密码测评整改综合解决方案

方案背景

一、密评定义

商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。我国颁布《中华人民共和国网络安全法》、《中华人民共和国密码法》对密码应用安全性评估提出明确要求，密码应用和密码测评已成为法定责任和义务。

二、密评的必要性

1、应对网络安全严峻形势的迫切需求。

2、系统安全维护的必然要求。

3、相关责任主体的法定职责。

三、政策要求

1、《密码法》第二十七条第一款：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

2、《密码法》第三十七条第一款：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

3、《国家安全法》第二十五条：国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。

系统评估

◇ 新建类业务系统评估阶段

◇ 已建类业务系统评估阶段

主要整改内容

实施流程