专家解读｜霍珊珊：贯彻落实《商用密码管理条例》
完善商用密码应用安全性评估体系
信息产业信息安全测评中心常务副主任 霍珊珊 

习近平总书记指出，没有网络安全就没有国家安全。密码被视为国之重器，是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段，在网络空间中扮演着“信使”、“卫士”和“基因”的重要角色。新修订的《商用密码管理条例》（以下简称《条例》），贯彻落实《中华人民共和国密码法》（以下简称《密码法》）精神，适应新时代商用密码事业发展需要，旨在充分发挥商用密码在网络空间安全中的重要作用，保障我国关键信息基础设施和重要领域网络与数据安全，维护国家安全和社会公共利益。各行业应在持续提升商用密码应用广度和深度的同时，大力学习宣传和严格贯彻落实商用密码应用要求，并开展商用密码应用安全性评估。

商用密码应用安全性评估是衡量商用密码应用合规、正确、有效性的重要抓手。《密码法》第二十七条、《条例》第三十八条、第四十一条、第四十二条均对关键信息基础设施和网络运营者提出了商用密码应用安全性评估的要求，确立了商用密码应用安全性评估工作的法律地位，为开展商用密码应用安全性评估提供了明确的法律依据，对促进商用密码在关键信息基础设施中的规范应用具有重要作用。完善商用密码应用安全性评估体系，是贯彻落实《密码法》和《条例》的重要体现，是规范商用密码应用，维护网络空间安全的客观要求，也是健全商用密码管理制度的基础性和开创性工作。

第一，延续价值导向，明确商用密码应用安全性评估法定要求

近年来网络安全攻防实战演练成果表明，采用了密码技术保护的关键信息基础设施和重要信息系统，基本实现了仿冒身份“进不来”、泄露数据“看不懂、用不了”、攻击痕迹“跑不掉”的显著效果，提升了网络攻击成本的同时，大大降低了网络攻击和数据泄露产生的危害和影响，对攻击者也产生了巨大的威慑作用。《密码法》《条例》等法律法规、国家相关政策文件与战略规划、行业和地区有关文件等都对商用密码应用与安全性评估工作提出明确要求。使用商用密码保护网络和数据安全并开展商用密码应用安全性评估，秉承了网络安全检测评估工作的价值导向，更是网络运营者需要承担的法定义务。通过开展商用密码应用安全性评估，能够掌握关键信息基础设施和重要领域密码应用现状和底数，督促指导已建网络与信息系统进行密码应用升级改造，促进新建网络与信息系统采用符合国家密码管理政策和标准规范的密码进行保护，并做到密码应用的同步规划、同步建设、同步运行，定期开展评估，不断推进基础信息网络、重要行业信息系统、工业控制系统、政务信息系统的密码应用，对维护网络和数据安全，保护公共利益发挥关键作用。

第二，强化政策支撑，完善商用密码应用安全性评估四梁八柱

《密码法》《条例》为商用密码应用安全性评估体系的构建和完善做出了顶层设计。落实相关立法精神和制度设计，在国家密码管理局部署指导下，2017年商用密码应用安全性评估试点工作正式启动。六年来，《商用密码应用安全性评估管理办法（试行）》等管理文件先后出台，《信息系统密码应用基本要求》从行业标准GM/T-0054升级为国家标准GB/T-39786，测评过程指南、量化评估准则、高风险判定指引等指导性文件相继发布。商用密码应用安全性评估的政策法规体系、标准支撑体系经历了从无到有、不断优化的过程，逐步构建了符合商用密码应用特点的商用密码应用安全性评估机构管理要求、人员从业要求、测评实施要求、风险控制和监督管理等机制，初步建成支撑《密码法》和《条例》落地实施的商用密码应用安全性评估体系。在面向政务、能源、金融、公安、交通、卫生等领域的试点工作中，商用密码应用安全性评估的工作程序持续规范、质量水平不断提升、标准尺度不断优化、督促引导作用进一步彰显，在推动商用密码合规、正确、有效应用方面发挥了不可替代的重要作用。

第三，推动标准创新，契合商用密码应用安全性评估时代需求

随着信息化、网络化、数字化的高速发展，密码技术已经逐步应用到了关键信息基础设施和重要网络与信息系统。云计算、物联网、大数据、5G、人工智能、区块链、量子通信等数字经济新技术、新业态、新模式与密码紧密融合给商用密码应用提出了新的需求，也对商用密码应用安全性评估工作的针对性、适应性提出了更高要求。为更好推动商用密码应用安全性评估实践，在现有评估标准基础上，针对云计算、物联网、大数据等具体的领域制定扩展要求，推动密码应用在平台化、服务化发展过程中的合规性保障，研究个性化和针对性的应用方式与测评策略，持续丰富密码算法、协议、产品、技术体系、密钥管理、密码应用等方面标准规范，不断推动商用密码应用安全性评估标准体系建设。

第四，加强制度衔接，促进商用密码应用安全性评估良性发展

《网络安全法》的颁布实施，确立了网络安全等级保护的法律地位，落实网络安全等级保护制度已成为广泛共识。在主管部门、网络运营者、安全生态的支撑下，网络安全等级保护工作取得了明显成效，对提升我国关键信息基础设施安全保护发挥了重要作用，也为商用密码应用安全性评估体系建设提供了可参考的成熟经验。《条例》第四十一条、第四十二条表明了网络安全等级保护制度和商用密码应用安全性评估相辅相成、相得益彰、互相促进的关系，要求网络运营者按照网络安全等级保护制度要求使用商用密码保护网络安全。实践中，需要进一步探索加强商用密码应用安全性评估与网络安全等级测评相互衔接的方法措施，避免不合规密码应用给网络与信息系统带来的巨大风险，不断提升我国网络与数据安全保障水平，切实维护国家安全和社会公共利益。

第五，重视行业管理，塑造商用密码应用安全性评估健康基因

行业自律在推动贯彻国家法律法规和政策要求，监督约束成员行为方面具有特殊重要作用。在国家密码管理局指导下，中国密码学会商用密码应用安全性评估联合委员会业已成立，在规范商用密码应用安全性评估机构试点工作开展、制定行业自律公约、加强沟通协作与经验分享等方面取得了积极成效。面向未来行业发展需求，应进一步加强诚信体系建设，建立诚信档案，实现信息互通、互用和互认。商用密码应用安全性评估机构应当持续加强自身能力建设，完善内部运行管理体系，保证项目实施质量，快速响应关键信息基础设施和网络运营者需求，推动用户从合规性驱动到维护网络与数据安全的内生动力转变，努力成为国家网络安全密码蓝军“第一方阵”。

开展商用密码应用安全性评估是适应我国网络安全严峻形势的迫切需要，是网络运营者和主管部门必须落实的法定要求。让我们坚决贯彻“党管密码”基本原则，严格落实《条例》要求，进一步完善商用密码应用安全性评估体系，持续解决商用密码应用中存在的突出问题，为维护国家网络空间主权，保护社会公共利益，提升人民群众获得感、幸福感、安全感不断贡献力量。