当前,我国网络安全形势异常严峻,重要网络和信息系统的安全现状很不理想。密码技术是目前世界上公认的、保障网络与信息安全最有效、最可靠、最经济的关键核心技术,与核技术、航天技术并称为国家安全的三大支撑技术,是维护网络安全的核心技术和基础支撑,是保护国家安全的战略资源。
在采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性和有效性等进行安全性评估能解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,是新时期商用密码发展的重中之重,既是党中央做出的重要战略部署,也是顺应全球信息化发展趋势,维护国家网络和信息安全的必然过程。
《商用密码应用安全性评估管理办法(试行)》
GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》
GM/T 0116—2021《信息系统密码应用测评过程指南》
基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
商用密码应用安全性评估主要从从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面八个方面进行评估。