2020年起實施的《中(zhōng)華人民共和國密碼法》（以下(xià)簡稱《密碼法》）明确規定了商(shāng)用密碼應用安全性評估（以下(xià)簡稱密評）有關要求，新修訂的《商(shāng)用密碼管理條例》（以下(xià)簡稱《條例》）進一(yī)步細化了相關規定。密評對我(wǒ)國商(shāng)用密碼應用和管理工(gōng)作具有重要的推動和規範作用，其體(tǐ)系也在不斷發展和完善過程中(zhōng)。

一(yī)、商(shāng)用密碼應用安全性評估體(tǐ)系初步建立

（一(yī)）體(tǐ)制機制與法規依據逐步成熟規範

《密碼法》首次确立了密評工(gōng)作的法律地位。《密碼法》第二十七條對關鍵信息基礎設施使用商(shāng)用密碼和開(kāi)展密評提出了明确要求，并在第三十七條對違反該要求的行爲明确了罰則，這從根本上建立起了密評制度，也是開(kāi)展密評工(gōng)作***基本的法律依據。随着《密碼法》的貫徹實施，密評工(gōng)作也得到了越來越多的關注和認可，成爲了密碼應用推進工(gōng)作的重要抓手。

新修訂的《條例》對密評工(gōng)作提出了更加具體(tǐ)和細化的要求。在落實《密碼法》要求的基礎上，《條例》第三十八條進一(yī)步明确了關鍵信息基礎設施“三同步”、每年定期評估以及備案管理的具體(tǐ)要求：“……運營者應當使用商(shāng)用密碼進行保護，制定商(shāng)用密碼應用方案，配備必要的資(zī)金和專業人員(yuán)，同步規劃、同步建設、同步運行商(shāng)用密碼保障系統，自行或者委托商(shāng)用密碼檢測機構開(kāi)展商(shāng)用密碼應用安全性評估。……，運行後每年至少進行一(yī)次評估，評估情況按照國家有關規定報送國家密碼管理部門或者關鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門備案。”對于與網絡安全等級保護制度的銜接，《條例》第四十一(yī)條規定：“網絡運營者應當按照國家網絡安全等級保護制度要求，使用商(shāng)用密碼保護網絡安全。國家密碼管理部門根據網絡的安全保護等級，确定商(shāng)用密碼的使用、管理和應用安全性評估要求，制定網絡安全等級保護密碼标準規範。”這及時回應了社會對于等級保護對象開(kāi)展密碼應用與安全性評估的關切，爲等級保護對象開(kāi)展密評提供了基本遵循。

除了《密碼法》和《條例》外(wài)，相關部門規章和規範性文件也對密碼應用和密評作出了明确規定，包括國務院辦公廳印發的《國家政務信息化項目建設管理辦法》、公安部印發的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》、财政部印發的《政務信息系統政府采購管理暫行辦法》等，與上述法律法規一(yī)起，共同構成了密評工(gōng)作的法律依據和制度支撐。

（二）技術體(tǐ)系與标準規範不斷健全完善

2018年初，爲指導密評試點工(gōng)作開(kāi)展，國家密碼管理局發布了密碼行業标準GM/T-0054《信息系統密碼應用基本要求》。2018年以來，基于GM/T-0054開(kāi)展的密碼應用和安全性評估工(gōng)作，充分(fēn)驗證了密評工(gōng)作的科學性和可行性。該标準也在2021年上升爲國家标準GB/T-39786《信息安全技術 信息系統密碼應用基本要求》，結合密評工(gōng)作實踐對内容進行了優化，更爲科學合理。

爲了配合GB/T-39786的實施，更好地指導和規範密評活動，中(zhōng)國密碼學會密評聯委會組織制定了《信息系統密碼應用測評要求》《信息系統密碼應用測評過程指南(nán)》《信息系統密碼應用高風險判定指引》《商(shāng)用密碼應用安全性評估量化評估規則》《商(shāng)用密碼應用安全性評估報告模闆》等5項指導性文件，其中(zhōng)前2項已正式發布爲密碼行業标準GM/T-0115和GM/T-0116。

相比于原有的符合性判定“一(yī)票(piào)否決”的規則，新的密評标準框架豐富了密評結果的出具過程，提出了“量化評估＋風險判定”的綜合判定思路。量化評估是爲了“保量”，即商(shāng)用密碼應用應當達到一(yī)定的程度，便于縱向和橫向的比較；風險判定是爲了“保質”，即守住信息系統的安全底線。此外(wài)，爲了規範密評實施和判定活動，中(zhōng)國密碼學會密評聯委會還組織編制了《商(shāng)用密碼應用安全性評估FAQ》，以問答形式解釋了密評過程中(zhōng)常見問題，并确立了定期更新機制，不斷應對技術發展和應用情況的變化，以持續保持密評标準體(tǐ)系的活力。

