前言：為了這篇博文能夠合規(guī)的發(fā)布，刪減該章節(jié)中法律法規(guī)部分

深化商用密碼管理改革，強(qiáng)化商用密碼自主創(chuàng)新，推進(jìn)商用密碼合規(guī)、正確、有效應(yīng)用，是新時(shí)期商用密碼發(fā)展面臨的重要任務(wù)

密碼是國(guó)家重要戰(zhàn)略資源，是保障網(wǎng)絡(luò)和信息安全的核心技術(shù)和基礎(chǔ)支撐，是保護(hù)國(guó)家安全的戰(zhàn)略性資源

國(guó)際網(wǎng)絡(luò)空間安全形勢(shì)：

1. 網(wǎng)絡(luò)空間安全納入國(guó)家戰(zhàn)略
2. 網(wǎng)絡(luò)攻擊在國(guó)家對(duì)抗中深度應(yīng)用
3. 網(wǎng)絡(luò)攻擊已逐步深入網(wǎng)絡(luò)底層固件

國(guó)內(nèi)網(wǎng)絡(luò)空間安全形勢(shì)：

1. 核心技術(shù)受制于人的局面沒(méi)有的到根本改變
2. 信息產(chǎn)品存在巨大安全隱患
3. 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力仍然薄弱：網(wǎng)絡(luò)安全投入比重低（僅為1%-2%）、防護(hù)方式陳舊

密碼在網(wǎng)絡(luò)空間中的重要作用：

1. 密碼支撐構(gòu)建網(wǎng)絡(luò)空間安全防護(hù)綜合體
2. 密碼助力打造網(wǎng)絡(luò)空間數(shù)據(jù)共享價(jià)值鏈
3. 密碼推動(dòng)形成網(wǎng)絡(luò)空間安全協(xié)同生態(tài)圈
4. 密碼促進(jìn)激發(fā)網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)造力

商用密碼主要用于：保護(hù)不屬于國(guó)家密碼的信息

SM2、SM9數(shù)字簽名算法，SM3密碼雜湊算法，ZUC、SM4對(duì)稱加密算法成為ISO/IEC國(guó)際標(biāo)準(zhǔn)

注：2018年10月ZUC算法、2021年6月29日SM4算法已補(bǔ)篇的形式納入ISO/IEC 18033-4

密碼應(yīng)用問(wèn)題：密碼應(yīng)用不廣泛、不規(guī)范、不安全

商用密碼應(yīng)用安全性評(píng)估是：發(fā)揮密碼作用的必要手段

開展密評(píng)是：應(yīng)對(duì)網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)的迫切需求、系統(tǒng)安全維護(hù)的必然要求、相關(guān)責(zé)任主體的法定職責(zé)

密碼應(yīng)用是否合規(guī)、正確、有效涉及：密碼算法、協(xié)議、產(chǎn)品、技術(shù)體系、密鑰管理、密碼應(yīng)用等六個(gè)方面

網(wǎng)絡(luò)與信息系統(tǒng)安全的前提：密碼安全

在保護(hù)涉及國(guó)家秘密、商業(yè)密碼、個(gè)人隱私等信息的前提下，依法做好商用密碼有關(guān)信用信息的公開工作

商用密碼應(yīng)用安全性評(píng)估體系發(fā)展歷程：

第一階段：制度奠基期（2007年11月至2016年8月）。2007年11月27日，國(guó)家密碼管理局印發(fā)11號(hào)文件《信息安全等級(jí)保護(hù)商用密碼管理辦法》，要求信息安全等級(jí)保護(hù)商用密碼測(cè)評(píng)工作由國(guó)家密碼局指定的測(cè)評(píng)機(jī)構(gòu)承擔(dān)。2009年12月15日，國(guó)家密碼管理局印發(fā)管理辦法實(shí)施意見(jiàn)，進(jìn)一步明確了密碼測(cè)評(píng)有關(guān)要求

第二階段：再次集結(jié)期（2016年9月至2017年4月）。國(guó)家密碼管理局成立起草小組，研究起草《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》。2017年4月22日，正式印發(fā)《關(guān)于開展密碼應(yīng)用安全性評(píng)估試點(diǎn)工作的通知》（國(guó)密局（2017）138號(hào)文），在七省五行業(yè)開展密評(píng)試點(diǎn)

