信息安全等级保护商用密码测评机构审批服务指引

合集下载

信息安全等级保护商用密码技术实施要求

信息安全等级保护商用密码技术实施要求1. 引言1.1 概述信息安全的重要性日益凸显，商业密码技术作为保障信息安全的核心工具之一，其实施要求日益增多。

本文就商用密码技术实施要求进行了深入研究和总结，并提出了相应的基本原则、具体措施和方法，以期为相关领域的从业人员提供参考和指导。

1.2 文章结构本文分为五个部分，每个部分都围绕商用密码技术实施要求进行论述。

首先，在引言部分进行概述，介绍了文章的背景和意义。

接着，在第二部分中定义了商用密码技术实施要求，并强调其重要性和必要性。

第三部分阐明了商用密码技术实施要求的基本原则，包括机密性保护原则、完整性保护原则和可用性保护原则。

第四部分详细介绍了商用密码技术实施要求的具体措施和方法，涵盖了密码算法的选择与应用、密钥管理与分发控制、加密与解密操作的安全实施措施等方面。

最后，在结论部分对主要观点进行总结并展望了未来的研究方向。

1.3 目的本文旨在系统地阐述商用密码技术实施要求，并为相关领域的从业人员提供可操作性强的指导措施。

通过对商用密码技术实施要求的深入剖析，可以帮助相关领域的从业人员更好地了解和应用密码技术，以保障信息安全，并为未来的研究提供借鉴和启示。

同时，本文也可以为政府部门、企事业单位等制定信息安全策略提供参考依据，促进信息安全等级保护工作的有序发展。

2. 信息安全等级保护商用密码技术实施要求：2.1 定义密码技术实施要求：在信息系统和网络中，为了保证商用数据的机密性、完整性和可用性，需要对密码技术进行相应的实施。

