需要对密码技术进行相应的实施。

密码技术实施要求指的是针对商用数据的安全保护需求，确定合适的密码技术措施和方法来满足这些需求。

2.2 重要性和必要性：商用数据的泄露、篡改或不可用可能会给企业造成严重损失，包括财务损失、声誉损害等。

因此，信息安全等级保护商用密码技术实施要求具有重要性和必要性。

2.3 相关法律法规和标准：为了确保信息安全，在国内外都有相关法律法规和标准来指导商用密码技术实施。

信息安全已经成为当今商用密码技术领域中的一个重要关键词。

随着信息技术的不断发展和商用密码技术的不断更新换代，对商用密码技术的保护和实施也提出了更高的要求。

在信息安全等级保护方面，商用密码技术的实施要求显得尤为重要。

本文将从严格的信息安全等级保护出发，探讨商用密码技术的实施要求。

一、信息安全等级保护的意义现代社会已经进入了信息化时代，各种信息已经成为了企业发展和国家安全的重要资产。

信息安全等级保护就显得尤为重要。

信息安全等级保护，可以有效地保护商用密码技术不被非法获取和篡改，确保商用密码技术的安全可靠性。

二、信息安全等级保护的需求1.保护商用密码技术的安全商用密码技术的安全性直接关系到商业机密和用户信息的安全。

而信息安全等级保护，则可以保护商用密码技术的安全，防范各种黑客攻击和网络威胁。

2.提高商用密码技术的可靠性通过信息安全等级保护，可以提高商用密码技术的可靠性，减少商用密码技术因外部攻击而带来的故障和损失，确保商用密码技术的正常运行。

三、商用密码技术实施要求1.选择合适的商用密码技术实施信息安全等级保护前，首先需要选择合适的商用密码技术。

商用密码技术应当具备良好的安全性和可靠性，能够满足企业或组织的实际需求。

2.建立完善的信息安全管理体系在商用密码技术的实施过程中，需要建立完善的信息安全管理体系。

包括完善的信息安全政策、安全管理制度和安全保密措施等，确保商用密码技术得到全面的保护。

3.进行严格的安全性评估与审核在商用密码技术实施的过程中，应当进行严格的安全性评估与审核。

对商用密码技术进行全面的安全性评估和审核，确保商用密码技术符合国家相关安全标准和法规要求。

4.加强安全教育与培训为了提高商用密码技术的安全保护水平，需要加强安全教育与培训。

定期组织相关人员进行安全知识学习和技能培训，提高其信息安全意识和技能。

5.密钥管理与安全存储在商用密码技术的实施过程中，需要加强密钥管理与安全存储措施。

对商用密码技术中的密钥进行安全管理和存储，确保密钥不被泄露和篡改。

信息安全等级保护商用密码技术要求一、引言信息安全是当今社会中极为重要的一个议题。

在一个数字化、网络化的时代，各种信息都以电子化的形式进行传输和存储，因此信息安全问题显得尤为重要。

商用密码技术作为信息安全的重要组成部分，对于保护企业和个人的重要信息具有至关重要的作用。

本文将深入探讨信息安全等级保护商用密码技术要求，以期为读者提供全面的了解和指导。

二、信息安全等级保护的意义我们需要了解信息安全等级保护的意义。

在当今高度信息化的社会环境中，各种重要的信息涉及企业的发展战略、个人的隐私数据等方面，在这样的情况下，如何更好地保护这些信息就显得尤为关键。

信息安全等级保护商用密码技术要求就是为了应对这样的需求而制定的。

三、商用密码技术要求的深度和广度商用密码技术要求的深度和广度是评估其价值的关键指标之一。

对于商用密码技术来说，其深度要求即指其技术的复杂程度和安全性能；而广度则指其在不同场景和应用中的适用范围和效果。

1. 深度要求商用密码技术在深度上要求必须具备高度的安全性能和复杂程度。

从高度的安全性能来看，商用密码技术应该能够抵御各种形式的攻击，如密码破解、中间人攻击等。

只有具备了这种高度的安全性能，商用密码技术才能够在真正的商用环境中发挥作用。

商用密码技术的复杂程度也是其深度要求的重要组成部分。

复杂的密码技术往往意味着攻击者需要花费更多的时间和精力才能够成功破解，商用密码技术在深度上的要求也体现在其复杂程度上。

2. 广度要求商用密码技术的广度要求则指其在不同场景和应用中的适用范围和效果。

从应用范围来看，商用密码技术应该能够适用于各种不同的商业场景，如金融、电子商务、医疗保健等，而不仅仅局限于某一个单一领域。

在效果上，商用密码技术应该能够在不同的应用场景中发挥良好的保护作用，不论是在数据传输、存储还是处理等方面都能够提供可靠的保护。

四、商用密码技术在信息安全等级保护中的应用商用密码技术在信息安全等级保护中具有重要的应用价值。

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。

浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估，是对采用商用密码技术、产品和服务集成建设的网络和信息系统中，密码应用的合规性、正确性、有效性进行评估的过程。

密评是其简称。

密评工作在法律法规中有明确规定。

《中华人民共和国密码法》规定，要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。

此外，商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件。

其中，《商用密码应用安全性评估管理办法（试行）》规定，在重要领域网络与信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估。

如果评估未通过，责任单位应当限期整改并重新组织评估。

此外，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。

对其他信息系统则要定期开展检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密码应用安全性评估管理办法（试行）》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。

这些标准的实施，有助于提高商用密码应用的安全性和有效性，保障关键信息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。

XX省XX厅等级保护测评及密码评估服务需求说明一、总体要求依据国家网络安全等级保护及密码应用安全性评估相关标准及技术规范要求，结合XX省XX厅网络信息安全整体需求及各信息系统具体特点，对XX省XX厅相关信息系统开展网络安全等级保护测评及商用密码应用安全性评估，出具等级测评报告及密评报告。

二、测评范围三、依据标准网络安全等级保护测评应依据的国家及行业标准包括：1、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》2、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》3、GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》4、T∕ISEΛΛ001-2023《信网络安全等级保护测评高风险判定指引》密码应用安全性评估应依据的国家及行业标准包括：1、GB/T39786-2023《信息安全技术信息系统密码应用基本要求》2、GM/T0115—2023《信息系统密码应用测评要求》3、GM/T0116-2023《信息系统密码应用测评过程指南》4、《信息系统密码应用高风险判定指引》5、《商用密码应用安全性评估量化评估规则》四、网络安全等级保护测评4.1测评内容本次等级保护测评内容应覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10个层面，具体包括：1）安全物理环境测评内容应包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

2）安全通信网络测评内容应包括：网络架构、通信传输、可信验证。

3）安全区域边界测评内容应包括：边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。

4）安全计算环境测评内容应包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。