2018年2月8日，GM/T 0054-2018《信息系统密码应用基本要求》由国家密码管理局发布并实施。该标准由9个正文章节和2个资料性附录组成，包括总体要求、密码功能要求、密码技术应用要求、密钥管理、安全管理等内容。 ①总体要求规定了密码算法、密码技术、密码产品和密码服务应当符合商用密码管理的相关规定，满足标准规范的相关要求，即合规性。 ②密码功能要求从保密性、完整性、真实性和不可否认性四个方面，规定过了信息系统中需要密码保护的对象。 ③密码技术应用要求是标准的核心内容，分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面规定了密码技术和应用要求。在给出总则的基础上，每个层面还包含了等级保护四个不同级别的具体要求。总则从整体角度给出了每个方面设计的技术要求，但不规定具体要求。四个等级的要求以条款增加和强制性增强的方式逐级别提升。 ④密钥管理对密钥全生命周期的各个环节做了要求，分别规定了等级保护四个不同级别的密钥管理要求。 ⑤安全管理从制度、人员、实施和应急方面，规定了等级保护四个不同级别的安全管理要求。 ⑥附录A给出了不同安全保护等级信息系统中的密码技术应用要求，汇总了要求的各个条款和不同的你的推荐强度（无要求、可、宜、应）。 ⑦附录B列出了已经发布的密码行业标准。 《信息系统密码测评要求（试行）》是《信息系统密码应用基本要求》的配套指导性文件，规定了对《信息系统密码应用基本要求》中条款的测评方方法。对于《信息系统密码应用基本要求》的每项要求，《信息系统密码测评要求（试行）》给出了相应的测评单元，测评单元由测评指标、测评对象、测评实施和结果判定四个部分组成，为测评人员提供了具体的实施和判定方法。

条款要求：信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 解读：该条款的目的是规范密码算法的选用，要求信息系统应使用国家密码管理部门或相关行业认可的标准算法。这样一方面能为算法本身的安全性提供保证，另一方面也能够为信息系统的互联互通提供便利。一般来说，有三种类型的密码算法可以满足该条款的要求。 ①以国家标准或国家密码行业标准形式公开发布的密码算法：密码应用中使用的绝大多数算法都是这类算法，包括ZUC、SM2、SM3、SM4、SM9等算法。 ②为特定行业、特定需求设计的专业算法及未公开的通用算法：这类算法在密码应用中相对涉及较少，使用这类算法前应向国家密码管理部门咨询有关政策。 ③由于国际互联互通等需要而兼容的其他算法：在选取这些算法前，信息系统责任单位须同时咨询行业主管部门和国家密码管理部门的意见，且应在应用中默认优先使用商用密码算法。例如，银行业为满足国际互联互通需求，需采用符合安全强度要求的RSA算法。

条款要求：信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。

解读：该条款的目的是规范密码技术的使用，要求使用的密码技术应符合国家或行业标准规定。密码技术是指实现密码的加密保护和安全认证等功能的技术，除密码算法外，还包括密钥管理和密码协议等。密码技术相关国家和行业标准规定了密码技术在密码产品中或不同应用场景下的使用方法，信息系统应用依据相关要求实现所需的安全功能。例如，在GM/T 0036电子门禁系统标准中，规定了采用基于SM4等算法的密钥分散技术实现密钥分发；在GM/T 0022IPSec VPN标准中，规定了采用SM4等对称密码算法、SM2等公钥密码算法和SM3等密码杂凑算法进行保护性保护、身份鉴别和完整性保护的方法。

条款要求：信息系统中使用的密码产品与密码模块应通过国家密码管理部门的核准。 解读：该条款的目的是规范密码产品和密码模块的使用，要求所有信息系统中的密码产品与密码模块都应通过国家密码管理部门的核准/审批。这里所称的密码产品和密码模块都是狭义的概念，事实上都属于广义的密码产品。需要说明的是，2020年1月1日《密码法》正式实施后，国家密码管理局不在实施商用密码产品品种型号管理，原有的商用密码产品型号证书转换为认证证书。此外，若信息安全产品中包含商用密码产品，则也属于商用密码产品检测的范畴，应当取得国家密码管理部门认可的商用密码检测机构出具的合格检测报告。 按照商用密码产品检测的趋势，密码产品不仅要在功能上满足相关产品标准，还要在自身安全性上满足特定安全等级的要求。考虑到部分历史产品未进行安全等级符合性检测，《信息系统密码应用基本要求》的四个安全等级均允许使用硬件形态的密码产品；待他们的证书有效期满后，在进行重新检测时，将在原有检测内容上增加对安全等级的单独检测。 在原理上，信息系统的安全等级与选用的密码产品的安全等级并没有严格对应关系，密码模块等级的选用，应当综合考虑密码模块的安全性及被保护系统和被保护资产的价值等各方面的因素。三十，由于现阶段人们对密码模块安全等级的理解程度不一，为更好的保障信息系统的安全，《信息系统密码应用基本要求》要求高安全等级的信息系统应该当使用高安全等级的密码模块。在实际密码应用中，在经过充分论证的情况下，信息系统可以选用适合自身安全等级的密码模块；选用理由应当在密码应用方案中阐述，而且密码应用方案应当通过评估。在默认情况下，信息系统应当按照《信息系统密码应用基本要求》中的规定选取和部署相关的密码产品。具体要求如下： ①等级保护第一级信息系统，对选用的密码产品的安全级别无特殊要求。 ②等级保护第二级信息系统，宜采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理主管部门核准的硬件密码产品，实现密码运算和密钥管理。 ③等级保护第三级信息系统，宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品，实现密码运算和密钥管理。 ④等级保护第四级系统，应采用符合GM/T 0028的三级及以上的密码模块或通过国家密码管理部门核准的硬件密码产品，实现密码运算和密钥管理。

条款要求：信息系统中使用的密码服务应通过国家密码管理部门许可。 解读：该条款的目的是规范密码服务的使用，要求使用国家密码管理部门许可的密码服务。现阶段，密码服务许可的范围还集中在较为成熟的电子认证服务行业。国家密码管理局为通过安全性审查的第三方电子认证服务提供商颁发电子认证服务使用密码许可证，对电子政务电子认证服务机构进行认定；商用密码认证机构将为认证合格的其他密码服务颁发相应的认证证书。