文档介绍：该【2025年商用密码应用安全性评估及其相关标准 】是由【小屁孩】上传分享，文档一共【7】页，该文档可以免费在线阅读，需要了解更多关于【2025年商用密码应用安全性评估及其相关标准 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。 : .
君子忧道不忧贫。——孔丘
商用密码应用安全性评估及其相关标准

作者：谢宗晓 董坤祥 甄杰
··············2025 年第 02期
: .
为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载
: .
去留无意，闲看庭前花开花落；宠辱不惊，漫随天外云卷云舒。——《幽窗小记》

: .
百川东到海，何时复西归?少壮不努力，老大徒伤悲。——汉乐府

1 概述
商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集
成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。这是继网络
安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为 “评
估”还是 “测评 ”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关
公文 1）中得到验证。
和等级保护一样，密评也有法律依据。《中华人民共和国网络安全法》第二十一条明确指
出：国家实行网络安全等级保护制度。《中华人民共和国密码法》的第二十七条规定如下：法
律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当
使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2 密评相关标准
检测认证的标准体系与 ISO/IEC 27000 标准族的设计基本都是一致的，其来源为 ISO 9000
标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等 : .
去留无意，闲看庭前花开花落；宠辱不惊，漫随天外云卷云舒。——《幽窗小记》
指南、机构要求（可能包括人员要求）类的认可标准。例如，国家标准中的网络安全等级保护
系列标准架构主要包括： GB/T 22240 、GB/T 22239 、GB/T 25058 、GB/T 25070 、GB/T 28448
和 GB/T 28449 等。其关系大致如图 1 所示。
密评标准体系的设计大致也遵循了这样的架构。一般而言，要求类标准是其中最基础的。
GB/T 39786 —2021 《信息安全技术 信息系统密码应用基本要求》是密评体系中的要求类标
准，其前身为 GM/T 0054 —2018，该标准沿用了 GB/T 22239 —2019 《信息安全技术 网络安全
等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。 GM/T 0115 —
2021 《信息系统密码应用测评要求》和 GM/T 0116 —2021《信息系统密码应用测评过程指南》
则是针对测评的相关标准。
其他标准均在开发中。此外，中国密码学会密评联委会发布了《密码系统密码应用高风险
判定指南》《商用密码应用安全性评估量化评估规则》和《商用密码安全性评估报告模板
（2021 版）》等指导性文件。
3 与等级保护标准体系对比
《中华人民共和国密码法》第二十七条指出：商用密码应用安全性评估应当与关键信息基
础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。因此，等级保护
与密评有天然的一致性。考虑到 ISO/IEC 27000 标准族作为最典型的信息安全领域内检测认证
标准族，表 1 中对这三个标准族进行了对比。
4 行业标准研发要求
等级保护经过 20 多年的发展，已经形成了完整的标准体系，在各个行业中也都有更细致
的要求或指南，这也是密评标准族后续发展的趋势。以金融行业等级保护标准为例，即可以看
出金融行业密评标准的研发要求。
目前，金融领域发布了 JR/T 0071—2020 《金融行业网络安全等级保护实施指引》，分为
6 个部分，发布于 2020 年 11 月 11 日，自 2020 年 11 月 11 日起实施。之前发布有 JR/T 0071—
2012《金融行业信息系统信息安全等级保护实施指引》。 JR/T 0071—2020 的 6 部分，总标题
为金融行业网络安全等级保护实施指引 2）。具体如表 2 所示。
JR/T 0071的 6 个部分，不仅包括了基本要求，也包括了岗位能力要求、评价和培训，审
计要求和指引的内容。 JR/T —2020 定义了 22 个相关词汇，并介绍了金融行业网络安全
等级保护政策体系和技术标准体系。技术标准體系介绍的比较细致，对现有的标准进行了分
类，并按照流程进行了对应。标准分类及其映射关系，如表 3 所示。 : .
以铜为镜，可以正衣冠；以古为镜，可以知兴替；以人为镜，可以明得失。——《旧唐书·魏征列传》
JR/T —2020 在 GB/T 22239 —2019 的基础上，增加了 “金融行业增强性安全要求（ F
类）”，F2 表示二级增强性安全要求， F3 表示三级增强性安全要求， F4 表示四级增强性安全
要求。JR/T —2020 在金融行业网络安全等级保护中是基础标准。本部分一共 109 页，篇
幅比较长。 JR/T —2020 按照相关标准的要求，给出了一个网络安全管理组织架构，并
对其中角色的职责和能力要求进行了讨论。推荐的网络安全管理组织架构，如图 2 所示。
JR/T —2020 给出了网络安全培训的培训目标、培训原则、培训计划、培训对象、
培训内容要求、培训实施、培训考核和培训档案管理等内容。 JR/T —2020 所讨论的 “审
计”和“测评”不是一个概念，其目标是在整个网络安全等级保护过程中，即定级、备案、建设
整改、测评自查和安全检查，各项工作中是否遵循了网络安全等级保护的要求。也就是说，本
标准中的审计是对整个过程合规性的评审，而测评则是针对具体的控制措施符合性评审。JR/T
—2020 对金融机构网络安全等级保护工作的实施给出了指导，这个过程与信息安全管理
体系（ISMS ）的审核有相似之处。
对于测评，有 JR/T 0072—2020 《金融行业网络安全等级保护测评指南》和 JR/T 0073—
2012《金融行业信息安全等级保护测评服务安全指引》。JR/T 0072—2020 发布于 2020 年 11
月 11 日，自 2020 年 11 月 11 日起实施。之前发布了 JR/T 0072—2012《金融行业信息系统信
息安全等级保护测评指南》。金融行业网络安全等级保护测评流程与其他行业是一致的，因此
直接引用 GB/T 28449 —2018 。具体测评项覆盖了 JR/T —2020 的所有要求。在实施过程
中，尤其要注意金融行业增强安全保护类（ F 类）的要求。 JR/T 0073—2012 明确了等级保护
测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
此外，中国证券监督管理委员会还发布了 JR/T 0060 —2021 《证券期货业网络安全等级保
护基本要求》和 JR/T 0067 —2021 《证券期货业网络安全等级保护测评要求》。
5 小结
随着《中华人民共和国网络安全法》《中华人民共和国密码法》和《关键信息基础设施安
全保护条例》等法律法规的发布和实施，商用密码应用安全性评估、网络安全等级保护和关键
信息基础设施保护已经成为网络运营者不可推卸的责任和义务，这三者相互补充，相互依赖，
缺一不可，是保障网络安全乃至国家安全的重要基础。
1） 例如，《市场监管总局 国际密码管理局 关于开展商用密码检测认证工作的实施意
见》。
2） 指引，英文用的 guide。JR/T 0072—2020 《金融行业网络安全等级保护测评指南》，
“指南”英文用的 guidelines。
3） 标识 “*”的，在 JR/T —2020 中有。 : .
海纳百川，有容乃大；壁立千仞，无欲则刚。——林则徐
4） 本列在 JR/T —2020 中没有。
5） 见 JR/T —2020 中“3 网络安全管理组织架构 ”。