第三階段：體系建設(shè)期（2017年5月至2017年9月）。國(guó)家密碼管理局成立密評(píng)領(lǐng)導(dǎo)小組，研究確定了密評(píng)總體架構(gòu)，并組織有關(guān)單位起草14項(xiàng)制度文件。2017年9月27日，國(guó)家密碼管理局印發(fā)《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法（試行）》《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)能力評(píng)審實(shí)施細(xì)則（試行）》《信息系統(tǒng)密碼應(yīng)用基本要求》（后以密碼行業(yè)標(biāo)準(zhǔn)GM/T 0054形式發(fā)布）和《信息系統(tǒng)密碼測(cè)評(píng)要求（試行）》，密評(píng)制度體系初步建立

第四階段：密評(píng)試點(diǎn)開展期（2017年10月至今）。試點(diǎn)開展過(guò)程同時(shí)也是機(jī)構(gòu)培育過(guò)程，包括機(jī)構(gòu)申報(bào)遴選、考察認(rèn)定、發(fā)布目錄、開展試點(diǎn)測(cè)評(píng)工作并提升測(cè)評(píng)機(jī)構(gòu)能力、總結(jié)試點(diǎn)經(jīng)驗(yàn)、完善相關(guān)規(guī)定。

密評(píng)體系（總體框架）分為兩層共七個(gè)要素：

第一層：支撐層，包括法律法規(guī)制度和支撐平臺(tái)兩個(gè)要素

第二層：實(shí)施層，包括機(jī)構(gòu)、人員、測(cè)評(píng)、報(bào)告、風(fēng)控五個(gè)要素

密評(píng)總體框架：法律法規(guī)制度、支撐平臺(tái)、機(jī)構(gòu)、人員、測(cè)評(píng)、報(bào)告、風(fēng)控

密評(píng)的主要內(nèi)容：商用密碼應(yīng)用合規(guī)性、正確性和有效性評(píng)估

密評(píng)的對(duì)象：采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)

評(píng)估的內(nèi)容包括密碼應(yīng)用安全的三個(gè)方面：合規(guī)性、正確性、有效性

商用密碼應(yīng)用合規(guī)性評(píng)估是指：判斷信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的相關(guān)要求，使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過(guò)國(guó)家密碼管理部門核準(zhǔn)或由具備資格的機(jī)構(gòu)認(rèn)證合格

商用密碼應(yīng)該正確性評(píng)估是指：判斷密碼算法、密碼協(xié)議、密碼管理、密碼產(chǎn)品和服務(wù)使用是否正確，即系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的密碼國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)，自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)是否正確，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確

商用密碼應(yīng)用有效性評(píng)估是指：判斷信息系統(tǒng)中實(shí)現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運(yùn)行過(guò)程中發(fā)揮了實(shí)際效用，是否滿足了信息系統(tǒng)的安全需求，是否切實(shí)解決了信息系統(tǒng)面臨的安全問(wèn)題

國(guó)家密碼管理局制發(fā)《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》的目標(biāo)：明確國(guó)家和?。ú浚┟艽a管理部門在密碼應(yīng)用安全性評(píng)估中的指導(dǎo)、監(jiān)督和檢查職責(zé)；明確重要信息系統(tǒng)的建設(shè)、使用、管理單位在測(cè)評(píng)工作中的主體責(zé)任；依法培育測(cè)評(píng)機(jī)構(gòu)，規(guī)范評(píng)估行為，以評(píng)促改、以評(píng)促用，形成規(guī)范有序的密碼應(yīng)用安全性評(píng)估審查機(jī)制，并與網(wǎng)絡(luò)安全等級(jí)等已有制度做好銜接

規(guī)劃階段的產(chǎn)品主要內(nèi)容：對(duì)密碼應(yīng)用方案進(jìn)行審查

建設(shè)和運(yùn)行階段的密評(píng)主要內(nèi)容：對(duì)照密碼應(yīng)用方案對(duì)系統(tǒng)的安全性開展評(píng)估

測(cè)評(píng)機(jī)構(gòu)完成密評(píng)工作后，應(yīng)在30個(gè)工作日內(nèi)將評(píng)估結(jié)果報(bào)國(guó)家密碼管理部門備案

