等保顾问

官方微信公众号

公司：北京时代新威信息技术有限公司

电话：400-888-6220
邮箱：service@powertime.cn

北京总部：北京市西城区车公庄大街21号首创·新大都园区1号楼9层

华东运营中心：上海市长宁区中山西路1065号中山广场B座1905B 

华南运营中心：广州市天河区黄埔大道中660号汇金国际金融中心B座18楼1812室 

华中运营中心：湖北省武汉市洪山区中兴时代数贸港A座2007室

业务介绍

商用密码应用安全性评估(简称“密评”)是指按照有关法律法规和标准规范，

对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

密评的对象

网络与信息系统

网络：是由若干节点和连接这些节点的链路构成的，用于实现信息传输、资源共享和交互通信的系统。

信息系统：是由计算机硬件、软件、数据、人员和规章制度等要素组成的人机交互系统，其目的是对信息进行收集、存储、处理、传输和展示，以支持组织的决策制定、业务流程管理和日常运营。

密评的内容

密码技术、产品和服务的合规性、 正确性、有效性；

合规性评估：判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。同时，还需检查系统是否属于被保护的对象，是否按照《信息系统密码应用基本要求》进行相应的密码应用设计，核实自查表是否如实反映方案设计内容以及自查结果是否符合标准要求，是否遵循所属行业（领域）相关的密码使用要求。 

正确性评估：判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确。具体为系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现，自定义密码协议、密钥管理机制的设计和实现是否正确，安全性是否满足要求，密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。 

有效性评估：判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用，是否满足了信息系统的安全需求，是否切实解决了信息系统面临的安全问题，检查密码保障系统是否在运行过程中发挥了保密性、完整性、真实性和不可否认性的保护功能。

GB/T39786-2021《信息安全技术信息系统密码应用基本要求》；

GB/T43206-2023《信息安全技术信息系统密码应用测评要求》；

GM/T0116-2021 《信息系统密码应用测评过程指南》

                         《信息系统密码应用高风险判断指引》

                         《商用密码应用安全性评估量化评估规则》；

密评的标准

❃❃服务客户5000+❃❃

  法律法规要求：

《中华人民共和国密码法》规定，关键信息基础设施等重要信息系统的运营者应当依法使用商用密码，开展商用密码应用安全性评估，以确保其使用的商用密码符合法律规定和相关标准要求。通过密评是这些系统运营者履行法定义务的必要举措，有助于避免因违反法律法规而面临的法律风险和处罚。

  行业规范和监管要求：

在一些特定行业和领域，如金融、能源、通信、交通等，监管部门对信息系统的安全性有着严格的要求和规范。商用密码应用安全性评估已成为这些行业信息系统建设和运行的必要环节。例如，金融行业的相关规范要求金融机构的信息系统必须通过密评，以保障客户资金安全和金融交易的稳定可靠。企业和机构只有通过密评，才能满足行业准入门槛和监管要求，顺利开展业务运营。

  企业系统安全需求：

随着信息技术的广泛应用，信息系统面临着日益复杂的安全威胁。密评能够对信息系统中的密码应用进行全面、专业的评估，检查密码技术、产品和服务的使用是否正确、有效，以及是否存在安全漏洞和风险。通过发现并解决这些问题，可以强化信息系统的安全防护能力，防止敏感信息泄露、数据被篡改或破坏等安全事件的发生，保障信息系统的安全稳定运行。

哪些系统做密评

政务信息系统

信息技术应用创新设备

关键信息基础设施

等保三级、四级信息系统

业务流程