商用密码应用安全性评估

1．业务介绍

依据《中华人民共和国密码法》，按照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》等系列标准，开展信息系统商用密码应用安全性评估工作，对其密码应用的合规性、正确性和有效性开展安全性评估，出具《密码应用安全性评估报告》，为密码管理相关部门提供监督、检查依据。

2.服务内容

整体上按照不同的密码应用级别，按照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》等系列标准，针对每个级别分别提出技术要求和管理要求，随着级别的提升，对密码应用的要求程度越来越强。从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出技术要求、从管理制度、人员管理、建设运行和应急处置四个方面提出管理要求，而各个级别、各个层面均需要共同遵循标准第5章所提出的通用要求。依据《商用密码应用安全性评估量化评估规则》，对测评对象、测评单元和测评层面进行定量分析和统计，依据《信息系统密码应用高风险判定指引》进行风险分析，从而得到最终的整体测评结果。

3.服务流程

项目建设单位应当落实密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估，主要流程有：

规划阶段（商用密码应用现状及需求分析、密码应用方案设计、密码应用方案评估）、改造建设阶段（建设实施、安全评估、）、运行阶段（安全评估、修订方案）。

4.典型案例

上海市XC工程项目验收、各委办局政务信息系统、中信证券、国泰君安证券、海通证券、光大证券、中信期货、国泰君安期货、兴证期货、招商基金、汇添富基金、广发基金等。