責(zé)任單位完成規(guī)劃、建設(shè)、運(yùn)行、應(yīng)急評(píng)估，應(yīng)在30個(gè)工作日內(nèi)將評(píng)估結(jié)果報(bào)主管部門及所有地區(qū)（部門）密碼應(yīng)用部門備案

網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，評(píng)估結(jié)果應(yīng)同時(shí)報(bào)在地區(qū)公安部門備案

《商用密碼應(yīng)用安全性評(píng)估管理辦法》密評(píng)對(duì)象范圍包括：基礎(chǔ)信息網(wǎng)絡(luò)、設(shè)計(jì)國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)

測(cè)評(píng)機(jī)構(gòu)遴選的基本原則：依法合規(guī)、公正公開、客觀獨(dú)立

測(cè)評(píng)機(jī)構(gòu)的監(jiān)管主體：國(guó)家密碼管理局根據(jù)各省部密碼管理部門的推薦，負(fù)責(zé)測(cè)評(píng)機(jī)構(gòu)的受理、能力評(píng)審和監(jiān)督檢查等

測(cè)評(píng)機(jī)構(gòu)的基本條件：

• 中華人民共和國(guó)境內(nèi)注冊(cè)，由國(guó)家投資、法人投資或公民投資成立的企事業(yè)單位；要求產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金500萬(wàn)元以上；
• 成立年限在2年以上，從事信息系統(tǒng)安全相關(guān)工作1年以上，無(wú)違法記錄；
• 具備與從事系統(tǒng)測(cè)評(píng)相適應(yīng)的獨(dú)立、集中、可控的工作環(huán)境，測(cè)評(píng)工作場(chǎng)地應(yīng)不小于200平米
• 具備必要的檢測(cè)設(shè)施、設(shè)備，商用的設(shè)施設(shè)備應(yīng)滿足實(shí)施測(cè)評(píng)工作的要求
• 具備完善的人員結(jié)構(gòu)，包括幻夜技術(shù)人員和管理人員，通過(guò)“密碼應(yīng)用安全性評(píng)估人員考核”的人數(shù)不少于10人
• 具備完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理、培訓(xùn)教育、客戶管理和投訴處理等規(guī)章制度

具體要求如下：

1. 安全保密管理規(guī)定應(yīng)當(dāng)設(shè)計(jì)測(cè)評(píng)活動(dòng)的安全進(jìn)行、客戶和國(guó)家密碼的保守、客戶所有權(quán)信息的保護(hù)、專用測(cè)評(píng)工具的安全保管等問(wèn)題
2. 項(xiàng)目管理規(guī)定應(yīng)當(dāng)涉及測(cè)評(píng)項(xiàng)目實(shí)施的全生命周期，從項(xiàng)目立項(xiàng)到結(jié)束，以保證測(cè)評(píng)結(jié)果的公正性和準(zhǔn)確性
3. 質(zhì)量管理規(guī)定應(yīng)當(dāng)涉及影響測(cè)評(píng)質(zhì)量“人機(jī)料法環(huán)”（人員、機(jī)器、原料、方法、環(huán)境）的各個(gè)方面
4. 人員管理規(guī)定應(yīng)當(dāng)涉及關(guān)鍵管理人員和測(cè)評(píng)人員的考核、授權(quán)和上崗等要求
5. 培訓(xùn)教育管理規(guī)定應(yīng)當(dāng)涉及培訓(xùn)計(jì)劃的制定、培訓(xùn)過(guò)程的記錄、培訓(xùn)結(jié)果的評(píng)估等內(nèi)容，以保證人員具有合格和持續(xù)的測(cè)評(píng)能力
6. 客戶管理規(guī)定應(yīng)當(dāng)涉及客戶需求的滿足、客戶滿意度的調(diào)查、客戶意見(jiàn)的采納和反饋等內(nèi)容
7. 投訴處理管理規(guī)定應(yīng)當(dāng)描述對(duì)客戶投訴的處理過(guò)程，以及處理結(jié)果對(duì)測(cè)評(píng)機(jī)構(gòu)質(zhì)量管理體系的改進(jìn)作用，其中投訴包括客戶的直接投訴和由密碼管理部門轉(zhuǎn)達(dá)的客戶投訴
8. 排他要求：本單位及直接控股的母公司或子公司不得從事商品密碼產(chǎn)品生產(chǎn)、銷售、集成以及運(yùn)營(yíng)等可能影響結(jié)果公正性的活動(dòng)（測(cè)評(píng)工具類除外）
9. 法律法規(guī)要求的其他條件

