天津市商用密码行业协会：信息安全技术信息系统密码应用基本要求标准解读（46页）.pdf

1、GB/T 39786-2021 标准解读信息系统密码应用方案编制专题线上培训会上海市商用密码行业协会主讲人：张桂金天津市商用密码行业协会目录CONTENTS什么是“密评”0101020203030404密评依据GB/T39786测评指标解析密评流程什么是“密评”PART.01密码应用功能设计密码应用部署及实现商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心，是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。什么是商用密码密

2、码应用功能设计密码应用部署及实现有效性釆用的密码协议、密钥管理系统、密码应用子系統和密码安全防护机制不仅设计合理，而且在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性。合规性密码算法、密码协议、密钥管理密码产品和服务使用合规，使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局核准的密码产品，许可的密码服务。正确性密码算法、密码协议、密钥管理、密码产品和服务使用正确，即釆用的密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现；密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。商用密码应用安全性评估（简称“密评”），

3、是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。什么是密评密码应用功能设计密码应用部署及实现第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元

4、以下罚款。密码法第五十三条关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定。关键信息基础设施安全保护条例（征求意见稿）第十条 建设、运营网络或者通过网络提供服务，应当维护网络数据的完整性、保密性和可用性。第二十一条 釆取数据分类、重要数据备份和加密等措施，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。网络安全法第四条 网络运营者在网络建设过程中应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。第四十七条 非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上网络应当釆用密码保护，并使用国家密码

5、管理部门认可的密码技术、产品和服务。网络安全等级保护条例（征求意见稿）相关法律法规密码应用功能设计密码应用部署及实现其他单位第三条规定范围之外的其他网络和信息系统，其责任单位可以参考本办法自愿开展商用密码应用安全性评估。责任单位涉及国家安全和社会公共利益的重要领域，网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。覆盖单位重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。谁要做密评密码应用功能设计密

6、码应用部署及实现基政重控电信网、广播电视网、互联网。基础信息网络：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。面向社会服务的政务信息系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。重要工业控制系统：能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。重要信息系统：谁要做密评密码应用功能设计密码应用部署及实现国家密码管理局印发信息安全等级保护商用密码管理办法2007国家密码管理局研究起草商用密码应用安全性评估管理办法（试行）2016国家密码管理局组织开展