谢宗晓　董坤祥　甄杰

1 概述

商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准

检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。一般而言，要求类标准是其中最基础的。GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

其他标准均在开发中。此外，中国密码学会密评联委会发布了《密码系统密码应用高风险判定指南》《商用密码应用安全性评估量化评估规则》和《商用密码安全性评估报告模板（2021版）》等指导性文件。

3 与等级保护标准体系对比

《中华人民共和国密码法》第二十七条指出：商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。因此，等级保护与密评有天然的一致性。考虑到ISO/IEC 27000标准族作为最典型的信息安全领域内检测认证标准族，表1中对这三个标准族进行了对比。

4 行业标准研发要求

等级保护经过20多年的发展，已经形成了完整的标准体系，在各个行业中也都有更细致的要求或指南，这也是密评标准族后续发展的趋势。以金融行业等级保护标准为例，即可以看出金融行业密评标准的研发要求。

目前，金融领域发布了JR/T 0071—2020《金融行业网络安全等级保护实施指引》，分为6个部分，发布于2020年11月11日，自2020年11月11日起实施。之前发布有JR/T 0071—2012《金融行业信息系统信息安全等级保护实施指引》。JR/T 0071—2020的6部分，总标题为金融行业网络安全等级保护实施指引2）。具体如表2所示。

JR/T 0071的6个部分，不仅包括了基本要求，也包括了岗位能力要求、评价和培训，审计要求和指引的内容。JR/T 0071.1—2020定义了22个相关词汇，并介绍了金融行业网络安全等级保护政策体系和技术标准体系。技术标准体系介绍的比较细致，对现有的标准进行了分类，并按照流程进行了对应。标准分类及其映射关系，如表3所示。

JR/T 0071.2—2020在GB/T 22239—2019的基础上，增加了“金融行业增强性安全要求（F类）”，F2表示二级增强性安全要求，F3表示三级增强性安全要求，F4表示四级增强性安全要求。JR/T 0071.2—2020在金融行业网络安全等级保护中是基础标准。本部分一共109页，篇幅比较长。JR/T 0071.3—2020按照相关标准的要求，给出了一个网络安全管理组织架构，并对其中角色的职责和能力要求进行了讨论。推荐的网络安全管理组织架构，如图2所示。

JR/T 0071.4—2020给出了网络安全培训的培训目标、培训原则、培训计划、培训对象、培训内容要求、培训实施、培训考核和培训档案管理等内容。JR/T 0071.5—2020所讨论的“审计”和“测评”不是一个概念，其目标是在整个网络安全等级保护过程中，即定级、备案、建设整改、测评自查和安全检查，各项工作中是否遵循了网络安全等级保护的要求。也就是说，本标准中的审计是对整个过程合规性的评审，而测评则是针对具体的控制措施符合性评审。JR/T 0071.6—2020对金融机构网络安全等级保护工作的实施给出了指导，这个过程与信息安全管理体系（ISMS）的审核有相似之处。

对于测评，有JR/T 0072—2020《金融行业网络安全等级保护测评指南》和JR/T 0073—2012《金融行业信息安全等级保护测评服务安全指引》。JR/T 0072—2020发布于2020年11月11日，自2020年11月11日起实施。之前发布了JR/T 0072—2012《金融行业信息系统信息安全等级保护测评指南》。金融行业网络安全等级保护测评流程与其他行业是一致的，因此直接引用GB/T 28449—2018。具体测评项覆盖了JR/T 0071.2—2020的所有要求。在实施过程中，尤其要注意金融行业增强安全保护类（F类）的要求。JR/T 0073—2012明确了等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。

此外，中国证券监督管理委员会还发布了JR/T 0060—2021《证券期货业网络安全等级保护基本要求》和JR/T 0067—2021《证券期货业网络安全等级保护测评要求》。

5 小结

随着《中华人民共和国网络安全法》《中华人民共和国密码法》和《关键信息基础设施安全保护条例》等法律法规的发布和实施，商用密码应用安全性评估、网絡安全等级保护和关键信息基础设施保护已经成为网络运营者不可推卸的责任和义务，这三者相互补充，相互依赖，缺一不可，是保障网络安全乃至国家安全的重要基础。

1） 例如，《市场监管总局 国际密码管理局 关于开展商用密码检测认证工作的实施意见》。

2） 指引，英文用的guide。JR/T 0072—2020 《金融行业网络安全等级保护测评指南》，“指南”英文用的guidelines。

3） 标识“*”的，在JR/T 0071.1—2020中有。

4） 本列在JR/T 0071.1—2020中没有。

5）  见JR/T 0071.3—2020中“3 网络安全管理组织架构”。A60A2275-85B6-459C-8D48-24BB1D4592E0