測(cè)評(píng)機(jī)構(gòu)的設(shè)施環(huán)境以及人員是保證測(cè)評(píng)質(zhì)量的重要基礎(chǔ)

申請(qǐng)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交的材料：

1. 《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表》
2. 從事與商用密碼相關(guān)工作情況的說(shuō)明
3. 開展測(cè)評(píng)工作所需的軟硬件及其他服務(wù)保障設(shè)施配置情況
4. 管理制度建設(shè)情況（需要提供相關(guān)制度的文本文件）
5. 申請(qǐng)單位及其測(cè)評(píng)人員基本情況（需要提供人員的基本信息）
6. 申請(qǐng)單位認(rèn)為有必要提交的其他材料

主要負(fù)責(zé)人包括：測(cè)評(píng)機(jī)構(gòu)的質(zhì)量負(fù)責(zé)人，以及負(fù)責(zé)密碼應(yīng)用安全性評(píng)估領(lǐng)域的技術(shù)負(fù)責(zé)人

測(cè)評(píng)機(jī)構(gòu)下列事項(xiàng)發(fā)生變更時(shí)，應(yīng)在10個(gè)工作日內(nèi)向國(guó)家密碼管理局報(bào)告：

1. 測(cè)評(píng)機(jī)構(gòu)名稱、地址、主要負(fù)責(zé)人發(fā)生變更的
2. 測(cè)評(píng)機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的
3. 其他重大事項(xiàng)發(fā)生變更的

測(cè)評(píng)機(jī)構(gòu)的法律責(zé)任：

1. 未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)或未按規(guī)定出具測(cè)評(píng)報(bào)告的
2. 嚴(yán)重妨礙被測(cè)評(píng)測(cè)評(píng)系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的
3. 未妥善保管、非授權(quán)占有或使用密碼應(yīng)用安全性評(píng)估相關(guān)資料及數(shù)據(jù)文件的
4. 分包或轉(zhuǎn)包測(cè)評(píng)項(xiàng)目，以及有其他擾亂測(cè)評(píng)市場(chǎng)秩序行為的
5. 限定被測(cè)評(píng)單位購(gòu)買、使用指定信息安全和密碼相關(guān)產(chǎn)品的
6. 產(chǎn)品人員未通過(guò)培訓(xùn)考核，但從事密碼應(yīng)用安全性評(píng)估工作的
7. 未按本辦法規(guī)定提交材料、報(bào)告情況或弄虛作假的
8. 其他違法密碼應(yīng)用安全性評(píng)估工作有關(guān)規(guī)定的行為

測(cè)評(píng)機(jī)構(gòu)由下列情形之一的，國(guó)家密碼管理局應(yīng)取消起商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)試點(diǎn)資格：

1. 因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)基本要求條件的
2. 故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的
3. 故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假未如實(shí)出具測(cè)評(píng)報(bào)告的
4. 自愿退出測(cè)評(píng)機(jī)構(gòu)目錄的

測(cè)評(píng)人員有下列行為之一的，責(zé)令測(cè)評(píng)機(jī)構(gòu)督促其限期修改；情節(jié)嚴(yán)重的，責(zé)令測(cè)評(píng)機(jī)構(gòu)暫停其參與 測(cè)評(píng)工作；情形特別嚴(yán)重的，從密碼應(yīng)用安全性測(cè)評(píng)人員名單中移除，并對(duì)其所在測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)：

1. 未經(jīng)允許擅自使用或泄露、出售密碼應(yīng)用安全性評(píng)估工作中收集的數(shù)據(jù)信息、資料或測(cè)評(píng)報(bào)告
2. 測(cè)評(píng)行為失誤或不當(dāng)，影響重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)安全或造成運(yùn)營(yíng)使用單位利益損失的
3. 其他違法密碼應(yīng)用安全性評(píng)估工作有關(guān)規(guī)定的行為

