2023年10月7日,国家密码管理局公布了《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)(以下简称《办法》),《办法》已经在国家密码管理局局务会议审议通过,自2023年11月1日起施行。
《商用密码应用安全性评估管理办法》产生背景
随着我国《密码法》颁布实施,商用密码应用安全性评估制度依法确立。《密码法》第二十七条明确要求使用商用密码保护关键信息基础设施,并开展商用密码应用安全性评估,关保测评、等保测评相衔接。修订版《商用密码管理条例》(以下简称《条例》)第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求。
为有效贯彻落实上位法规定,急需制定《办法》,《办法》针对商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等方面,统筹细化相关规定,依据《密码法》、《条例》等法规要求,结合工作实际,注重合法性、合理性和可操作性,依法规范商用密码应用安全性评估工作,具有重要指导意义。
《商用密码应用安全性评估管理办法》总体思路
《办法》的制定细化了《密码法》、《条例》关于商用密码应用安全性评估工作各方面的要求,吸收继承商用密码应用安全性评估试点经验做法,进一步落实“同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估”(简称“三同步一评估”),并且从规划、建设、运行三个阶段分别提出落实安排、明确程序条件,建立起商用密码应用安全性评估制度的基本框架。
《办法》与《条例》相比,进一步扩展和明确了商用密码应用安全性评估范围,《条例》对关键信息基础设施的要求非常明确,而《办法》将商用密码应用安全性评估对象明确为重要网络与信息系统,不仅涵盖了关键信息基础设施,还包含了其他重要信息系统。
重要网络与信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
沃通PKI商用密码产品,助力商用密码改造
沃通CA是我国依法设立的第三方电子认证服务机构,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质。
沃通CA深耕行业二十余年,具备合规资质及专业服务能力。沃通CA提供合规的商用密码应用产品,包括数字证书认证系统(CA)、证书认证密钥管理系统(KM)、服务器密码机、时间戳服务器、安全电子签章系统、智能密码钥匙等各类一体化密码设备、密码系统与平台以及密码测评整改解决方案。以数字证书产品结合软硬件产品以及PKI服务设施,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全等各个层面,帮助重要网络与信息系统实现数据加密保护、可信身份认证、电子签名等应用场景下的商用密码应用改造。
更多商用密码技术资讯,关注沃通CA官网。