密码技术实施要求指的是针对商用数据的安全保护需求，确定合适的密码技术措施和方法来满足这些需求。

2.2 重要性和必要性：商用数据的泄露、篡改或不可用可能会给企业造成严重损失，包括财务损失、声誉损害等。

因此，信息安全等级保护商用密码技术实施要求具有重要性和必要性。

2.3 相关法律法规和标准：为了确保信息安全，在国内外都有相关法律法规和标准来指导商用密码技术实施。

信息安全等级保护商用密码技术实施要求

信息安全已经成为当今商用密码技术领域中的一个重要关键词。

随着信息技术的不断发展和商用密码技术的不断更新换代，对商用密码技术的保护和实施也提出了更高的要求。

在信息安全等级保护方面，商用密码技术的实施要求显得尤为重要。

本文将从严格的信息安全等级保护出发，探讨商用密码技术的实施要求。

一、信息安全等级保护的意义现代社会已经进入了信息化时代，各种信息已经成为了企业发展和国家安全的重要资产。

信息安全等级保护就显得尤为重要。

信息安全等级保护，可以有效地保护商用密码技术不被非法获取和篡改，确保商用密码技术的安全可靠性。

二、信息安全等级保护的需求1.保护商用密码技术的安全商用密码技术的安全性直接关系到商业机密和用户信息的安全。

而信息安全等级保护，则可以保护商用密码技术的安全，防范各种黑客攻击和网络威胁。

2.提高商用密码技术的可靠性通过信息安全等级保护，可以提高商用密码技术的可靠性，减少商用密码技术因外部攻击而带来的故障和损失，确保商用密码技术的正常运行。

三、商用密码技术实施要求1.选择合适的商用密码技术实施信息安全等级保护前，首先需要选择合适的商用密码技术。

商用密码技术应当具备良好的安全性和可靠性，能够满足企业或组织的实际需求。

2.建立完善的信息安全管理体系在商用密码技术的实施过程中，需要建立完善的信息安全管理体系。

包括完善的信息安全政策、安全管理制度和安全保密措施等，确保商用密码技术得到全面的保护。

3.进行严格的安全性评估与审核在商用密码技术实施的过程中，应当进行严格的安全性评估与审核。

对商用密码技术进行全面的安全性评估和审核，确保商用密码技术符合国家相关安全标准和法规要求。

4.加强安全教育与培训为了提高商用密码技术的安全保护水平，需要加强安全教育与培训。

定期组织相关人员进行安全知识学习和技能培训，提高其信息安全意识和技能。

5.密钥管理与安全存储在商用密码技术的实施过程中，需要加强密钥管理与安全存储措施。

对商用密码技术中的密钥进行安全管理和存储，确保密钥不被泄露和篡改。

信息安全等级保护商用密码技术要求

信息安全等级保护商用密码技术要求一、引言信息安全是当今社会中极为重要的一个议题。

在一个数字化、网络化的时代，各种信息都以电子化的形式进行传输和存储，因此信息安全问题显得尤为重要。

商用密码技术作为信息安全的重要组成部分，对于保护企业和个人的重要信息具有至关重要的作用。

本文将深入探讨信息安全等级保护商用密码技术要求，以期为读者提供全面的了解和指导。

二、信息安全等级保护的意义我们需要了解信息安全等级保护的意义。

在当今高度信息化的社会环境中，各种重要的信息涉及企业的发展战略、个人的隐私数据等方面，在这样的情况下，如何更好地保护这些信息就显得尤为关键。

信息安全等级保护商用密码技术要求就是为了应对这样的需求而制定的。

三、商用密码技术要求的深度和广度商用密码技术要求的深度和广度是评估其价值的关键指标之一。

对于商用密码技术来说，其深度要求即指其技术的复杂程度和安全性能；而广度则指其在不同场景和应用中的适用范围和效果。

1. 深度要求商用密码技术在深度上要求必须具备高度的安全性能和复杂程度。

从高度的安全性能来看，商用密码技术应该能够抵御各种形式的攻击，如密码破解、中间人攻击等。

只有具备了这种高度的安全性能，商用密码技术才能够在真正的商用环境中发挥作用。

商用密码技术的复杂程度也是其深度要求的重要组成部分。

复杂的密码技术往往意味着攻击者需要花费更多的时间和精力才能够成功破解，商用密码技术在深度上的要求也体现在其复杂程度上。

2. 广度要求商用密码技术的广度要求则指其在不同场景和应用中的适用范围和效果。

从应用范围来看，商用密码技术应该能够适用于各种不同的商业场景，如金融、电子商务、医疗保健等，而不仅仅局限于某一个单一领域。

在效果上，商用密码技术应该能够在不同的应用场景中发挥良好的保护作用，不论是在数据传输、存储还是处理等方面都能够提供可靠的保护。

四、商用密码技术在信息安全等级保护中的应用商用密码技术在信息安全等级保护中具有重要的应用价值。

商用密码应用安全性评估及其相关标准

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。

浅谈商用密码应用安全性评估 (密评)

浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估，是对采用商用密码技术、产品和服务集成建设的网络和信息系统中，密码应用的合规性、正确性、有效性进行评估的过程。

密评是其简称。

密评工作在法律法规中有明确规定。

《中华人民共和国密码法》规定，要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。

此外，商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件。

其中，《商用密码应用安全性评估管理办法（试行）》规定，在重要领域网络与信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估。

如果评估未通过，责任单位应当限期整改并重新组织评估。

此外，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。

对其他信息系统则要定期开展检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密码应用安全性评估管理办法（试行）》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。

这些标准的实施，有助于提高商用密码应用的安全性和有效性，保障关键信息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。

商用密码应用安全性评估介绍V1.0

商用密码应用安全性评估（密评）介绍
目录
01 密评的背景 02 密评的政策要求 03 密评的测评内容 04 密评的流程 05 密评与等保的关系
01
密评的背景
密评的概念密评的重要性
密评的发展历程
什么是密码
口令(PIN、Password)
➢口令是一个只有你知道的密码的词或短语，是允许进入某个系统的凭证 ➢口令不是密码，但口令的保护离不开密码技术
构建以密码技术为核心、多种技术相互融合的新网络安全体系，建设以密码基础设施为支撑的新网络安全环境，形成安全互信、开发共享的新网络安全文明
规划对各级党委和政府的要求
各地区需依据本规划制定本地区、本部门、本行业的实施方案，做好规划实施的统筹和指导，督促规划落实。关键信息基础设施和重要网络信息系统建设立项时要统筹好密码应用，政府采购中应明确密码应用要求。各级党委和政府要将本规划落实纳入督查督办事项及网络安全审计范围。建立密码应用动态监测体系，及时开展专项检查，将相关工作纳入各级以密码基础设施为支撑的新网络安全环境。
单位进行重点保障，地五十
三条规定：关键信息基础设
施中的密码使用和管理，还
应遵守密码法律，行政法规
的规定。
2019
《GB/T 39786-2021 信《网络安全等级保护息安全技术信息系统密基本要求》（等保2.0）码应用基本要求》
强化网络安全等级保护中的密码应用。
按国家行业标准，对密码算法、协议和密钥管理机制，进行正确的设计和实现；密码产品及服务的部署和应用要正确。
密码体系在设计合理、合规的前提下，还能在系统运行中发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性。

