2025年密码应用安全性评估方案 .pdfVIP

士不可以不弘毅，任重而道远。仁以为己任，不亦重乎?死而后已，不亦远乎?——《论语》

一、密码应用安全性评估方案

（一）背景

随着网络与信息技术的高速发展，尤其是互联网的广泛普及和应

用，网络正深刻影响并改变着人类的生活和工作方式，我们已经身处

信息时代，“计算机和网络”已经成为组织重要的生产工具，“信息”

成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和

信息，它们共同成为组织赖以生存的重要信息资产。我国信息化建设

在不断深入，信息化的水平也在不断提升，同时导致了对信息系统的

依赖程度也越来越高。越来越多的政府机构、企事业单位建立了依赖

于网络的业务信息系统，比如门户WEB应用、电子政务、电子商务、

网上银行、网络办公等；同时也利用互联网提供给用户各类Web应用

服务，如提供信息发布、信息搜索、电子政务、电子商务等业务，便

利了工作，也极大丰富了人们的生活。

网络技术对社会各行各业产生了巨大深远影响的同时，随之而来

的网络安全问题亦凸现出来。计算机、网络、信息等系统资产在服务

于各部门业务的同时，也受到越来越多的安全威胁，如病毒破坏、黑

客攻击、信息系统瘫痪、网络欺诈等利用计算机网络实施的各种犯罪

行为。密码技术作为网络安全的基础性核心技术，保障信息资产和网

络信任体系，保障网络空间安全的关键技术。密码保障系统有效抵御

网络攻击，有效保护数据和系统安全，体现了密码使用的合规性、正

确性、有效性，涉及典型的密码技术包括密码算法、密钥管理、密码

协议。安全测评通过静态评估、现场测试、综合评估等相关环节和阶

段，从物理和环境安全、网络和通信安全、设备和计算安全、应用和

数据安全、密钥管理、安全管理等六个方面，对信息系统进行综合测

评。

老当益壮，宁移白首之心；穷且益坚，不坠青云之志。——唐·王勃

为全面贯彻总体国家安全观和网络强国战略，深入贯彻落实习近

平总书记关于核心技术自主可控重要批示精神和工作安排，落实中共

中央办公厅、国务院办公厅推进重要领域密码应用与创新发展的相关

要求，在重要信息系统密码应用情况普查工作基础上，对重点行业重

要信息系统开展密码应用安全性评估。通过密码应用安全性评估深入

查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升我国

信息系统密码安全奠定基础。

（二）相关法规政策

《中华人民共和国密码法》要求“国家对关键信息基础设施的密

码应用安全性进行分类分级评估，按照国家安全审查的要求对影响或

者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行

安全审查”。《信息安全等级保护商用密码管理办法》规定：“国家密

码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系

统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息

安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信

息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机

构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护

第三级及以上信息系统的商用密码应用和测评要求。此外，在《网络

安全等级保护条例》明确要求在规划、建设、运行阶段开展密码应用

安全性评估。

为规范商用密码应用安全性评估工作，国家密码管理局制定了

《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机

构管理办法》等有关规定，对测评机构、网络运营者、管理部分等三