商用密碼應用安全性評估如何規定

商用密碼應用安全性評估，是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性等進行評估。涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位，應當健全密碼保障體系，實施商用密碼應用安全性評估。

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次，測評機構可將商用密碼應用安全性評估與關鍵信息基礎設施網絡安全測評、網絡安全等級保護測評同步進行。其他信息系統定期開展檢查和抽查。

密評主要包括哪些工作內容：

• 方案評估

  對于新建/改造信息系統，密碼應用建設方案/改造方案，一般由責任單位組織商用密碼從業單位編寫, 包括：《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后，應委托測評機構對方案進行評估。

• 系統評估

  依據GM/T0054-2018《信息系統密碼應用基本要求》等標準，系統評估主要從物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理、安全管理等方面開展。

  測評機構完成系統評估后，出具評估報告。在密評活動結束30個工作日內，將評估結果報密碼管理部門等相關部門備案。

對于新建系統，在規劃階段，網絡運營者（責任單位）應當依據商用密碼應用安全性有關標準, 制定商用密碼應用建設方案, 組織專家或委托測評機構進行評估，評估結果作為項目規劃立項的重要依據和申報使用財政性資金項目的必備材料。

對于已建系統，網絡運營者（責任單位）應委托密評機構開展商用密碼應用安全性評估，根據國家密碼相關法律法規、政策、標準及整改建議制定密碼應用整改（改造）方案，組織專家或委托密評機構對方案進行評審，并根據評審通過整改方案進行整改。

回答所涉及的環境：聯想天逸510S、Windows 10。