XX省XX厅等级保护测评及密码评估服务需求说明

XX省XX厅等级保护测评及密码评估服务需求说明一、总体要求依据国家网络安全等级保护及密码应用安全性评估相关标准及技术规范要求，结合XX省XX厅网络信息安全整体需求及各信息系统具体特点，对XX省XX厅相关信息系统开展网络安全等级保护测评及商用密码应用安全性评估，出具等级测评报告及密评报告。

二、测评范围三、依据标准网络安全等级保护测评应依据的国家及行业标准包括：1、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》2、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》3、GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》4、T∕ISEΛΛ001-2023《信网络安全等级保护测评高风险判定指引》密码应用安全性评估应依据的国家及行业标准包括：1、GB/T39786-2023《信息安全技术信息系统密码应用基本要求》2、GM/T0115—2023《信息系统密码应用测评要求》3、GM/T0116-2023《信息系统密码应用测评过程指南》4、《信息系统密码应用高风险判定指引》5、《商用密码应用安全性评估量化评估规则》四、网络安全等级保护测评4.1测评内容本次等级保护测评内容应覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10个层面，具体包括：1）安全物理环境测评内容应包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

2）安全通信网络测评内容应包括：网络架构、通信传输、可信验证。

3）安全区域边界测评内容应包括：边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。

4）安全计算环境测评内容应包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。

《信息安全等级保护商用密码技术要求》使用指南

《信息安全等级保护商用密码技术要求》使用指南《<信息安全等级保护商用密码技术要求>使用指南》编写组目录一、引言 (5)二、密码框架保护 (9)1、信息系统密码保护框架 (9)2、密码保护技术体系 (10)2.1、密码基础设施 (13)2.2、密码设备 (13)2.3、密码服务 (13)2.4、密码技术支撑的安全服务 (14)三、密码保护实施要求 (16)1、集成单位选择 (16)2、方案设计、产品选型与集成实施 (16)2.1商用密码系统建设方案的设计 (16)2.2产品选用 (17)2.3商用密码系统建设方案的实施 (17)3、系统安全测评 (17)4、日常维护与管理 (19)5、安全监督检查 (19)附录一：第一级信息系统密码保护 (20)1、第一级基本技术要求中的密码技术应用需求分析 (20)1.1物理安全 (20)1.2网络安全 (20)1.3主机安全 (21)1.4应用安全 (21)1.5数据安全及备份恢复 (22)1.6总结 (22)2、密码通用技术要求 (23)2.1功能要求 (23)2.2密钥管理要求 (23)2.4密码实现机制 (24)2.5密码安全防护要求 (24)3、典型示例 (24)3.1信息系统概述 (24)3.2密码保护需求 (24)3.3密码保护系统设计 (24)3.4密码保护系统部署 (25)附录二：第二级信息系统密码保护 (27)1、第二级基本技术要求中的密码技术应用需求分析 (27)1.1物理安全 (27)1.2网络安全 (27)1.3主机安全 (28)1.4应用安全 (29)1.5数据安全及备份恢复 (30)1.6总结 (31)2、密码通用技术要求 (31)2.1功能要求 (31)2.2密钥管理要求 (32)2.3密码配用策略要求 (33)2.4密码实现机制 (33)2.5密码安全防护要求 (33)3、典型示例 (34)3.1信息系统概述 (34)3.2密码保护需求 (34)3.3密码保护系统设计 (34)3.4密码保护系统部署 (36)附录三：第三级信息系统密码保护 (37)1、第三级基本技术要求中的密码技术应用需求分析 (37)1.1物理安全 (37)1.3主机安全 (39)1.4应用安全 (40)1.5数据安全及备份恢复 (42)1.6总结 (43)2、密码通用技术要求 (43)2.1功能要求 (43)2.2密钥管理要求 (45)2.3密码配用策略要求 (46)2.4密码实现机制 (47)2.5密码安全防护要求 (47)3、典型示例 (48)3.1信息系统概述 (48)3.2密码保护需求 (48)3.3密码保护系统设计 (50)3.4密码保护系统部署 (51)附录四：第四级信息系统密码保护 (54)1、第四级基本技术要求中的密码技术应用需求分析 (54)1.1物理安全 (54)1.2网络安全 (54)1.3主机安全 (56)1.4应用安全 (58)1.5数据安全及备份恢复 (60)1.6总结 (61)2、密码通用技术要求 (62)2.1功能要求 (62)2.2密钥管理要求 (64)2.3密码配用策略要求 (66)2.4密码实现机制 (66)2.5密码安全防护要求 (66)3.1防伪税控系统概述 (67)3.2密码保护需求 (68)3.3密码保护系统设计 (70)3.4密码保护系统部署 (72)附录五：第一至四级基本技术要求中的密码技术应用需求汇总 (74)一、引言信息安全等级保护制度是国家信息安全保障工作的基本制度。

