中國(guó)工業(yè)互聯(lián)網(wǎng)研究院：解讀商用密碼應(yīng)用安全性評(píng)估發(fā)展研究報(bào)告（2023年）

《商用密碼應(yīng)用安全性評(píng)估發(fā)展研究報(bào)告(2023年)》(工業(yè)和信息化部密碼應(yīng)用研究中心)2023年8月2023商用密碼大金編寫過(guò)程主要內(nèi)容中華人民共和國(guó)密碼法中華人民共和國(guó)國(guó)務(wù)院令第780號(hào)用時(shí)22021年4月4日2民次元考數(shù)文可通法，232354月27日2023年7月1日，《商用密碼管理?xiàng)l例》正式施2023商用密碼大會(huì)根據(jù)《關(guān)于開展密碼應(yīng)用安全性評(píng)估試點(diǎn)工作的通知》(國(guó)密局字〔2017〕138號(hào))的工作部署，2017年4月起，國(guó)家密碼管理局啟動(dòng)密評(píng)試點(diǎn)。自啟動(dòng)密評(píng)試點(diǎn)工作以來(lái)，密評(píng)工作機(jī)制不斷健全，密評(píng)機(jī)構(gòu)能力進(jìn)一步增強(qiáng)，密評(píng)活動(dòng)標(biāo)準(zhǔn)化工作持續(xù)推進(jìn)，密評(píng)程序逐步完善，密評(píng)已進(jìn)入蓬勃發(fā)展2017年4月2017年11月2018年2月2019年3月2019年10月26日2020年1月13日至17日2020年6月30日2020年9月16日2020年12月8日2021年1月8日國(guó)家密碼管理局啟動(dòng)密評(píng)試點(diǎn)組織全國(guó)第一批密評(píng)人員培訓(xùn)考核工作，認(rèn)定第一批27家密評(píng)試點(diǎn)機(jī)構(gòu)，于2018年6月向推薦省部印發(fā)《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)目錄》。密碼行業(yè)標(biāo)準(zhǔn)化技《信息系統(tǒng)密碼應(yīng)國(guó)家密碼管理局商用密碼檢測(cè)中心等六家密評(píng)機(jī)構(gòu)的主要負(fù)責(zé)人共同發(fā)起倡議成立密評(píng)聯(lián)委4日，密評(píng)聯(lián)委會(huì)工作啟動(dòng)暨技術(shù)交流培訓(xùn)會(huì)議在京召十三屈全國(guó)人大常委會(huì)第十四次會(huì)議通過(guò)《中華人民共和國(guó)密碼法》,習(xí)近平主席簽署第35號(hào)主席令予以密評(píng)聯(lián)委會(huì)支撐國(guó)家密碼管理局開展第二批密評(píng)試點(diǎn)機(jī)構(gòu)相關(guān)從密評(píng)聯(lián)委會(huì)組織全國(guó)密評(píng)機(jī)構(gòu)能力驗(yàn)證.隨后，國(guó)家密碼管理局發(fā)布第40號(hào)公告發(fā)布《商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄》(共收錄24家機(jī)密評(píng)聯(lián)委會(huì)組織編制的《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》(2020版)正式發(fā)布.密評(píng)聯(lián)委會(huì)發(fā)布(信息系統(tǒng)密碼應(yīng)用息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》等5項(xiàng)密碼應(yīng)用與安全性評(píng)估指導(dǎo)性文件。由密評(píng)聯(lián)委會(huì)主辦的密評(píng)工作研討會(huì)通過(guò)遠(yuǎn)程會(huì)議方式召開，研討會(huì)旨在宜貫最新密碼相關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求。2023年7月17日2023年6月9日2023年4月27日1月20日7月8日11月10月2021年2021年3月19日密評(píng)聯(lián)委會(huì)更新發(fā)布《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則(2023版)》,用于替代2021年12月發(fā)布的《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》。