（三）機構規模與能力水平持續壯大(dà)提升

密評機構不僅是密評工(gōng)作實施開(kāi)展的主體(tǐ)，還是密碼應用推進工(gōng)作的宣傳隊，因此其專業水平十分(fēn)重要。2017年底，******批密評試點機構遴選工(gōng)作正式開(kāi)始，經培育考核，确定了首批密評試點機構。2019年底，第二批密評試點機構的遴選正式啓動，吸取******批密評試點機構能力考核的經驗，結合密評試點階段實際密評工(gōng)作的要求，第二批密評試點機構的能力考核進一(yī)步完善，在原有的人員(yuán)能力筆試考核和機構條件現場考核基礎上，将密評報告評估和密評實戰能力考核納入能力考核範圍。這其中(zhōng)，實戰能力考核是充分(fēn)克服了新冠疫情的不利影響，積極探索解決密評實戰能力如何考核的難題，取得了很好的成效，也獲得了參與考核機構的積極反饋。實戰能力考核貼近實際，不再是“紙(zhǐ)上談兵”，一(yī)方面覆蓋了原本理論考試無法涉及的内容，對機構實戰能力進行了有效評價，另一(yī)方面也對密評工(gōng)作的開(kāi)展起到了有效的引導和教育作用，将密評機構原先對算法、産品進行簡單核查的僵化思路，逐步轉變爲充分(fēn)采集證據、深入分(fēn)析數據、客觀給出結果的科學化、合理化路徑。

2020年7月，國家密碼管理局公布了******批24家密評試點機構目錄，并于2021年6月進行目錄更新，其中(zhōng)可面向全國開(kāi)展密評業務的機構共48家，另外(wài)25家可面向本省本行業開(kāi)展密評業務，形成了階梯式的密評機構層次架構。密評試點機構規模不斷擴大(dà)、能力逐步提升，爲密評工(gōng)作規模化、規範化發展提供了重要支撐。

二、貫徹落實《條例》，進一(yī)步完善密評體(tǐ)系

（一(yī)）持續拓展密評工(gōng)作深度廣度，不斷增強重要領域密碼應用水平

在法律法規層面，可以預見的是，随着《條例》發布，配套的規章制度也會陸續出台，進一(yī)步細化對密評機構管理和對密評工(gōng)作管理等要求。在這些法律法規的具體(tǐ)要求下(xià)，密評機構和人員(yuán)的管理将進一(yī)步規範，開(kāi)展密評的信息系統範圍和數量将進一(yī)步擴大(dà)。下(xià)一(yī)步，在前期金融、政務等領域開(kāi)展密碼應用和密評工(gōng)作的良好基礎上，要進一(yī)步深入擴展到其他重要領域和行業，推動密碼應用和密評要求在重要領域和行業落地生(shēng)根，持續增強密碼應用的廣度和深度。

（二）持續推進标準文件更新出台，不斷爲密評體(tǐ)系注入生(shēng)命力

GB/T-39786針對信息系統提出了通用性的密碼應用基本要求，但無法适配于所有類型信息系統和應用場景。近些年，國家密碼管理局以密碼行業标準形式發布了針對具體(tǐ)應用場景的密碼應用技術要求和指南(nán)，包括電(diàn)子保單、網上銀行、遠程移動支付、電(diàn)子招投标、區塊鏈等。随着密碼應用範圍的不斷擴大(dà)，亟需新一(yī)批的指導性文件用于指導具體(tǐ)場景的密碼應用建設和安全性評估工(gōng)作，并适情開(kāi)展文件的标準化。另外(wài)，目前密評體(tǐ)系文件中(zhōng)形成标準的還不多，還需進一(yī)步推進已經在制标過程中(zhōng)的《信息系統密碼應用方案設計指南(nán)》和《信息系統密碼應用實施指南(nán)》等應用指導類文件加快成熟，以更好指導密碼應用與安全性評估工(gōng)作。

（三）持續加強技術手段建設，不斷提升密評機構能力水平

在密評實施過程中(zhōng)，目前的工(gōng)具和手段還不能較好支撐對專門領域（如5G、工(gōng)業互聯網）中(zhōng)的密碼協議和密碼應用情況進行有效檢查，在對信息系統重要數據的深入自動分(fēn)析及密碼應用漏洞的探測方面也存在較大(dà)欠缺。因此，未來需要圍繞密評實踐過程中(zhōng)的各個技術驗證點，進一(yī)步加強密評業務開(kāi)展的技術手段建設。一(yī)方面，基于密碼産品/服務等相關标準完善現有典型密評工(gōng)具，同時研制并集成密評新工(gōng)具，如自動化分(fēn)析工(gōng)具、密碼應用滲透測試工(gōng)具，形成可聯動、可動态配置、自動化、一(yī)體(tǐ)化的密評工(gōng)具平台；另一(yī)方面，加強密碼應用典型風險庫和應對知(zhī)識庫建設，爲密評人員(yuán)的知(zhī)識培訓、實戰考核和能力驗證提供基礎保障。此外(wài)，還需加強密碼應用攻防平台建設，整合密碼應用風險庫以及對應的典型案例庫、惡意攻擊行爲庫等知(zhī)識庫，結合一(yī)體(tǐ)化密評工(gōng)具平台，形成涵蓋環境仿真、密評人員(yuán)培訓演練、密評機構能力驗證爲一(yī)體(tǐ)的密評核心基礎設施，******提升我(wǒ)國密評工(gōng)作質量水平和實戰能力，切實維護重要網絡與信息系統安全。