一文读懂商用密码应用性评估流程

一文读懂商用密码应用性评估流程由海量数据、复杂结构、多样应用共同组成的“网络空间”，已经成为继陆地、海洋、天空、太空之后的“第五空间”，并且已经演变成各个国家争抢的新领域，以及未来军事较量的新战场。

网络空间已经纳入国家安全战略范围。

由海量数据、复杂结构、多样应用共同组成的“网络空间”，已经成为继陆地、海洋、天空、太空之后的“第五空间”，并且已经演变成各个国家争抢的新领域，以及未来军事较量的新战场。

网络空间已经纳入国家安全战略范围。

一、法律规定《中华人民共和国密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

二、密评的意义密评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性、有效性进行评估的活动。

密评是衡量商用密码应用是否合规、正确、有效的重要手段，也是维护网络空间安全、规范商用密码应用的客观要求，同时也是加强事中和事后监管的方法，是网络信息系统运营者和主管部门必须承担的法律责任。

三、密评职责1、网络信息系统责任单位•规划阶段依据商密技术标准制定合规的密码应用方案。

•系统建设完成后，开展密评，合格后投入运行。

•运行期间定期开展密评，不断整改优化。

•发生安全事件时，开展密评，进行应急处置和安全方案措施。

•完成密评工作后，要在30个工作日内到本地密码管理部门备案。

2、测评机构和测评人员•经过国家密码管理部门审核，取得资格，纳入测评机构目录。

•按照法律法规和标准要求科学、公正的开展密评。

•不泄露测评对象的秘密和数据，不妨碍被测系统正常运行。

•完成密评工作后，要在30个工作日内报国家密码管理部门备案。

3、密码管理部门•国家密码管理部门指导、监督、检查全国密评工作。

•省（部）密码管理部门指导、监督、检查本地区、本部门、本行业的密评工作。

•对评估结果的客观、公允和真实性进行评判；对评估工作的客观、规范和独立性进行检查商用密码应用安全性评估的工作流程1四、测评准备活动。

工业和信息化部电子认证服务行政审批事项服务指引-中华人民共和国

项目编号：04025工业和信息化部电子认证服务行政审批事项服务指南〔完整版〕发布机构：工业和信息化部信息化和软件服务业司发布日期：2016年12月1日实施日期：2017年1月1日一、适用范围本服务指南规定了电子认证服务行政许可的申请和办理要求，从而便于行政相对人提前了解行政许可事项的办理流程、法定办结时限和所需的申请材料等。

