等保2.0需了解的问题（2）

1.什么是商密？

答：商用密码用于保护不属于国家秘密的信息。也就是说，商用密码可以用于保护除国家秘密之外的所有信息，既可以保护企业商业秘密、公民个人隐私，也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称，1996年，中央决定在我国大力发展商用密码，加强对商用密码的管理。1999年，国务院颁布施行《商用密码管理条例》（国务院令第273号），商用密码的名称开始为社会所熟知和广泛使用。此后，中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。

2.什么是商用密码安全性评估？

答：商用密码应用安全性评估（简称“密评”），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

3.不做密评或测试结果不合格有什么影响？

答：《密码法》第三十七条第一款

关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《国家政务信息化项目建设管理办法》第二十八条第三款

对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

《商用密码应用安全性评估管理办法（试行）》第二章第十条

关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

4.“商用密码评估”和“等保”究竟有着什么样的关系呢？

答：在网络安全等级保护规划、建设、运行阶段开展密码应用安全性评估;

《商用密码应用安全性评估管理办法（试行）》明确等保三级及以上系统，应当通过密码测评后方可投入运行;等保三级以上网络每年进行一次密评，且测评结果需报主管部门、密码管理部门及公安部门备案;

《网络安全等级保护条例》中保留了密码专章在统一标准体系的基础上台并开展;

《网络安全等级保护基本要求》明确各级系统在哪些环节使用密码;《网络安全等级保护测评要求》将密码测评结果列为等保测评通过的必要条件。