2020年起實施的《中(zhōng)華人民共和國密碼法》（以下作兵(xià)簡稱《密碼法》）明确規定了商(shāng)用密碼應用安全性訊件評估（以下(xià)簡稱密評）有關要求，新修訂的人美《商(shāng)用密碼管理條例》（以下(xià)熱下簡稱《條例》）進一(yī)步細化了相關規定。密評對我(wǒ)(w多嗎ǒ)國商(shāng)用密碼應用和管理工(g木門ōng)作具有重要的推動和規範作用，其體(t呢技ǐ)系也在不斷發展和完善過程中(zhōng)。

一(yī)、商(shāng)用密碼應用安全性評估體(tǐ)系煙門初步建立

（一(yī)）體(tǐ)制機制與法規依據逐步成熟規範

《密碼法》首次确立了密評工(gōng)作動遠的法律地位。《密碼法》第二十七條對關鍵信息基礎設施使用商(shāng)用兒視密碼和開(kāi)展密評提出了明确要求，并在第三十七條對違反該要求的行爲老來明确了罰則，這從根本上建立起了密評制度，也是開(kāi)展密評木分工(gōng)作***基本的法律依據。随着《密碼信還法》的貫徹實施，密評工(gōng)作也得到了懂兒越來越多的關注和認可，成爲了密碼應用推進工(gōng)作的市謝重要抓手。

新修訂的《條例》對密評工(gōng)作提出了更加具體(tǐ知日)和細化的要求。在落實《密碼法》要求的基礎上，《條例》第三十八條進一(yī)黑公步明确了關鍵信息基礎設施“三同步”、每年定期評估以及備案管理身章的具體(tǐ)要求：“……運營者應當使用商(shāng)用密碼進行保護，制定水多商(shāng)用密碼應用方案，配備必要的資(zī)金和專業人員(yuán)，照子同步規劃、同步建設、同步運行商(shāng)用密碼保障系統，自行或者低請委托商(shāng)用密碼檢測機構開(kāi)展朋友商(shāng)用密碼應用安全性評估。……，運行後每年至少進行一(yī吧刀)次評估，評估情況按照國家有關規定報送國家密碼管理部門可了或者關鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門備案。”對于與網絡票雜安全等級保護制度的銜接，《條例》第四十一(內民yī)條規定：“網絡運營者應當按照國家網絡少制安全等級保護制度要求，使用商(shāng)用密碼保護網絡窗科安全。國家密碼管理部門根據網絡的安全保護等站下級，确定商(shāng)用密碼的使用、管理和應用安全性評估要冷呢求，制定網絡安全等級保護密碼标準規範。”這及時回應了社線火會對于等級保護對象開(kāi)展密碼應用與一廠安全性評估的關切，爲等級保護對象開(kāi一和)展密評提供了基本遵循。

除了《密碼法》和《條例》外(wài)，相關部門規章和規範性文件也對長明密碼應用和密評作出了明确規定，包括國務院辦公廳印發的《國家政影些務信息化項目建設管理辦法》、公安部印發的《貫徹落實網絡安全等級保護吃吧制度和關鍵信息基礎設施安全保護制度的指導意見》、财政部印發的《政務信息系懂說統政府采購管理暫行辦法》等，與上述法律法規一(yī)起，共同構成了密評工(家報gōng)作的法律依據和制度支撐。

（二）技術體(tǐ)系與标準規範不斷健全完善

2018年初，爲指導密評試點工(gōng)作開(kāi)展，國家密碼管理雪生局發布了密碼行業标準GM/T-0054《信息系統密碼應用基本要求》。201微如8年以來，基于GM/T-0054開(kāi)展的密碼應用吧如和安全性評估工(gōng)作，充分(fēn)驗證了密評工(gōng)作的科購他學性和可行性。該标準也在2021年上升爲國家子樹标準GB/T-39786《信息安全技術 信息系統密碼應用基本要求》，結通火合密評工(gōng)作實踐對内容進行了優化，更爲科學合理。

爲了配合GB/T-39786的實施，更好地指導和規範密評活動，中(zhōng日木)國密碼學會密評聯委會組織制定了《信息系統密碼應用測評要求》《信息系統密碼如聽應用測評過程指南(nán)》《信息系統密碼應用高風險判定指引還開》《商(shāng)用密碼應用安全性評估量術自化評估規則》《商(shāng)用密碼應用安全短作性評估報告模闆》等5項指導性文件，其中(zhōng筆師)前2項已正式發布爲密碼行業标準GM/T-0115和GM/T-0116。

相比于原有的符合性判定“一(yī)票(piào)否決”的匠月規則，新的密評标準框架豐富了密評結果的出具過程，提出了“量化花體評估＋風險判定”的綜合判定思路。量化評估是爲了“保量”，即商(shāng)劇東用密碼應用應當達到一(yī)定的程度，便于縱向和橫向的比較；風險判定是爲們林了“保質”，即守住信息系統的安全底線。此外(wài)，爲了規範吧坐密評實施和判定活動，中(zhōng)國密碼學會密評聯委嗎他會還組織編制了《商(shāng)用密碼應用安全性評兵空估FAQ》，以問答形式解釋了密評過程中(zhōng)常見問題，并确立金服了定期更新機制，不斷應對技術發展和應用情況的變化，以持續保持密評标準體(tǐ照的)系的活力。

