什么是密评？密评如何评分？哪些企业单位需要过密评

什么是密评？

“密评”全称“密码应用安全性评估”，是指在采用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

为什么要做密评？

国家法律法规的强制要求。开展密评，是国家相关法律法规提出的明确要求，是网络安全运营者的法定责任和义务。

• 《中华人民共和国密码法》第二十七条：法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施，其运营者应当使用密码进行保护，自行或者委托密码检测机构开展密码应用安全性评估。
•  
• 《商用密码应用安全性评估管理办法(试行)》第十条：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。
•  
• 《网络安全等级保护条例（征求意见稿）》第四十七条：第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。
•  
• 《国家政务信息化项目建设管理办法》第十五条：项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。第二十五条：项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。

相关标准和评估规则

GB/T AAAAA《信息安全技术 信息系统密码应用基本要求》

GM/T BBBB《信息系统密码应用测评要求》

商用密码应用安全性评估量化评估规则

信息系统密码应用基本要求

• 技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成，它沿用了等保0标准中的四层结构，对“物理和环境安全”、“网络和通信安全”、“设备和计算安全”、“应用和数据安全”四个层面来提出信息系统中应该如何使用密码作出要求。
•  
• 管理要求由管理制度、人员管理、建设运行、应急处置等四个密码应用管理维度构成

密码应用安全性评估量化评估规则

量化评估框架参考 GM/T BBBB，本规则从三个方面进行量化评估：

• 密码使用安全是指，密码技术是否被正确、有效使用，以满足信息系统的安全需求，有效提供机密性、完整性、真实性和不可否认性的保护；
•  
• 密钥管理安全是指，密钥管理的全生命周期是否安全，用于密码计或密钥管理的密码产品/密码服务是否安全。
•  
• 密码算法/技术安全是指，信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或经国家密码管理部门核准。

量化规则