首页 > 新闻动态> 密码法释义(六)商用密码检测认证体系
密码法释义(六)商用密码检测认证体系
2022-11-14

中华人民共和国密码法

——————————————————————————————————————————————————————————————————————

第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。


商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。


商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

——————————————————————————————————————————————————————————————————

释义:本条是关于商用密码检测认证体系和商用密码检测、认证机构管理的规定

——————————————————————————————————————————————————————————————————

建设商用密码检测认证体系的重要意义

商用密码检测认证是商用密码治理体系的重要基础,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。本条第一款明确提出推进商用密码检测认证体系建设,这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时《密码法》第二十五条还明确了在商用密码检测认证中,自愿检测认证是主要方式。


商用密码检测认证现状

1999年颁布的《商用密码管理条例》设定了“商用密码产品质量检测机构审批”行政许可,要求商用密码产品必须经国家密码管理部门指定的产品质量检测机构检测合格。按照《商用密码管理条例》的规定,国家密码管理局审批了商用密码产品检测机构,开展商用密码产品检测工作,经过十多年的发展,我国商用密码检测能力显著提升,构建了检测标准体系,突破了一批关键检测技术并获得多项国家专利,建成了一批功能完善、自动化程度高的密码检测工具和平台,具备了对全系列商用密码产品密码功能及安全性实施检测的能力。截止2019年12月,通过审批的商用密码产品检测机构共有3家,开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCI-E密码卡、IPSec VPN安全网关、SSL VPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统、电子文件密码应用系统、可信计算类密码产品等的检测工作,完成了近2000款产品的密码检测、数百个信息系统的安全性评估。


目前,商用密码领域已有1家专门认证机构。与此同时,有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制,加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流,联合金融领域检测认证机构开展金融领域密码测评和认证,共同推动商用密码检测认证能力提升。


商用密码检测、认证机构资质

按照“放管服”改革要求,《密码法》将商用密码检测、认证机构资质纳入《认证认可条例》规定的认证认可制度体系中,由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。商用密码检测、认证机构应当分别取得商用密码检测、认证机构资质。商用密码检测、认证机构依照《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系,有利于增强商用密码检测认证制度的权威性、统一性。


商用密码检测、认证机构的保密义务

在从事商用密码检测、认证活动的过程中,由于工作需要,商用密码检测、认证机构能够深入到所检测认证的商用密码产品、服务及其相关产品生产单位、服务提供单位中去,有可能接触到有关商业秘密乃至国家秘密。虽然商用密码检测、认证机构知悉国家秘密和商业秘密的途径是合法的,是在依法或依约定进行检测认证活动的过程中获取的,但是如果将这些秘密泄露给他人,就会损害国家安全和利益,或者损害商业秘密权利人的利益。因此,参照《认证认可条例》的规定,《密码法》第二十五条规定:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。


商用密码检测机构

2020年7月29日,国家密码管理局正式发布第40号公告,对社会公开商用密码应用安全性评估试点机构目录。目录收录了包含深圳市网安计算机安全检测技术有限公司在内的共24家测评机构。


——————————————————————————————————————————————————————————————————

小贴士:按照相关管理规定,商用密码应用安全性评估工作由国家密码管理部门认定的测评机构承担,国家密码管理部门定期发布测评机构目录。



内容来源:《中华人民共和国密码法释义》 童卫东 李兆宗主编



————————————————————————— 网安检测公司主营业务介绍 —————————————————————————

商用密码应用安全性评估服务:对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。


ISO27001体系建设咨询服务:基于ISO/IEC27001体系框架和标准,帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系,并协助通过ISO 27001认证。


网络安全等级保护测评服务:依据公安部关于网络安全等级保护的有关法律法规和要求,对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测,全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,出具《网络安全等级保护测评报告》。


信息系统审计服务:依据国家法律法规和行业监管,客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现,为高级管理层实施治理决策提供重要依据,满足监管合规要求。


ICP/EDI评测服务:包含符合性评测与风险评估。符合性评测根据相关规范的要求,针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测,查找差距,提出整改建议,促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估,评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性,指导用户方的信息安全保障建设,促进用户方安全管理水平和安全技术保护能力的提高,增强用户方的信息安全风险管理意识,降低用户方信息系统安全风险,确保信息系统的安全稳定运行。


APP个人信息安全合规评估服务在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,确保APP个人信息保护满足监管要求。


信息安全风险评估服务立足于全局观角度,根据行业与业务特点、信息系统生命周期过程,并融合多项安全标准规范,开展安全风险识别和安全能力评估,识别信息安全隐患、威胁以及所形成的安全风险,提出整改和优化建议,全面提高安全管理水平并落实监管要求。


安证云第三方电子数据保全服务提供面向重点行业(政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等)行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务,加强数据的属地化管理,帮助客户一站式解决诉讼前和诉讼中的“取证难,举证难,出证难”等问题。


安全培训:提供CISP攻防领域渗透测试⽅向PTE/PTS(注册信息专业⼈员渗透测试⼯程师/专家),应急响应⽅向IRE/IRS(注册信息安全专业⼈员应急响应⼯程师/专家)等培训服务。