“密評”全稱“密碼應用安全性評估”，是指在采用密碼技術、産品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正确性和有效性進行評估。

國家法律法規的強制要求。開展密評，是國家相關法律法規提出的明确要求，是網絡安全運營者的法定責任和義務。

l 《中華人民共和國密碼法》第二十七條：法律、行政法規和國家有關規定要求使用密碼進行保護的關鍵信息基礎設施，其運營者應當使用密碼進行保護，自行或者委托密碼檢測機構開展密碼應用安全性評估。

l 《商用密碼應用安全性評估管理辦法(試行)》第十條：關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次。

l 《網絡安全等級保護條例（征求意見稿）》第四十七條：第三級以上網絡運營者應在網絡規劃、建設和運行階段，按照密碼應用安全性評估管理辦法和相關标準，委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估後，方可上線運行，并在投入運行後，每年至少組織一次評估。

l 《國家政務信息化項目建設管理辦法》第十五條：項目建設單位應當落實國家密碼管理有關法律法規和标準規範的要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。第二十五條：項目建設單位提交驗收申請報告時應當附上密碼應用安全性評估報告等材料。

GB/T AAAAA《信息安全技術 信息系統密碼應用基本要求》

GM/T BBBB《信息系統密碼應用測評要求》

商用密碼應用安全性評估量化評估規則

l 技術要求主要由機密性、完整性、真實性、不可否認性四個密碼安全功能維度構成，它沿用了等保V2.0标準中的四層結構，對“物理和環境安全”、“網絡和通信安全”、“設備和計算安全”、“應用和數據安全”四個層面來提出信息系統中應該如何使用密碼作出要求。

l 管理要求由管理制度、人員管理、建設運行、應急處置等四個密碼應用管理維度構成

密碼應用安全性評估量化評估規則

量化評估框架參考 GM/T BBBB，本規則從三個方面進行量化評估：

l 密碼使用安全是指，密碼技術是否被正确、有效使用，以滿足信息系統的安全需求，有效提供機密性、完整性、真實性和不可否認性的保 護；

l 密鑰管理安全是指，密鑰管理的全生命周期是否安全，用于密碼計或密鑰管理的密碼産品/密碼服務是否安全。

l 密碼算法/技術安全是指，信息系統中使用的密碼算法是否符合法律、法規的規定和密碼相關國家标準、行業标準的有關要求，信息系統中使用的密碼技術是否遵循密碼相關國家标準和行業标準或經國家密碼管理部門核準。

量化規則

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!