首页 > 新闻动态> 商用密码应用安全性评估 - 安证合规
商用密码应用安全性评估 - 安证合规
2023-04-19


一、商用密码应用安全性评估概述

商用密码应用安全性评估(简称“密评”),是对网络和信息系统中使用的商用密码技术、产品和服务是否符合法律法规要求、是否正确实施、是否有效保障安全进行评估的活动。密评是国家密码管理局依据《中华人民共和国密码法》等法律法规执行的一项重要工作,目的是确保商用密码技术、产品和服务在网络和信息系统中安全运作,提高网络空间安全水平。


二、相关法律法规

1. 《中华人民共和国密码法》:是我国首部专门针对密码领域的法律,于2019年10月26日通过,2020年1月1日起施行。该法规定了商用密码的定义、分类、管理、使用、监督等方面的内容,为商用密码应用安全性评估提供了法律依据。

2. 《商用密码应用安全性评估管理办法》:是国家密码管理局根据《中华人民共和国密码法》制定的一项行政规章,于2020年12月1日起施行。该办法规定了密评的对象、范围、标准、程序、结果等方面的内容,为密评提供了具体操作指引。

3. 《信息系统密码应用基本要求》:是国家标准化管理委员会发布的一项国家标准,于2020年12月1日起实施。该标准规定了信息系统使用商用密码技术、产品和服务时应遵循的基本要求,包括合规性要求、正确性要求和有效性要求等,为密评提供了技术依据。


三、为什么要做密评?

有两方面的原因:一是法律法规要求,二是企业单位自身需求。

1. 法律法规要求:《中华人民共和国密码法》第三十六条规定,“采用商用密码技术、产品和服务集成建设网络和信息系统的单位,应当按照国家有关规定进行商用密码应用与安全性评估”。《商用密码应用安全性评估管理办法》第四条规定,“采用商用密码技术、产品和服务集成建设网络和信息系统的单位(以下简称密评对象单位),应当按照本办法进行密评”。这些规定明确了密评对象单位的密评义务,违反者将受到相应的行政处罚。

2. 企业单位自身需求:当前的网络空间安全形势面临许多威胁和挑战,数据安全事件时有发生,严重影响到了个人隐私安全、公共安全甚至国家安全。商用密码作为保障信息安全的核心技术,其在网络和信息系统中的应用是否合规、正确、有效,直接关系到信息系统的安全性和可靠性。因此,做商用密码应用安全性评估,不仅是遵守法律法规的必要条件,也是提升信息系统安全防护能力的重要手段


四、哪些行业需要做?

根据《商用密码应用安全性评估管理办法》第五条规定,以下行业和领域的单位需要做密评:

1. 关键信息基础设施运营者;

2. 网络安全等级保护第三级及以上信息系统的使用者;

3. 国家政务、国防、金融、能源、交通、水利、卫生健康、教育、社会保障等重要领域和行业的信息系统使用者;

4. 国家密码管理部门认定的其他需要进行商用密码应用与安全性评估的信息系统使用者。

商用密码应用安全性评估


五、实施密评的好处有哪些?

对于密评对象单位和整个社会都有以下好处:

1. 对于密评对象单位,可以提高信息系统的安全性和可靠性,防范和减少网络攻击和数据泄露等风险,保护自身合法权益,提升自身信誉和竞争力,同时也可以避免因违反法律法规而受到处罚或责任追究。

2. 对于整个社会,可以促进商用密码技术、产品和服务的规范化和标准化,推动商用密码产业的发展和创新,提升网络空间安全水平和数字经济发展水平,维护国家安全和社会稳定。


六、怎么进行密评?

主要包括以下几个步骤:

1. 第一步,确定密评对象单位。密评对象单位是指采用商用密码技术、产品和服务集成建设网络和信息系统的单位,根据《商用密码应用安全性评估管理办法》第五条规定,判断是否属于密评对象范围。

2. 第二步,选择密评机构。密评机构是指经国家密码管理部门认定,具备商用密码检测机构资质,并从事密评活动的机构。目前,国家密码管理局已经认定了10家密评试点机构。

3. 第三步,签订密评合同。密评对象单位与密评机构签订密评合同,明确双方的权利义务、密评范围、密评标准、密评流程、密评费用等。


————————————————————————————  安证集团概述  ————————————————————————————

深圳市安证企业合规管理(集团)有限公司(以下简称“安证合规集团”)是“科技+法律”一体化网络安全合规解决方案提供商,业务范围涵盖网络安全服务、证据服务以及数据治理三大领域,具有丰富的IT合规咨询与评估、网络安全、证据服务、IT审计、安全培训以及法律服务等全方位合规服务经验,是集标准制定、前瞻性技术研究、合规管理平台研发及方案实现于一体的国内优选的IT合规服务企业。

多年来,安证合规集团始终坚持“责任、创新、进取”的企业精神,累计服务了政府、企事业单位、电信运营商、金融机构、大型民企等4000余家客户。积极参与社会公共安全公益服务,自主研发的多个平台分别入选国家工信部、广东省工信厅助力社会发展专项名录。多次参与国家重大活动网络安保工作,主要包括建党100周年网络安保活动、十八大、十九大、二十大、博鳌论坛、香港回归20周年庆/25周年庆、广交会以及部省市三级护网行动等重大活动,并获得相关部门的高度好评。其中,护网工作荣获“公安部护网优秀攻击团队”、“公安部网络安全管理优秀团队”的荣誉称号。