开展密评工作主要参考哪些标准规范？

参考的标准主要分为两类：

第一类是基本要求

• GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021，以下简称《基本要求》），这是密码应用的纲领性、框架性标准，也是安全性评估的顶层准则。《基本要求》在给出总体性要求的基础上，对密码应用提出了4个方面的技术要求，分别为：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全，以及4个方面的管理要求，分别为：管理制度、人员管理、建设运行、应急处置。

《基本要求》对每一个密码应用的要求项，采用“应”“宜”“可”来表达不同的约束程度。以等保三级系统为例，《基本要求》制定了49条指标，其中“应”30条、“宜”14条、“可”1条，另外还包括“《信息安全技术 密码模块安全要求》（GB/T 37092-2018）中关于二级及以上密码产品要求”4条。

第二类是评估方法

• GM/T 0115-2021《信息系统密码应用测评要求》

《信息系统密码应用测评要求》（GM/T 0115-2021），这是为配合《基本要求》的贯彻实施、更好地指导和规范密评工作而制定的两部行业标准，已于2022年5月1日起正式实施。马原说：“在一项完整的密评任务中，GM/T 0115自下而上地提出了对测评活动的要求。

• GM/T 0116-2021《信息系统密码应用测评过程指南》

《信息系统密码应用测评过程指南》（GM/T 0116-2021），这是为配合《基本要求》的贯彻实施、更好地指导和规范密评工作而制定的两部行业标准，已于2022年5月1日起正式实施。马原说：“在一项完整的密评任务中，GM/T 0116从测评准备、方案编制、现场测评、分析和报告编制全过程对测评活动进行指导。”

• 《信息系统密码应用高风险判定指引》

《信息系统密码应用高风险判定指引》基于当前密码产品的发展现状，聚焦安全问题被威胁利用后对信息系统（主要是数据资产）造成的影响程度，给出信息系统密码应用过程中可能存在的高风险安全问题、可能的缓解措施和风险评价。

• 《商用密码应用安全性评估量化评估规则》

《商用密码应用安全性评估量化评估规则》的主要内容是如何对各应用点进行打分判定并给出定量评估结果，其编制原则是：鼓励使用密码技术，特别鼓励使用合规的密码算法/技术/产品/服务；优先在网络和通信安全、应用和数据安全层面推进密码技术应用。