《中华人民共和国密码法》要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估，按照国家安全审查的要求 对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查 ”。

《信息安全等级保护商用密码管理办法》规定：“国家密码管理局和省、自治区、直辖市密码管理机构 对第三级及以上信息系统使用商用密码的情况进行检查 ”。

在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“ 第三级及以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行 ”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。

此外，在新版《网络安全等级保护条例》明确要求 在规划、建设、运行阶段开展密码应用安全性评估 。”。

为规范商用密码应用安全性评估工作，国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定，对测评机构、网络运营者、管理部分三类对象提出了要求，对评估程序、评估方法、监督管理等进行了明确。同时，组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准，及《商用密码应用安全性评估测评过程指南（试行）》、《商用密码应用安全性评估测评作业指导书（试行）》等指导性文件，指导测评机构规范有序开展评估工作。

项目实施依据和执行标准应执行最新版国家标准（GB）和行业标准。 以下是方案实施依据：

《中华人民共和国密码法》

《中华人民共和国网络安全法》

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令）

《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）

《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）

《信息系统密码应用测评要求》

《信息系统密码应用测评过程指南》

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

《政务信息系统密码应用与安全性评估工作指南》

《商用密码应用安全性评估测评实施指引》

《商用密码应用安全性评估测评工具指引》

《信息安全技术信息安全风险评估方法》（GB/T 20984-2022）

《信息安全技术网络数据处理安全要求》（GB/T 41479-2022）

《信息安全技术政务网站系统安全指南》（GB/T 31506-2022）

来源：网络安全和等保测评

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。