商用密码应用安全性评估交流V1.1.pptxVIP

商用密码应用安全性评估中国金融认证中心（CFCA)卓越创新科技 智享信息安全 目录章节.01 为什么开展密评？Part.01 背景现状法律政策章节.02 什么是密评？Part.02 定义对象依据方法章节.04 哪些密评常见问题？Part.04 问题1问题2问题3问题4CONTENT章节.03 如何实施密评？Part.03 工作内容密评流程 01章节 PART章节.01 为什么开展密评密评背景应用现状法律法规政策要求 密评工作背景国家密码管理局印发《信息安全等级保护商用密码管理办法》国家密码管理局研究起草《商用密码应用安全性评估管理办法（试行）》发布第一批密评试点单位国家密码管理局组织金融和重要领域密码应用专项检查GM/T 0054-2018《信息系统密码应用基本要求》实施国家密码管理局组织开展密码应用安全性评估试点工作《商用密码应用安全性评估管理办法（试行）》等密评制度体系实施《国家政务信息化项目建设管理办法》印发《密码法》2020年1月1日正式实施1999年 为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定商用密码管理条例。1999年10月7日国务院令第273号发布《商用密码管理条例》2007年 国家密码管理局印发《关于作好公钥密码算法升级工作的函》（国密局函[2011]7号），要求2011年7月后投入运行并使用公钥密码的信息系统，应使用SM2算法，在此之前已投入运行且使用国外算法的信息系统，应尽快进行升级改造2011年 中国人民银行、银监委会《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》的通知，力争2015年初步实现国产密码在金融IC卡（集成电路卡）、网上银行、移动支付、网上证券、电子保单等重点领域中的广泛应用，到2020年实现国产密码在金融领域中的全面应用2014年 中办、国办印发指导意见《关于加强重要领域密码应用的指导意见》（厅字[2015]4号），针对能源等重要领域密码应用工作提出了明确的要求中国保监会关于印发《保险业密码应用实施方案》的通知，力争2015 年初步实现国产密码在电子保单中的广泛应用，到2020 年实现国产密码在保险领域中的全面应用中国证监会《关于加强证券期货领域国产密码应用推进工作的通知》争取2015年初步实现国产密码在网上证券的的广泛应用，到2020年实现国产密码在证券期货领域中的全面应用2015年2016年2017年2020年2018年 商用密码应用现状商用密码应用不理想密码应用不广泛密码应用不规范密码应用不安全科学评价方法 以评促建 以评促改 以评促用通过对全国范围6065家单位进行摸底普查发现，密码安全形势严峻，商用密码应用现状不容乐观： 相关法律法规要求《中华人民共和国密码法》第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。《商用密码应用安全性评估管理办法(试行)》第十条　关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。《商用密码管理条例(修订草案征求意见稿)》第三十八条　非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况报送所在地设区的市级密码管理部门备案。《网络安全等级保护条例（征求意见稿）》第四十七条　第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。《国家政务信息化项目建设管理办法》第十五条　项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。第二十五条　项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。 相关政策《金融领域密码应用指导意见》（国办发[2014]6号）国务院办公厅《政务信息系统政府采购管理暂行办法》（财库[2017]210号）财政部《国家政务信息化项目建设管理办法》（国办发[2019]57号）国务院办公厅0102《2020年教育信息化和网络安全工作要点》（教科技厅[2020]1号）教育部0304 密评工作的必要性建立密评体系，就