1. 国家标准
密评工作主要依据以下国家标准:
- GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》:规定了信息系统从第一级到第四级的密码应用基本要求,是密评最重要的技术标准
- GB/T 37092-2018《信息安全技术 密码模块安全要求》:规定了密码模块的安全要求
2. 行业标准
密评实施过程中参考的密码行业标准:
- GM/T 0115-2021《信息系统密码应用测评要求》:对GB/T 39786-2021的细化和补充,规定了信息系统不同等级密码应用的测评要求
- GM/T 0116-2021《信息系统密码应用测评过程指南》:规定了密评的实施过程
- GM/T 0054-2018《信息系统密码应用基本要求》:等保测评中密码应用的部分参考标准
- GM/T 0133-2024《关键信息基础设施密码应用要求》:2024年12月27日发布,2025年7月1日起实施,专门针对关键信息基础设施的密码应用要求
3. 评估量化规则
密评采取打分制,通过标准为:
- 总分要求:应用技术要求70分 + 安全管理要求30分,总分不低于60分
- 高风险项要求:无高风险项(依据《信息系统密码应用高风险判定指引》)
- 单项要求:各项测评指标需达到基本合规要求
4. 法律法规依据
密评的法律法规依据包括:
- 《中华人民共和国密码法》:2020年1月施行,第二十七条规定了密评的法律要求
- 《商用密码管理条例》:2023年修订,国务院令第760号
- 《关键信息基础设施安全保护条例》:国务院令第745号
- 《关键信息基础设施商用密码使用管理规定》:2025年6月11日发布,2025年8月1日起施行,国家密码管理局、国家互联网信息办公室、公安部令第5号