本服务指南适用于电子认证服务行政许可对象和工作人员参考。

电子认证服务行政许可的对象为申请从事电子认证服务的机构。

二、事项审查类型电子认证服务行政许可审批事项为前审后批型。

三、审批依据《电子签名法》第十八条“从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。

国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。

予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。

”四、实施机构受理机构：信息化和软件服务业司系统安全处决定机构：工业和信息化部五、数量限制无数量限制。

六、申请条件申请方必须具备以下所有条件，任何一条不符合则不予以许可：〔一〕具有独立的企业法人资格。

〔二〕具有与提供电子认证服务相适应的人员。

从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。

〔三〕注册资本不低于人民币三千万元。

〔四〕具有固定的经营场所和满足电子认证服务要求的物理环境。

〔五〕具有符合国家有关安全标准的技术和设备。

〔六〕具有国家密码管理机构同意使用密码的证明文件。

〔七〕法律、行政法规规定的其他条件。

七、禁止性要求无八、申请材料目录〔一〕电子认证服务行政许可申请表；〔二〕企业法人资格证明〔企业法人营业执照副本复印件〕；〔三〕人员证明〔企业的专业技术人员、运营管理人员、安全管理人员和客户管理人员聘用合同复印件、社保缴纳证明〕；〔四〕经营场所证明〔经营场所产权证明文件复印件或有效的房屋租赁协议复印件〕；〔五〕国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证：1.有关安全设备和认证系统在有效期内的经主管部门或国家认可的检测机构出具的安全认证和准予销售凭证复印件〔包括电子认证服务系统、密钥管理系统、防火墙、入侵检测、密码机、安全网关、密码钥匙、杀毒软件、网络漏洞扫描系统等〕；2.电子认证系统技术体系审查报告的复印件；3.消防工程、防雷检测、核心屏蔽机房、运营机房经主管部门或国家认可的检测机构出具的验收报告复印件。

《信息安全等级保护商用密码技术要求》使用指南

《信息安全等级保护商用密码技术要求》使用指南《信息安全等级保护商用密码技术要求》使用指南《<信息安全等级保护商用密码技术要求>使用指南》编写组目录一、引言 (6)二、密码框架保护 (10)1、信息系统密码保护框架 (10)2、密码保护技术体系 (11)2.1、密码基础设施 (14)2.2、密码设备 (14)2.3、密码服务 (14)2.4、密码技术支撑的安全服务 (15)三、密码保护实施要求 (17)1、集成单位选择 (17)2、方案设计、产品选型与集成实施 (17)2.1商用密码系统建设方案的设计 (17)2.2产品选用 (18)2.3商用密码系统建设方案的实施 (18)3、系统安全测评 (19)4、日常维护与管理 (21)5、安全监督检查 (21)附录一：第一级信息系统密码保护 (22)1、第一级基本技术要求中的密码技术应用需求分析 (22)1.1物理安全 (22)1.2网络安全 (22)1.3主机安全 (23)1.4应用安全 (23)1.5数据安全及备份恢复 (24)1.6总结 (24)2、密码通用技术要求 (25)2.1功能要求 (25)2.2密钥管理要求 (25)2.3密码配用策略要求 (26)2.4密码实现机制 (26)2.5密码安全防护要求 (26)3、典型示例 (26)3.1信息系统概述 (26)3.2密码保护需求 (26)3.3密码保护系统设计 (27)3.4密码保护系统部署 (27)附录二：第二级信息系统密码保护 (29)1、第二级基本技术要求中的密码技术应用需求分析 (29)1.1物理安全 (29)1.2网络安全 (29)1.3主机安全 (30)1.4应用安全 (31)1.5数据安全及备份恢复 (32)1.6总结 (33)2、密码通用技术要求 (33)2.1功能要求 (33)2.2密钥管理要求 (34)2.3密码配用策略要求 (35)2.4密码实现机制 (35)2.5密码安全防护要求 (36)3、典型示例 (36)3.1信息系统概述 (36)3.2密码保护需求 (36)3.3密码保护系统设计 (37)3.4密码保护系统部署 (38)附录三：第三级信息系统密码保护 (39)1、第三级基本技术要求中的密码技术应用需求分析 (39)1.1物理安全 (39)1.2网络安全 (40)1.3主机安全 (41)1.4应用安全 (43)1.5数据安全及备份恢复 (44)1.6总结 (45)2、密码通用技术要求 (46)2.1功能要求 (46)2.2密钥管理要求 (48)2.3密码配用策略要求 (49)2.4密码实现机制 (50)2.5密码安全防护要求 (50)3、典型示例 (51)3.1信息系统概述 (51)3.2密码保护需求 (51)3.3密码保护系统设计 (53)3.4密码保护系统部署 (54)附录四：第四级信息系统密码保护 (57)1、第四级基本技术要求中的密码技术应用需求分析 (57)1.1物理安全 (57)1.2网络安全 (57)1.3主机安全 (59)1.4应用安全 (61)1.5数据安全及备份恢复 (63)1.6总结 (64)2、密码通用技术要求 (65)2.1功能要求 (65)2.2密钥管理要求 (67)2.3密码配用策略要求 (69)2.4密码实现机制 (70)2.5密码安全防护要求 (70)3、典型示例 (70)3.1防伪税控系统概述 (70)3.2密码保护需求 (71)3.3密码保护系统设计 (73)3.4密码保护系统部署 (75)附录五：第一至四级基本技术要求中的密码技术应用需求汇总 (77)一、引言信息安全等级保护制度是国家信息安全保障工作的基本制度。

