商用密码应用安全性评估

商用密码应用安全性评估

国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》正式发布

商用密码检测机构(商用密码应用安全性评估业务)目录

依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

国家密码管理局公告（第49号） 发布日期：2024-11-11

关于公布商用密码应用安全性评估从业人员考核知识点的通知 发布日期：2023-03-10

关于发布商用密码应用安全性评估从业人员考核参考题库的通知 发布日期：2023-06-29

关于做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告

密评从业人员考核知识点如下：

一、考核知识点

1. 密码政策法规（占比 10% ）

党和国家关于密码工作的方针政策（1），密码法律法规与规范性文件（2），涉及密码的网络安全相关法律法规（3），密码应用政策文件（4）。

2. 密码技术基础及相关标准（占比 20% ）

密码学基础知识（5），分组密码（6）、序列密码（7）、杂凑密码（8）、公钥密码（9）、实体鉴别协议（10）、密钥交换协议（11）、安全通信协议（12）、随机数技术（13）、密钥管理技术（14）、抗抵赖技术（15）、PKI技术（16）、身份认证技术（17）等密码相关国家标准和行业标准。

3. 密码产品原理、应用及相关标准（占比 20% ）

密码相关国家标准和行业标准规定的各类密码产品的实现机理、主要功能、使用要求等，包括智能密码钥匙（18）、智能IC卡（19）、POS/ATM密码应用系统（20）、PCI-E/PCI密码卡（21）、IPSec VPN网关（22）、SSL VPN网关（23）、安全认证网关（24）、密码键盘（25）、金融数据密码机（26）、服务器密码机（27）、签名验签服务器（28）、时间戳服务器（29）、安全门禁系统（30）、动态令牌/动态令牌认证系统（31）、安全电子签章系统（32）、电子文件密码应用系统（33）、可信计算密码支撑平台（34）、证书认证系统/证书认证密钥管理系统（35）、对称密钥管理产品（36）、安全芯片（37）、电子标签芯片（38）、智能IC卡密钥管理系统（39）、云服务器密码机（40）、随机数发生器（41）、可信密码模块（42）、区块链密码模块（43）、安全浏览器密码模块（44）、其他密码模块（45）等28类。

4. 密评理论、技术及相关标准（占比 20% ）

相关国家标准、行业标准、指导性文件规定的密评工作各项基本要求和实施指引，包括密码应用基本要求（46）、密码应用测评要求（47）、测评过程（48）、测评内容（49）、测评对象选取（50）、测评指标选择（51）、测评方法与实施（52）、测评工具使用（53）、量化评估（54）、风险分析（55）、报告编制（56）、测评案例分析（57）、方案密评（58）等。

5. 密码应用与安全性评估实务综合（占比3 0% ）

基于上述基础知识和技能，对密码应用与安全性评估的理解、分析、实践、拓展等综合能力（59）。

二、参考资料

1.《中华人民共和国密码法》

2.《中华人民共和国网络安全法》

3.《商用密码管理条例》

4.《关键信息基础设施安全保护条例》

5.《国家政务信息化项目建设管理办法》

6.《信息安全等级保护管理办法》

7.《商用密码应用安全性评估管理办法（试行）》

8.《商用密码应用安全性测评机构管理办法（试行）》

9.《政务信息系统密码应用与安全性评估工作指南》（2020版）

10.《信息系统密码应用高风险判定指引》

11.《商用密码应用安全性评估量化评估规则》

12.《商用密码应用安全性评估FAQ（第二版）》

13.《商用密码应用安全性评估报告模板（2023版）》

14.GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》

15.GM/Y 5001-2021《密码标准使用指南》（2021版）及其相关密码国家标准和行业标准

16.其他密码相关的正式出版物