2023年10月7日，国家密码管理局公布了《商用密码应用安全性评估管理办法》（国家密码管理局令第3号）（以下简称《办法》），《办法》已经在国家密码管理局局务会议审议通过，自2023年11月1日起施行。

《商用密码应用安全性评估管理办法》产生背景

随着我国《密码法》颁布实施，商用密码应用安全性评估制度依法确立。《密码法》第二十七条明确要求使用商用密码保护关键信息基础设施，并开展商用密码应用安全性评估，关保测评、等保测评相衔接。修订版《商用密码管理条例》（以下简称《条例》）第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求。

为有效贯彻落实上位法规定，急需制定《办法》，《办法》针对商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等方面，统筹细化相关规定，依据《密码法》、《条例》等法规要求，结合工作实际，注重合法性、合理性和可操作性，依法规范商用密码应用安全性评估工作，具有重要指导意义。

《商用密码应用安全性评估管理办法》总体思路

《办法》的制定细化了《密码法》、《条例》关于商用密码应用安全性评估工作各方面的要求，吸收继承商用密码应用安全性评估试点经验做法，进一步落实“同步规划、同步建设、同步运行商用密码保障系统，并定期进行商用密码应用安全性评估”（简称“三同步一评估”），并且从规划、建设、运行三个阶段分别提出落实安排、明确程序条件，建立起商用密码应用安全性评估制度的基本框架。

《办法》与《条例》相比，进一步扩展和明确了商用密码应用安全性评估范围，《条例》对关键信息基础设施的要求非常明确，而《办法》将商用密码应用安全性评估对象明确为重要网络与信息系统，不仅涵盖了关键信息基础设施，还包含了其他重要信息系统。

重要网络与信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

沃通PKI商用密码产品，助力商用密码改造

沃通CA是我国依法设立的第三方电子认证服务机构，获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》，获批电子政务电子认证服务资质。

沃通CA深耕行业二十余年，具备合规资质及专业服务能力。沃通CA提供合规的商用密码应用产品，包括数字证书认证系统（CA）、证书认证密钥管理系统（KM）、服务器密码机、时间戳服务器、安全电子签章系统、智能密码钥匙等各类一体化密码设备、密码系统与平台以及密码测评整改解决方案。以数字证书产品结合软硬件产品以及PKI服务设施，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全等各个层面，帮助重要网络与信息系统实现数据加密保护、可信身份认证、电子签名等应用场景下的商用密码应用改造。

更多商用密码技术资讯，关注沃通CA官网。