《密评管理办法》正式发布 商密应用宣布进入“强制性”合规时代

首页 / 业界 / 政策 /  正文
作者:安全419
来源:安全419
发布于:2023-10-08
10月7日,据国家密码管理局公众号发布消息,《商用密码应用安全性评估管理办法》(以下简称“密评管理办法”)已经2023年9月11日国家密码管理局局务会议审议通过,自2023年11月1日起施行。



国家密码管理局指出,商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。随着《密码法》颁布实施,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理,新修订的《条例》第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求。
 
为有效贯彻落实上位法规定,急需制定《办法》,统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定,依法规范商用密码应用安全性评估工作。2017年以来,国家密码管理部门组织开展一系列商用密码应用安全性评估试点,在试点过程中,商用密码应用安全性评估的基本要求和思路做法已逐步得到相关管理部门、运营者和评估机构的认同,为《办法》的制定奠定了坚实的实践基础。
 
据悉,《商用密码应用安全性评估管理办法(征求意见稿)》最早于今年6月9日发布,并公开向社会征求意见。《征求意见稿》原共十九条,本次正式发布的《密评管理办法》除了进一步明确部分细致要求外,还在第十八条、十九条的位置补充了针对“重要网络与信息系统的运营者违反办法规定的相关罚则”和针对“从事商用密码应用安全性评估监督管理工作的人员滥用职权、玩忽职守、徇私舞弊或泄露商业机密、个人隐私”等行为的处罚办法。
 
细化密评各项要求 搭建起密评管理制度基本框架
 
根据国家密码管理局发布的官方解读,《密评管理办法》的制定细化《密码法》《条例》关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求,吸收继承商用密码应用安全性评估试点经验做法,结合工作实际,注重合法性、合理性和可操作性,力求做到内容完备、逻辑严密。主要体现了以下三方面思路:
 
(一)细化落实“三同步一评估”要求。按照《密码法》《条例》规定,《办法》对依法应当使用商用密码进行保护的重要网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求,从规划、建设、运行各个阶段分别提出落实安排、明确评估程序及内容,建立起商用密码应用安全性评估制度的基本框架。
 
(二)体现商用密码应用安全性评估系统性原则。《办法》将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系,在实施中“按照同一套标准、遵循同一套程序、囊括同一套活动”,确保重要网络与信息系统全生命周期落实商用密码应用安全性评估要求。同时,将商用密码应用安全性评估机构统一纳入商用密码检测机构管理,进一步体现工作的系统性整体性。
 
(三)明确商用密码应用安全性评估实施依据。按照《密码法》《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定,《密评管理办法》分别明确了相关要求,并就两者需共同遵守的行为规范作出规定,从而明确了商用密码应用安全性评估活动的实施依据,有助于规范提升商用密码应用安全性评估工作质量。
 
《密评管理办法》共二十一条。主要内容包括:
 
总体要求。一是明确概念定义,商用密码应用安全性评估是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。二是规定管理体制,包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单位的监督管理职权。三是明确对商用密码应用安全性评估从业机构的资质要求,以及对商用密码应用安全性评估行业发展的保障支持。四是规定了商用密码应用安全性评估的对象范围。
 
程序及内容要求。一是规定“三同步一评估”的总体要求。二是明确重要网络与信息系统规划、建设、运行各阶段的商用密码应用安全性评估的程序要求。三是针对商用密码应用方案、网络与信息系统两类不同对象,分别提出商用密码应用安全性评估的内容要求。
 
实施规范。一是规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合义务。二是规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范。三是规定商用密码应用安全性评估结果备案制度。四是规定运营者开展应急处置的有关内容。
 
监督检查及法律责任。一是规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督检查职权。二是明确了运营者的违法情形及法律责任。三是规定了商用密码应用安全性评估管理人员的责任义务。
 
此外,在其他事项部分,还规定了办法实施的过渡安排和施行时间。



什么是密评?为什么要做商用密码应用安全性评估?
 
安全419过去采访了解到,根据《中华人民共和国密码法》的规定,密码分为核心密码、普通密码和商用密码。区别于用于保护国家秘密信息的核心密码和普通密码,我国《密码法》规定商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。在网络安全技术层面,商用密码通常指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。
 
密评是商用密码应用安全性评估的简称,根据《密评管理办法》的定义,密评是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
 
简单地说,就是对使用了商业密码的系统进行评估,从而确保其密码应用的合规、正确、有效。国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估工作,即密评工作。
 
开展商用密码应用安全性评估,是为解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理,从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用。
 
包括基础信息网络,如电信网、广播电视网、互联网;重要信息系统,如能源、交通、卫生、金融等涉及国计民生和基础信息资源的重要信息系统;重要工业控制系统核设施,如航空航天、石油石化、油气管网、电力、交通、水利等重要工业控制系统;以及面向社会服务的政务信息系统都是实施商用密码应用安全性评估工作的重要对象。
 
密码产业发展迎来重要推动力 “强制性”合规时代到来
 
《密评管理办法》强调:“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。”
 
在行业人士看来,这也标志着密评工作正式上升为具有强制力的国家规范,商密产业发展宣布迎来“强制性”合规时代。
 
在此前对多家密码产业相关从业者的采访中,有专家指出,当前国内外许多信息化系统已经内嵌了密码能力,但国内仍属少见,许多单位在密码产品层面接受程度仍然不高。国内虽然推出商用密码应用安全性评估(以下简称“密评”),并希望借助这项工作的推进,来推动密码应用以及行业发展,但很多单位仍然抱有持以过关心态,只要满足合规即可,对是否真正安全、是否真正有效果似乎并不过于关注。从被动合规到走向主动合规,最终拥抱合规,还需要很长的路要走。
 
另一位专家也表示,商密应用的推进并非一蹴而就,在具体落地的过程中仍然面临着诸多挑战,从《商密条例》正式实施、《密评估管理办法》正式发布,到产业界、企业界全面落地密码安全建设工作,仍然需要一个长期的教育过程。随着密评工作的持续开展,商用密码将更广泛地应用到政务、金融、能源、通信等领域。
 
总体而言,在数字化经济发展的过程中,密码已成为安全保障的基础设施,在《密评管理办法》的推动下,商用密码的应用广度和深度将迎来进一步促进,密码需求将得到充分释放。伴随着数字时代各种新业态、新场景和新应用的不断涌现,商用密码的市场空间将进一步释放,密码产业也将迎来蓬勃发展的新机遇期。