为了规范商用密码应用安全性评估和商用密码检测工作,国家密码管理局日前发布了《商用密码应用安全性评估管理办法》和《商用密码检测机构管理办法》,将于2023年11月1日起施行。
商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。随着《密码法》颁布实施,商用密码应用安全性评估制度依法确立。2023年7月1日起施行的新修订版《商用密码管理条例》(《修订版《商用密码管理条例>(2023年7月1日起施行)》)第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求。
2017年以来,国家密码管理部门组织开展一系列商用密码应用安全性评估试点。《商用密码应用安全性评估管理办法》细化了《密码法》、《商用密码管理条例》关于商用密码应用安全性评估工作主体、方式、程序、备案等方面的要求,同时结合工作实际,吸收了商用密码应用安全性评估试点的经验,将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系,建立了商用密码应用安全性评估制度的基本框架。
《商用密码应用安全性评估管理办法》规范了商用密码应用安全性评估的概念定义、管理体制、程序及内容要求、实施规范等内容,共有21条。按照《密码法》、《商用密码管理条例》规定,《商用密码应用安全性评估管理办法》对依法应当使用商用密码进行保护的重要网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求,从规划、建设、运行各个阶段分别提出落实安排、明确评估程序及内容。对于运营者自行开展或者委托机构开展商用密码应用安全性评估的情形,《办法》分别明确了相关要求,并就两者需共同遵守的行为规范作出规定。
《商用密码应用安全性评估管理办法》的施行,明确了商用密码应用安全性评估活动的实施依据,有助于规范提升商用密码应用安全性评估工作质量。
需要注意的是,《商用密码应用安全性评估管理办法》第四条规定,“从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质”。这意味着商用密码应用安全性评估机构被纳入商用密码检测机构统一管理。
《密码法》第二十五条规定,“商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证”。《商用密码管理条例》第十三条规定,“从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质”。《商用密码检测机构管理办法》细化了《密码法》、《商用密码管理条例》关于商用密码检测机构许可、从业、监管等方面要求,研究借鉴有关检验检测机构管理规定,对检测机构资质认定、监督管理等提出明确要求,对于规范检测机构市场准入及从业行为、促进商用密码检测行业健康发展具有重要意义。
值得一提的是,按照《商用密码检测机构管理办法》的规定,“具有与从事商用密码检测活动相适应的专业人员”是取得商用密码检测机构资质的条件之一。今年上半年,国家密码管理局组织开展了商用密码应用安全性评估从业人员考核。在事先发布官方题库的情况下,考核合格率为27.34%。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!