商用密码应用安全性评估,简称“密评” ,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。《中华人民共和国密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。
密评的内容包括密码应用安全的三个方面:合规性、正确性和有效性。
1.商用密码应用合规性评估
商用密码应用合规性评估是指判定信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
2.商用密码应用正确性评估
商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。
3.商用密码应用有效性评估
商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。