（三）機構規模與能力水平持續壯大(dà)提升

密評機構不僅是密評工(gōng)作實施開(k國師āi)展的主體(tǐ)，還是密碼應用推進工(gōng)作事微的宣傳隊，因此其專業水平十分(fēn)重要。2017多弟年底，******批密評試點機構遴選工(gōng)作正式開(kāi)始裡明，經培育考核，确定了首批密評試點機構。2019年底，第二批密評試點見場機構的遴選正式啓動，吸取******批密評試門好點機構能力考核的經驗，結合密評試點階段實又年際密評工(gōng)作的要求，第二批密評試點機構的能力考核廠家進一(yī)步完善，在原有的人員(yuán)能力筆試考司火核和機構條件現場考核基礎上，将密評報告評鐵開估和密評實戰能力考核納入能力考核範圍。這其中(zhōng)，實戰能去物力考核是充分(fēn)克服了新冠疫情的不利影響和志，積極探索解決密評實戰能力如何考核的難題，取得要務了很好的成效，也獲得了參與考核機構的積極反饋。實戰能力考核貼近實際，火綠不再是“紙(zhǐ)上談兵”，一(yī)方面覆蓋了原本理論考試無法門湖涉及的内容，對機構實戰能力進行了有效評價，另一(yī)方面廠長也對密評工(gōng)作的開(kāi)展起到了有效的引導和教育作用火商，将密評機構原先對算法、産品進行簡單核查的僵化思路，動亮逐步轉變爲充分(fēn)采集證據、深入分近風(fēn)析數據、客觀給出結果的科學化、合理化路徑。

2020年7月，國家密碼管理局公布了**制理****批24家密評試點機構目錄，并于2021年6媽我月進行目錄更新，其中(zhōng)可面向全國煙土開(kāi)展密評業務的機構共48家，另外(wài)25家窗大可面向本省本行業開(kāi)展密評業務，形成了階梯式的密評機構層次架構。密評試生秒點機構規模不斷擴大(dà)、能力逐步提升，爲密評工(日錯gōng)作規模化、規範化發展提供了重要支撐。

二、貫徹落實《條例》，進一(yī)步完善密評體(tǐ)系廠城

（一(yī)）持續拓展密評工(gōng)作深度廣度，不斷增強重要領厭員域密碼應用水平

在法律法規層面，可以預見的是，随着《條例》發布，配套的規章也校制度也會陸續出台，進一(yī)步細化對密評機構森做管理和對密評工(gōng)作管理等要求。在這些法律法規的商麗具體(tǐ)要求下(xià)，密評機構和人員(農業yuán)的管理将進一(yī)步規範，開(kāi)展密評的信息系統範圍和子和數量将進一(yī)步擴大(dà)。下(xià)一(yī)步，在前期金綠厭融、政務等領域開(kāi)展密碼應用和密評讀生工(gōng)作的良好基礎上，要進一(yī)步深入擴展到其他重要領域長家和行業，推動密碼應用和密評要求在重要領域和行業落地生(shēng)根，持續增報唱強密碼應用的廣度和深度。

（二）持續推進标準文件更新出台，不斷爲密評體(tǐ)系注入生(shēn樂快g)命力

GB/T-39786針對信息系統提出了通用性的密碼應用基本要求，但無法适見男配于所有類型信息系統和應用場景。近些年，國家密碼司厭管理局以密碼行業标準形式發布了針對具體(答身tǐ)應用場景的密碼應用技術要求和指南(商海nán)，包括電(diàn)子保單、網上銀行、遠程移動支付、電(diàn)子南美招投标、區塊鏈等。随着密碼應用範圍的不斷擴大(dà)，亟需新一(yī)批的現綠指導性文件用于指導具體(tǐ)場景的密碼們這應用建設和安全性評估工(gōng)作，并适情開(k電很āi)展文件的标準化。另外(wài)，目前門鄉密評體(tǐ)系文件中(zhōng)形成标準的還不多，還這熱需進一(yī)步推進已經在制标過程中(zhōng)的《信息系統密報冷碼應用方案設計指南(nán)》和《信息系統密他銀碼應用實施指南(nán)》等應用指導類文件加快成熟哥腦，以更好指導密碼應用與安全性評估工(gōng)作。

（三）持續加強技術手段建設，不斷提升密評機構新年能力水平

在密評實施過程中(zhōng)，目前的工(gōng)算購具和手段還不能較好支撐對專門領域（如5G、工(gōng)業拍員互聯網）中(zhōng)的密碼協議和密碼應用情況進行有效檢查，在對信息我麗系統重要數據的深入自動分(fēn)析及密碼聽冷應用漏洞的探測方面也存在較大(dà)欠缺。因此，未來需要圍繞密評實踐過程國要中(zhōng)的各個技術驗證點，進一(yī)步加強密評業務開(kāi唱樂)展的技術手段建設。一(yī)方面，基于密碼産品/服務等相關标準完善現有典兵票型密評工(gōng)具，同時研制并集成密評新工(gōng行歌)具，如自動化分(fēn)析工(gōng)具、日來密碼應用滲透測試工(gōng)具，形成可聯動、可動态配置長劇、自動化、一(yī)體(tǐ)化的密評工(gōng)具低歌平台；另一(yī)方面，加強密碼應用典型風險庫和應對知(zh上關ī)識庫建設，爲密評人員(yuán)的知(zhī)識培訓、實戰考核和好筆能力驗證提供基礎保障。此外(wài)，還需加強密碼應用攻防平台建設，整合密碼應看市用風險庫以及對應的典型案例庫、惡意攻擊行爲庫等知(zhī那多)識庫，結合一(yī)體(tǐ)化密評工(gōng)具平台，形成涵蓋說那環境仿真、密評人員(yuán)培訓演練、密評機構能力驗證爲一(y計朋ī)體(tǐ)的密評核心基礎設施，******提升我(wǒ)(水拿wǒ)國密評工(gōng)作質量水平和實戰能力，切實維護重要網絡與信息系統船業安全。