国密证书信创密评商用密码解决方案

信创
PART 01-02
密评简介
密评定义
密评是什么？
商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
是指密码算法、密码协议、密钥管理、密码产品和服务使用合规，即按照《商用密码管理条例
合规性》等密码法规和行业相关的密码使用要求，使用符合国家密码法规和标准规定的商用密码算法，
密评对象关键基础设施源自目01 产品背景02 产品简介
录
03 应用案例
国密证书产品简介
为满足《密码法》、《等保2.0 》、《密评》和《政务信息化项目管理办法》等法律、法规对信息系统密码应用的要求，并有效提高信息系统的数据和人员身份的安全性，x智慧安全以自研密码产品为基础，结合密码管控平台实现满足要求的国密证书商用密码应用产品，满足用户多元化密码应用功能的要求。
2. 签名服务器 6. 身份认证网关
3. 时间戳
7. 证书认证系统
4. 密码机
8. 密钥管理系统
国密证书商用密码产品应用效果
符合信创系统密码应用要求
符合信息系统密码应用（密评）基本要求
满足等保2.0中对密码应用的要求
满足信息系统对身份认证和数据防泄漏、数据防篡改的需求
目
01 产品背景
02 产品简介
特色功能：
对象
•
安全合规：产品按照国家相关要求进行设计建造，满足信息系统的密码应用功能要求
基础对象
• 统一管控，统一服务：套件平台通过集中部署、
统一管控的理念面向用户提供密码应用安全服务国密
，可通过平台管控中心对密码应用资源进行灵活证书

商用密码产品品种和型号审批服务指南

原件原件
加盖申请单位 1 纸质和电子版
公章
加盖申请单位 1 纸质和电子版
公章
具有与生产商用密
码产品相适应的质 4
量保证能力和信用
状况的证明材料
原件
加盖申请单位 1 纸质和电子版
公章
申请材料示范样本下载地址：国家密码管理局网站 /在线服务/ 下载服务/商用密码产品品种和型号申请材料（二）申请材料提交申请人可通过各省（区、市）密码管理局受理窗口或邮寄方式提交材料九、申请接收（一）接收方式 1.窗口接收各省（区、市）密码管理局受理窗口，具体部门名称、接收地址见《各省（区、市）密码管理局行政审批事项服务指南》。 2.信函接收
8
商用密码产品型号证书期满后，如需延续，应按照新办流程重新申请商用密码产品型号证书。
（六）依申请注销 1．申请人申请注销许可证件，持注销申请和《商用密码产品型号证书》原件向所在地的省（区、市）密码管理局办理注销手续。 2．省（区、市）密码管理局将注销申请材料寄送国家密码管理局。 3．国家密码管理局办理注销手续，并在门户网站公布。十二、审批时限在20个工作日内办结。其中：办理过程中所需的安全性审查时间，不计入时限。十三、审批收费依据及标准无十四、审批结果证照名称：商用密码产品型号证书证照样式：
3
接收部门：各省（区、市）密码管理局。接收部门名称、接收地址、邮政编码、联系电话等见《各省（区、市）密码管理局行政审批事项服务指南》。
（二）办公时间各省（区、市）密码管理局办公时间见《各省（区、市）密码管理局行政审批事项服务指南》。十、办理基本流程
4
十一、办理方式（一）新办
5
1．申请人按照《密码产品生产管理规定》有关要求，向所在地的省（区、市）密码管理局提交申请材料。

信息安全等级保护商用密码管理办法实施意办法

信息安全等级保护商用密码管理办法实施意办法精品管理制度、管理方案、合同、协议、一起学习进步企业管理，管理制度，报告，协议，合同，标书国家密码管理局文件国密局发[2009]10号关于印发《<信息安全等级保护商用密码管理办法>实施意见》的通知各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局，深圳市密码管理局：为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施，进一步规范信息安全等级保护商用密码管理工作，我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。

现印发你们，请认真贯彻执行。

执行中的意见和建议，请及时向我局反馈(联系电话：010-********) 。

2009年12月15日主题词：商用密码等级保护实施意见通知抄送：公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委，国务院各直属机构。

国家密码管理局办公室 2009年lo月29日印发(共印l000份)d2企业管理，管理制度，报告，协议，合同，标书《信息安全等级保护商用密码管理办法》实施意见为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施，进一步规范信息安全等级保护商用密码管理工作，特提出以下意见。

一、使用商用密码对信息系统进行密码保护，应当严格遵守国家商用密码相关政策和标准规范。

二、在实施信息安全等级保护的信息系统中，商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的，实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。