《商用密碼檢測(cè)機(jī)構(gòu)管理辦法(征求意見(jiàn)稿)》和《商用密碼應(yīng)用安全性評(píng)估管理辦法(征求意見(jiàn)稿)》向社會(huì)公開征求意見(jiàn)。李強(qiáng)總理簽署第760號(hào)國(guó)務(wù)院令，頒布了新修訂的《商用密碼管理?xiàng)l例》,2023年7月1日起正式施行。中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)發(fā)布《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板(20232021年12月發(fā)布的《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板 (2021版)》國(guó)家密碼管理局組織密評(píng)試點(diǎn)機(jī)構(gòu)測(cè)評(píng)技術(shù)人員進(jìn)行線上考核。國(guó)家密碼管理局印發(fā)了《關(guān)于規(guī)范商用密碼應(yīng)用安全性評(píng)估結(jié)果備案工作的通知》,進(jìn)一步規(guī)范密評(píng)工作告(第43號(hào)),發(fā)密碼應(yīng)用測(cè)評(píng)要求國(guó)家密碼管理局發(fā)布第42號(hào)公告,更新《商用密估試點(diǎn)機(jī)構(gòu)目錄》(共收錄48家機(jī)構(gòu))國(guó)家密碼管理局國(guó)家市場(chǎng)監(jiān)管總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布公告，正式發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》商用密碼應(yīng)用安全性評(píng)估發(fā)展研究報(bào)告(2023年)全文共4章12節(jié)，3個(gè)附錄，近5萬(wàn)字引言 1 22密評(píng)體系建設(shè)進(jìn)展………………524密評(píng)程序13 1533訂裝蓋節(jié)圖適年擴(kuò)大7 21 22 49背景及總體情況主要內(nèi)容2023商用密碼大會(huì)請(qǐng)的方式，組織形成7個(gè)單位的編寫小組開始發(fā)展研究報(bào)告起草工作。終稿提綱初稿評(píng)審稿告提綱進(jìn)行評(píng)審，并根據(jù)專家意見(jiàn)修改完征求專家意見(jiàn)據(jù)專家意見(jiàn)對(duì)發(fā)展研究報(bào)告征求意見(jiàn)初步定稿征求意見(jiàn)稿2版。主要內(nèi)容2023商用密碼大會(huì)2023商用密碼大會(huì)1.密評(píng)相關(guān)政策法規(guī)要求1.密評(píng)相關(guān)政策法規(guī)要求8項(xiàng)787國(guó)家層面密評(píng)相關(guān)法律法規(guī)國(guó)家層面密評(píng)相關(guān)政策文件各部門密評(píng)相關(guān)政策文件各省(區(qū)、市)密評(píng)相關(guān)政策文件2.密評(píng)體系建設(shè)進(jìn)展2.密評(píng)體系建設(shè)進(jìn)展2.1密評(píng)工作機(jī)制2.2密評(píng)機(jī)構(gòu)培育2.3密評(píng)系列標(biāo)準(zhǔn)2.4密評(píng)程序2.1密評(píng)工作機(jī)制知》(國(guó)密局字〔2021〕392號(hào))2.密評(píng)體系建設(shè)進(jìn)展一2.2密評(píng)機(jī)構(gòu)培育2017年4月、2019年9月分兩批培育認(rèn)定密評(píng)試點(diǎn)機(jī)構(gòu)并進(jìn)行分類管理，其中48家納入《商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄》并面向社會(huì)公布，可在全國(guó)范圍內(nèi)開展密評(píng)工作，25家準(zhǔn)予在本地區(qū)、本行業(yè)隨著《商用密碼管理?xiàng)l例》正式施行，密評(píng)機(jī)構(gòu)作為商用密碼檢測(cè)機(jī)構(gòu)的一類，具備了行政許可的基礎(chǔ)。國(guó)家密碼管理局積極組織制修訂《商用密碼檢測(cè)機(jī)構(gòu)管理辦法》《商用密碼應(yīng)用安全性評(píng)估管理辦法》等配套規(guī)章，推動(dòng)落實(shí)密評(píng)機(jī)構(gòu)2.