商用密码应用安全性评估实施要点.docxVIP

商用密码应用安全性评估实施要点

相关术语定义

为确保所有实施环节标准统一，首先对核心术语作出明确定义：

第一，商用密码，指《中华人民共和国密码法》规定的，不属于国家秘密内容，用于保护各类非涉密信息的加密、身份鉴别、完整性校验类密码技术、产品和服务，算法范围包含国家密码管理局认可的SM2、SM3、SM4、SM9等国密算法，不包含用于保护国家秘密信息的核心密码和普通密码。

第二，商用密码应用安全性评估，简称密评，指依据国家统一标准，对信息系统中商用密码应用的合规性、正确性、有效性开展的检测、验证、判定活动，所有评估活动的结果具备法定效力，可作为密码管理部门、网络安全监管部门开展监督检查的核心依据。

第三，密评机构，指取得国家密码管理局颁发的商用密码应用安全性评估资质证书，配备不少于8名持有效密评测评师资格证人员，具备固定办公场地和专项测评设备的第三方技术服务机构。

第四，密码应用关键环节，指信息系统中涉及用户身份鉴别、重要数据传输加密、重要数据存储加密、操作日志完整性校验、核心操作数字签名的5类核心业务环节，该类环节的密码应用状态直接决定系统整体密码防护能力。

实施的法定依据与适用范围

所有密评实施活动必须严格遵循现行有效法规、标准要求，不得随意调整评估规则，现行有效文件清单具体如下：

《中华人民共和国密码法》，2020年1月1日正式实施；《商用密码管理条例》，国务院令第760号，20