三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。

四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。

方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。

五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。

国家密码管理局关于做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告

国家密码管理局关于做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告文章属性•【制定机关】国家密码管理局•【公布日期】2023.10.31•【文号】•【施行日期】2023.11.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文关于做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告2023年9月26日，我局公布《商用密码检测机构管理办法》（国家密码管理局令第2号）和《商用密码应用安全性评估管理办法》（国家密码管理局令第3号），自2023年11月1日起施行。

为做好相关工作衔接，现就有关事项公告如下。

一、按照《商用密码检测机构管理办法》第七条有关规定，现委托各省、自治区、直辖市密码管理部门，新疆生产建设兵团密码管理部门负责受理本行政区域的商用密码检测机构资质申请，负责对申请材料进行形式审查，出具受理通知书或者不予受理通知书。

自2023年11月1日起，有关申请机构可以参照《商用密码检测机构资质申请表（模板）》（见附件）向所在地省级密码管理部门提交书面申请材料。

二、按照《商用密码检测机构管理办法》第三条有关规定，有意愿继续从事商用密码应用安全性评估业务的商用密码应用安全性评估试点机构，应当于2023年11月30日前提交商用密码检测机构资质申请。

对提交申请的商用密码应用安全性评估试点机构依法实施资质认定后，商用密码应用安全性评估试点工作将正式结束。

未经认定，任何单位不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件：商用密码检测机构资质申请表国家密码管理局2023年10月31日。

信息安全等级保护商用密码测评机构审批服务指南

信息安全等级保护商用密码测评机构审批服务指南一、适用范围本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。

二、项目信息项目名称：信息安全等级保护商用密码测评机构审批子项名称：无审批类别：非行政许可审批（正在履行新设行政许可程序）项目编号：60012三、办理依据《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条：“计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

”《信息安全等级保护管理办法》（公通字〔2007〕43号）第一条：“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

”第三十八条：“信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。

”《信息安全等级保护商用密码管理办法》（国密局发〔2007〕11号）第十一条：“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。

”四、受理机构国家密码管理局五、决定机构国家密码管理局六、审批数量无数量限制七、办事条件申请人应当具备以下条件：1.独立法人资格的企事业单位；2.产权关系明晰，资产总值不低于1000万元；3.具备信息安全系统测评相关经验，具有密码相关工作经验的专业技术人员，人数不少于30人；4.具备必要的系统测评环境、设备和设施；5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度；6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动，不从事密码产品生产、销售等业务；7.国家密码管理局要求的其他条件。

八、申请材料（一）申请材料清单序号提交材料名称原件/复印件份数纸质/电子要求信息安全等级保护商用密1原件1码测评机构申请表本机构主要管理和技术人2原件1员登记表纸质3独立法人证明材料复印件 1纸质和PDF加盖从事信息安全系统测评工电子扫描文4复印件1单位作情况的材料件印章从事信息安全等级保护商5复印件 1用密码测评所需专用检测设施、设备清单6相关管理规章制度文本复印件1（二）申请材料提交申请人通过国家密码管理局受理窗口或邮寄方式提交申请材料。

关于同意开展商用密码应用测评试点工作的告知书

关于同意开展商用密码应用测评试点工作的告知书告知书一：关于同意开展商用密码应用测评试点工作的告知书致：[申请单位名称]主题：关于同意贵单位开展商用密码应用测评试点工作的正式告知尊敬的[申请单位名称]负责人：您好！根据《中华人民共和国密码法》及国家密码管理局关于商用密码应用安全性评估的相关政策要求，贵单位提交的《商用密码应用测评试点工作申请书》及相关材料已经过我局（或指定评估机构）的严格审查与评估。

经过综合考量贵单位在商用密码技术研发、应用推广及安全管理等方面的综合实力与前期准备情况，我们非常高兴地通知您，贵单位已正式获得批准，同意开展商用密码应用测评试点工作。

一、试点目的与意义本次商用密码应用测评试点工作的主要目的是探索和完善商用密码应用安全性评估机制，验证商用密码产品在重要信息系统和关键信息基础设施中的有效性和安全性，提升我国商用密码产业的整体竞争力和安全保障水平。