商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)申請(qǐng)單位能力評(píng)審原則：公平、公正、獨(dú)立、客觀

人員要求：

1. 測(cè)評(píng)機(jī)構(gòu)應(yīng)配置測(cè)評(píng)技術(shù)負(fù)責(zé)人與質(zhì)量負(fù)責(zé)人各1人，應(yīng)熟悉信息系統(tǒng)密碼應(yīng)用安全性測(cè)評(píng)業(yè)務(wù)，從事商用密碼或質(zhì)量管理相關(guān)工作5年以上
2. 測(cè)評(píng)人員應(yīng)為簽訂正式合同的員工，具有本科及以上學(xué)歷和密碼相關(guān)經(jīng)驗(yàn)，且通過(guò)“密碼應(yīng)用安全性測(cè)評(píng)人員考核”的測(cè)評(píng)人員不少于10人
3. 測(cè)評(píng)人員的審核以通過(guò)培訓(xùn)考核的測(cè)評(píng)人員名單為依據(jù)

測(cè)評(píng)實(shí)驗(yàn)室環(huán)境條件是正確進(jìn)行測(cè)評(píng)工作的重要保證，是確保測(cè)評(píng)結(jié)果準(zhǔn)確性和有效性的重要因素

密碼工作人員離崗離職實(shí)行脫密期管理

密碼工作人員上崗應(yīng)當(dāng)：

• 經(jīng)過(guò)密碼教育培訓(xùn)
• 掌握密碼知識(shí)技能
• 簽訂保密承諾書
• 嚴(yán)格遵循密碼管理規(guī)章制度

儀器設(shè)備條件要求：

1. 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備符合相關(guān)要求的機(jī)房及必要的軟硬件設(shè)備
2. 測(cè)評(píng)機(jī)構(gòu)應(yīng)具有完備的設(shè)備和工具管理制度
3. 儀器設(shè)備具有完整的操作、維護(hù)規(guī)程，儀器設(shè)備使用說(shuō)明書、校準(zhǔn)報(bào)告、使用記錄、定期維護(hù)核準(zhǔn)核查制度和記錄、存放地點(diǎn)和保管人等信息規(guī)范完整

測(cè)評(píng)實(shí)施能力要求：

1. 測(cè)評(píng)機(jī)構(gòu)應(yīng)具有把握國(guó)家密碼政策，理解和掌握相關(guān)技術(shù)標(biāo)準(zhǔn)，熟悉測(cè)評(píng)方法、流程和工作規(guī)范等方面知識(shí)及能力的測(cè)評(píng)人員。
2. 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備密碼應(yīng)用安全性技術(shù)測(cè)評(píng)實(shí)施能力
3. 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備密碼應(yīng)用安全性管理測(cè)評(píng)實(shí)施能力
4. 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備系統(tǒng)整體測(cè)評(píng)能力
5. 測(cè)評(píng)機(jī)構(gòu)宜具備搭建密碼應(yīng)用模擬系統(tǒng)的能力
6. 依據(jù)測(cè)評(píng)工作流程，有計(jì)劃有步驟地開展測(cè)評(píng)工作，并保證測(cè)評(píng)活動(dòng)的每個(gè)環(huán)節(jié)都得到有效控制，主要包括四個(gè)階段：a)測(cè)評(píng)準(zhǔn)備階段  b)方案編制階段  c)現(xiàn)場(chǎng)測(cè)評(píng)階段  d)報(bào)告編制階段

質(zhì)量管理能力要求五要素：

1. 建立質(zhì)量管理體系，指定相應(yīng)的質(zhì)量目標(biāo)，指定質(zhì)量主管，明確其管理職責(zé)
2. 感覺(jué)國(guó)家有關(guān)密碼規(guī)定指定保密管理制度，明確保密范圍、保密職責(zé)及有關(guān)罰則等內(nèi)容，定期對(duì)工作人員進(jìn)行保密教育，防止泄露國(guó)家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等事件，簽訂《保密責(zé)任書》，規(guī)定其應(yīng)當(dāng)履行的安全保護(hù)義務(wù)和承擔(dān)的法律責(zé)任
3. 依據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)制定測(cè)評(píng)項(xiàng)目管理程序，主要包括從工作的組織形式、工作職責(zé)，測(cè)評(píng)各階段的工作內(nèi)容和管理要求
4. 保證管理體系的有效運(yùn)行，持續(xù)改進(jìn)自身的測(cè)評(píng)質(zhì)量和管理水平，發(fā)現(xiàn)問(wèn)題及時(shí)反饋并采取糾正措施，確保其有效性
5. 指定投訴及爭(zhēng)議處理制度，嚴(yán)格遵守制度并應(yīng)記錄采取的措施

