商用密码应用安全性评估发展历程
2021年7月15日

商用密码应用安全性评估发展历程

商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估,简称“密评”。商用密码应用安全性评估共包括密评发展历程、密评主要内容、密评各方职责三部分内容,本篇主要介绍密评发展历程内容

第一阶段:制度奠基期(2007年11月至2016年8月)

2007年11月27日,国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。

2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要求。

第二阶段:再次集结期(2016年9月至2017年4月)

国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局〔2017〕138号文),在七省五行业开展密评试点。

第三阶段:体系建设期(2017年5月至2017年9月)

国家密码管理局成立密评领导小组,研究确定了密评体系总体架构,并组织有关单位起草14项制度文件。经征求试点地区、部门意见和专家评审,2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T 0054形式发布)和《信息系统密码测评要求(试行)》,密评制度体系初步建立。

第四阶段:密评试点开展期(2017年10月至今)

试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。2019 年上半年对第一批密评试点做了评审总结,对参与试点的27家机构进行能力再评审,择优选出16家扩大试点,对另11家机构给予6个月能力提升整改期。

2019年10月,开始启动第二批密评试点工作。2020年7月29日,国家密码管理局发布第40号公告《商用密码应用安全性评估试点机构目录》,全国商用密码应用安全性评估试点机构包括24家。

2021年6月11日,国家密码管理局发布第42号公告《商用密码应用安全性评估试点机构目录》,全国商用密码应用安全性评估试点机构共48家。