贵单位的参与，将对推动商用密码技术的广泛应用和规范化管理起到积极的示范和引领作用。

二、试点范围与内容试点范围：本次试点将覆盖贵单位自主研发或集成的商用密码产品，在特定行业或领域的重要信息系统中的应用情况。

具体范围将依据贵单位提交的申请方案及后续协商确定。

试点内容：包括但不限于商用密码产品的功能符合性测试、性能评估、安全性分析、兼容性验证以及在实际应用环境中的表现评估等。

同时，还将对贵单位在商用密码应用过程中的安全管理措施、应急预案、人员培训等方面进行综合评价。

三、工作要求组建专项团队：贵单位需成立商用密码应用测评试点工作专项小组，明确职责分工，确保试点工作有序进行。

制定详细计划：根据本告知书要求，结合实际情况，制定详细的试点工作计划，明确时间节点、任务分工及预期成果。

加强沟通协调：在试点过程中，贵单位需与我局（或指定评估机构）保持密切沟通，及时反馈工作进展及遇到的问题，确保试点工作顺利进行。

确保数据安全：在试点过程中，应严格遵守国家关于数据安全和隐私保护的相关法律法规，确保测试数据的安全性和保密性。

商用密码安全评估资质

商用密码安全评估资质
商用密码安全评估资质是指企业或组织在密码安全领域具备的专业能力和资质认证。

通常包括以下几个方面：
1. 国家密码管理机构认证：获得国家密码管理机构颁发的资质认证，表示企业或组织在密码安全方面具备符合国家标准和法规的能力。

2. 国际密码标准认证：获得国际密码标准组织（如NIST、ISO等）颁发的密码安全相关标准认证，表示企业或组织在密码安全方面具备符合国际标准的能力。

3. 专业机构认证：获得密码安全领域的专业机构（如ISC2、ISACA等）颁发的资质认证，表示企业或组织在密码安全方面具备专业知识和技能。

4. 安全评估机构认证：获得符合密码安全评估要求的独立第三方安全评估机构认证，表示企业或组织具备独立进行密码安全评估的能力。

5. 专家资质认证：获得密码安全领域的专家认证，表示个人在密码安全方面具备专业知识和经验，可以提供相关咨询和评估服务。

获得商用密码安全评估资质可以增加企业或组织在密码安全领域的信誉和竞争力，为客户提供可靠的密码安全解决方案。

同
时，合规的密码安全评估也可以帮助企业或组织发现和修复密码安全漏洞，提高整体的信息安全水平。

等级保护、商用密码应用评估和数据安全三者的关系

等级保护、商用密码应用评估和数据安全三者的关系目前，网络安全问题日益突出，其中等级保护、商用密码应用评估和数据安全是三个重要的方面，但是对于很多人来说，还是无法搞明白三者之间的关系。

本文将探讨这三者之间的关系，旨在帮助读者更好地理解网络安全领域的复杂性和相互依赖性。

最开始，我们要明白进行网络信息安全建设的最终目的是信息系统可靠稳定运行，这是等级保护、商用密码应用评估和数据安全这三者的终极目标，一切的防护和建设都应围绕这一目标进行。

那么这三者具有什么关系呢？首先，等级保护是我国网络安全领域的一项基本制度，通过对不同等级的信息系统采取不同的安全保护措施，保障信息系统的安全稳定运行。

在等级保护的要求下，各单位需要按照信息系统的重要性等级，采取相应的安全措施，包括物理安全、网络安全、应用安全等方面的防护。

同时，等级保护也是商用密码应用评估和数据安全的基础。

其次，商用密码应用评估是保障信息安全的重要手段之一，通过对商用密码的应用进行评估，确保其符合国家的标准和规定，从而提高信息系统的安全性。

商用密码应用评估涉及到密码算法、密钥管理、密码设备等多个方面，其目的是保证密码设备的合规性以及密码算法的安全性。

同时，商用密码应用评估也是等级保护制度的重要组成部分，各单位在进行信息系统安全保护时，需要遵循商用密码应用评估的要求，采取相应的密码保护措施。

最后，数据安全涉及到数据的保密性、完整性和可用性等方面，是网络安全领域的重要组成部分。

数据安全需要从多个方面进行保障，包括物理安全、网络安全、应用安全、数据加密等方面，尤其是在数据的加密解密方面，更是高度依赖商用密码应用。

同时，数据安全也是等级保护和商用密码应用评估的重要目标之一。

在进行等级保护和商用密码应用评估时，需要充分考虑到数据安全的需求，采取相应的安全措施，确保数据的保密性、完整性和可用性。

综上所述，等级保护、商用密码应用评估和数据安全三者之间相互关联、相互影响。