測(cè)評(píng)過(guò)程可能給被測(cè)系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)：

1. 由于自身能力或資源不足造成的風(fēng)險(xiǎn)
2. 測(cè)評(píng)驗(yàn)證活動(dòng)可能對(duì)被測(cè)系統(tǒng)正常運(yùn)行造成影響的風(fēng)險(xiǎn)
3. 測(cè)評(píng)設(shè)備和工具接入可能對(duì)被測(cè)系統(tǒng)正常運(yùn)行造成影響的風(fēng)險(xiǎn)
4. 測(cè)評(píng)活動(dòng)殘留數(shù)據(jù)的保護(hù)和清理
5. 測(cè)評(píng)過(guò)程中可能發(fā)生的被測(cè)系統(tǒng)重要信息（如網(wǎng)絡(luò)拓?fù)洹?strong>IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔等）泄露的風(fēng)險(xiǎn)

國(guó)家密碼管理部門依據(jù)有關(guān)規(guī)定，對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督檢查，檢查內(nèi)容主要包括兩方面：

1. 對(duì)測(cè)評(píng)機(jī)構(gòu)出具的測(cè)評(píng)結(jié)果的客觀、公允和真實(shí)性進(jìn)行評(píng)判
2. 對(duì)測(cè)評(píng)機(jī)構(gòu)開展評(píng)估工作的客觀、規(guī)范和獨(dú)立性進(jìn)行檢查

商用密碼領(lǐng)域的行業(yè)協(xié)會(huì)等組織按照法律、行政法規(guī)極其章程的規(guī)定，為商用密碼從業(yè)單位提供信息、技術(shù)、培訓(xùn)等服務(wù)，引導(dǎo)和督促商用密碼從業(yè)單位依法開展商用密碼活動(dòng)，加強(qiáng)行業(yè)自律，推動(dòng)行業(yè)誠(chéng)信建設(shè)，促進(jìn)行業(yè)健康發(fā)展。

密碼行業(yè)標(biāo)準(zhǔn)化委員會(huì)負(fù)責(zé)密碼技術(shù)、產(chǎn)品、系統(tǒng)、管理等方面的標(biāo)準(zhǔn)化工作

商用密碼行業(yè)自律的主要內(nèi)容包括：

1. 規(guī)范商用密碼市場(chǎng)秩序
2. 大力推動(dòng)行業(yè)誠(chéng)信建設(shè)
3. 制定并組織實(shí)施行業(yè)職業(yè)道德準(zhǔn)則
4. 協(xié)調(diào)會(huì)員關(guān)系

各級(jí)人民政府及其有關(guān)部門應(yīng)當(dāng)遵循非歧視原則，依法平等對(duì)待包括外商投資企業(yè)在內(nèi)的商用密碼科研、生產(chǎn)、銷售、服務(wù)、進(jìn)出口等單位

國(guó)家鼓勵(lì)在外商投資過(guò)程中基于自愿原則和商業(yè)規(guī)則開展商用密碼技術(shù)合作。行政機(jī)關(guān)及其工作人員不得利用行政手段強(qiáng)制轉(zhuǎn)讓商用密碼技術(shù)。

密碼管理部門根據(jù)工作需要會(huì)同有關(guān)部門建立核心密碼、普通密碼的安全監(jiān)測(cè)預(yù)警、安全風(fēng)險(xiǎn)評(píng)估、信息通報(bào)、重大事項(xiàng)會(huì)商和應(yīng)急處置等協(xié)作機(jī)制，確保核心密碼、普通密碼安全管理的協(xié)同聯(lián)動(dòng)和有序高效。

密碼管理部門和有關(guān)部門、單位的工作人員在密碼工作中濫用職權(quán)、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密和個(gè)人隱私的，依法給予處分。

本章完