前言

在《商用密码应用安全性评估管理办法（试行）》中，明确提出了“涉及国家安全和社会公共利益的重要领域网络与信息系统的建设、使用、管理单位（以下简称“信息系统责任单位”），应当在系统规划、建设和运行阶段，组织开展商用密码应用安全性评估（以下简称“密评”）工作。”

那么信息系统责任单位在项目各阶段如何开展密评？具体包含哪些工作？本文将从信息系统责任单位的角度出发，对信息系统密评全过程进行详细梳理，总结密评工作要点，为各单位开展密评工作提供参考。

商用密码应用安全性评估实施过程

信息系统责任单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码应用体系并定期进行评估，即信息系统中的密码应用体系建设和运行应做到“三同步、一评估”。在实际的密码应用建设工作过程中，密码应用安全性评估始终贯穿于信息系统的规划、建设、运行阶段，其实施过程如图1 所示。

图1 商用密码应用安全性评估实施过程示意图

（一）规划阶段

Ø  确定商用密码应用等级

● 在信息系统规划阶段，首先需要明确使用商用密码保护的信息系统对象，并确定信息系统的商用密码应用等级。

● 密码应用等级一般参照网络安全等级保护的级别确定。信息系统根据《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）要求确定系统网络安全等级保护级别时，将同步确定对应的密码应用等级。

● 对于尚未完成网络安全等级保护定级的重要信息系统，其密码应用等级应至少为第三级。

Ø  编制商用密码应用方案

● 在确定密码应用等级后，信息系统责任单位需要分析系统现状，结合系统面临的安全风险和风险控制需求进行分析，明确密码应用需求，根据系统的密码应用等级，依据《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）和《信息安全技术 信息系统密码应用设计技术要求》（征求意见稿）相关要求，编制信息系统密码应用方案。

●  密码应用方案设计是信息系统密码应用建设的起点，它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外，密码应用方案也是开展信息系统密码应用情况分析和评估工作的基础条件，是开展密评工作不可或缺的重要参考文件，且密码应用方案通过评审是密评项目立项的必要条件。

● 在设计密码应用方案时，在遵循总体性、科学性、完备性和可行性原则的基础上，应重点关注两个方面内容：一是信息系统支撑平台的密码应用，主要解决物理和环境安全、网络和通信安全、设备和计算安全三个层面的密码相关安全问题，并为业务应用提供密码支撑服务；二是信息系统业务应用的密码应用，主要在应用与数据安全层面，利用密码技术处理具体业务在实际开展过程中存在的安全问题，形成使用密码技术保护的具体业务处理机制和流程，这也是整个密码应用方案的重中之重。

● 从安全合规的维度来看，不同信息系统的支撑平台密码应用方案存在一定的相似性，但是在实际业务应用场景下，密码应用则是与业务应用强耦合的。因此在设计密码应用解决方案时，应用和数据安全层面的相关要求往往发挥着指引性作用。通过对业务安全需求的梳理以及重要数据保护范围的确定，明确需要解决的安全风险以及需要建立的密码应用措施，紧紧围绕业务应用进行密码应用解决方案的设计，提升方案的完备性和可行性。

● 结合标准规范要求，密码应用方案应主要包括系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系设计、安全与合规性分析等内容，并结合实际业务情况附加密码产品和服务应用情况、业务应用系统改造/建设情况、系统和环境改造/建设情况等内容。

Ø  组织密码应用方案评估与备案

● 信息系统责任单位编制密码应用方案后，需要组织专家或委托密评机构对密码应用方案进行评估，审定后的密码应用方案是开展信息系统建设、验收和评估等工作的重要依据。

● 信息系统责任单位将通过评估的密码应用方案与密评机构出具的系统《商用密码应用安全性评估报告》在30个工作日内上报主管部门及所在地区（部门）密码管理部门备案。其中，网络安全等级保护第三级及以上信息系统，评估结果应同时上报所在地区公安部门备案。

（二）建设阶段

Ø  编制密码应用实施方案

● 在信息系统建设阶段，要按照过审的密码应用方案内容编制实施方案，此方案用以指导密码应用的实施工作，一般由密码应用集成单位负责制定。

● 密码应用实施方案应包括项目概述、项目组织、实施内容、实施计划、保障措施、经费概算等内容。新建系统如果有“整体设计、分步实施”的计划，则应在实施方案中明确实施节点和阶段性目标。

● 如果在建设阶段涉及密码应用方案调整优化，需要再次委托密评机构对调整后的密码应用方案进行确认。

Ø  组织密码应用安全性评估与备案

● 在密码应用系统建设完成、投入运行之前，信息系统责任单位需要邀请密码应用安全性测评机构进行密码应用安全性评估，可将评估结果同等保测评、关保测评结果一同作为项目建设验收的必备材料。

● 针对未通过密评的信息系统，信息系统责任单位要对评估中发现的安全问题及时整改，整改完成后可请密评机构进行复评，更新评估结果。仍未通过复评的，该系统不得通过项目验收。

● 信息系统责任单位在30个工作日内将评估结果上报主管部门及所在地区（部门）密码管理部门备案，网络安全等级保护第三级及以上信息系统，评估结果同时报所在地区公安部门备案。

（三）运行阶段

Ø  落实密码应用安全管理

● 在信息系统运行阶段，信息系统责任单位应按照密码应用方案中的安全管理要求进行人员管理、密钥管理、运行维护、应急处置、密码软硬件及介质管理等工作。

● 定期对密码应用安全管理制度进行评审和修订，保存管理制度的执行记录和证据。

Ø  定期开展密码应用评估与备案

● 信息系统责任单位在密码应用投入运行后，需要定期委托密评机构对系统开展密码应用安全性评估工作，当评估未通过时,应当在一定期限内进行整改并重新组织评估。

● 根据《商用密码应用安全性评估管理办法（试行）》中规定，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。

Ø  重大应急事件评估

● 当系统发生密码相关重大安全事件、重大调整或特殊紧急情况时，网络与信息系统责任单位需要及时组织具有相关资质的测评机构开展商用密码应用安全性评估，并依据评估结果进行应急处置，采取必要的安全防范措施。