密評(píng)體系建設(shè)進(jìn)展一2.3密評(píng)系列標(biāo)準(zhǔn)出福運(yùn)過(guò)三多樣核程要最標(biāo)導(dǎo)量望)2.密評(píng)體系建設(shè)進(jìn)展一2.3密評(píng)系列標(biāo)準(zhǔn)序號(hào)備注1信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求已發(fā)布2信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求已發(fā)布3信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南已發(fā)布4信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求在研5信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)技術(shù)指南在研6信息系統(tǒng)密碼應(yīng)用實(shí)施指南在研7商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)能力要求和評(píng)價(jià)規(guī)范在研8商用密碼應(yīng)用安全性評(píng)估監(jiān)督檢查規(guī)范在研9信息系統(tǒng)密碼安全管理體系在研2023商用密碼大會(huì)2.密評(píng)體系建設(shè)進(jìn)展一2.4密評(píng)程序密評(píng)開展程序如右圖所示，在系統(tǒng)規(guī)劃階段、建設(shè)階段、運(yùn)行階段，網(wǎng)絡(luò)運(yùn)營(yíng)者和密評(píng)機(jī)構(gòu)需緊密配合，完成系統(tǒng)密碼應(yīng)用方案評(píng)估和信息系統(tǒng)現(xiàn)日立項(xiàng)(編制準(zhǔn)碼應(yīng)過(guò)評(píng)結(jié)的光料南用方項(xiàng)目立項(xiàng)材料系統(tǒng)整定康評(píng)估系統(tǒng)整讀密評(píng)機(jī)構(gòu)密碼管理部門備案中枝出具回執(zhí)備案審核用目驗(yàn)收完成備案審核過(guò)出具回扶3.密評(píng)行業(yè)發(fā)展情況3.1密評(píng)試點(diǎn)機(jī)構(gòu)規(guī)模布局日趨合理3.2密評(píng)人才供給能力持續(xù)提升3.3密評(píng)覆蓋范圍逐年擴(kuò)大3.1密評(píng)試點(diǎn)機(jī)構(gòu)規(guī)模布局日趨合理2021年國(guó)家密碼管理局公告(第42號(hào))發(fā)布的密評(píng)試點(diǎn)機(jī)構(gòu)共48家，可在全國(guó)范圍內(nèi)開展密評(píng)工作。48家密評(píng)試點(diǎn)機(jī)構(gòu)覆蓋全國(guó)18個(gè)省(自治區(qū)、直轄市)其中行業(yè)主管部門推薦機(jī)構(gòu)20家，地方密碼管理部門推薦機(jī)構(gòu)28家。地方密碼管理部門推薦的28家機(jī)構(gòu)中，北京市、浙江省、廣東省各3家，上海市、山東省、四川省、新疆維吾爾自治區(qū)各2家，天津市、河2023商用密碼大會(huì)3.密評(píng)行業(yè)發(fā)展情況-3.2密評(píng)人才供給能力持續(xù)提升密碼職業(yè)人才培養(yǎng)認(rèn)定體系加速構(gòu)建，密碼職業(yè)人才培養(yǎng)認(rèn)定體系加速構(gòu)建，有效滿足密評(píng)人才需求評(píng)工作開展提供了重要的人才保障核力度，先后于2017年11月、2020年1月、2022年7月、2023年7月組織4次密校本科專業(yè)目錄(2021年)》,高等職業(yè)教育?？茖I(yè)正式納入《研究生教育學(xué)科專業(yè)目錄(2022年)》。2022年9月，人力資源社會(huì)保障部頒布了2022版《中華人民共和國(guó)職業(yè)分類大典》,新增"密碼技術(shù)3.密評(píng)行業(yè)發(fā)展情況-3.3密評(píng)覆蓋范圍逐年擴(kuò)大2018-2022年，年度開展系統(tǒng)評(píng)估的系統(tǒng)數(shù)量從81個(gè)增長(zhǎng)到4665個(gè)，實(shí)現(xiàn)大幅增長(zhǎng)。2018-2022年各區(qū)域密評(píng)數(shù)量