2025年6月11日国家密码管理局、国家互联网信息办公室、公安部联合发布第五号令,于8月1日起施行《关键信息基础设施商用密码使用管理规定》(下称“《规定》”)。
习近平总书记强调,“加强关键信息基础设施安全保障,完善网络治理体系”。《规定》的发布对商用密码应用安全性评估(密评)工作必将产生深远影响。这一影响不仅体现在法律地位、各方责任、使用要求、监管机制等不同方面强化密评工作,还对商用密码应用安全性评估机构(下称“密评机构”)的职责、能力、管理方式等方面提出了更高要求。以下将从多个角度对《规定》提出一些思考。
一、 密评成为强制性要求,推动密评制度的法律地位确立
《规定》第五、十一、十二、十三条明确规定,关键信息基础设施的运营者在使用商用密码进行保护时,必须定期开展商用密码应用安全性评估。这一规定不仅明确了密评的法律地位,也使其成为关键信息基础设施保护体系中的核心组成部分。《规定》对《密码法》第二十七条进一步细化密评的工作要求,强调密评是关键信息基础设施运营者必须履行的法定责任。因此,在《规定》实施后,密评机构发挥的作用不再是可有可无,而是强制性的,这将显著提升密评机构的业务量和行业影响力。
二、 密评工作与等级保护测评、关基安全检测评估紧密衔接
《规定》第十五条要求密评与等级保护测评、关基安全检测评估、数据安全等制度相衔接,避免重复评估,提高效率。这意味着密评机构在开展评估时,必须与网络安全等级保护、关基安全保护等制度形成协同机制,确保评估内容的全面性和一致性。这种衔接机制不仅提高了密评工作的规范性,也对密评机构提出了更高的技术要求和组织协调能力。2024年11月发布的商用密码检测机构目录(国家密码管理局第49号公告),112家机构中有74家同时具有等保测评资质,而74家中还有14家原密评试点机构。类似的资深密评机构必将更好的发挥行业领军作用,进一步促进行业高质量发展。
三、 密评机构面临更大的市场竞争与挑战
随着《规定》的实施,密评工作成为关键信息基础设施运营者的必选项,这将带来更多的市场机会,但也伴随着激烈的市场竞争。一方面,密评机构需要不断提升自身的技术能力和管理水平,以满足客户对高质量评估服务的需求;另一方面,密评机构还需面对来自其他认证机构、密评机构的竞争,尤其是在等保测评、网络安全等级测评等领域,密评机构的市场份额可能受到挤压。因此,密评机构一方面加强与政府、行业组织、头部企业的合作,积极推动密码体系建设,以提升自身的专业性和权威性。另一方面,密评机构持续优化服务内容、服务质量、响应速度等方面,以增强市场竞争力。
四、 密评机构需关注行业发展趋势,切实加强能力建设
在《规定》实施后,密评工作成为关键信息基础设施运营者的必选项,客户对密评服务的需求将大幅增加。不仅为密评行业的发展提供新的机遇,也对密评机构提出更高要求。《规定》第十七、十九条要求密评机构在密评过程中,对商用密码产品和服务进行安全审查,这将推动密评机构与产品检测机构、安全审查部门等建立合作关系,从而促进密评机构在技术能力、审计能力等方面不断提升。因此,密评机构需要关注行业发展趋势,积极参与行业活动,推动密评行业的健康发展。密评机构更需要切实加强自身能力建设,包括技术培训、人员考核、管理优化、服务质量、能力培养等方面,以确保评估工作的高质量和合规性。密评机构需要在评估过程中,确保评估结果的准确性和权威性,同时提供详细的评估报告和改进建议。此外,密评机构还需提供良好的客户服务,包括咨询、培训、技术支持等,以提升客户满意度和忠诚度。只有这样,密评机构才能在激烈的市场竞争中脱颖而出,赢得更多客户。
总结
《规定》的发布,将会对密评机构产生深远的影响。一方面,密码应用的法律地位得到进一步强化,密评工作成为强制性要求;另一方面,密评机构面临更大的市场竞争、更高的技术要求、更广泛的应用场景等挑战。因此,密评机构需要不断提升自身的技术能力、管理水平、服务质量,以适应《规定》带来的新要求和新机遇,推动密评行业的高质量健康发展。
竞远安全密评中心自2020年成立,目前拥有超过50人的密码应用研究与实施团队,每年数百个密评案例,长期居于全国前列。竞远安全拥有自主研发的智能密码数据测评等密码分析、检测技术,以及全国首个自研的虚拟密码技术仿真系统,以专业可靠的企业精神,不断提升网络数据安全治理水平,打造可信可控的数字安全体系,为网络强国、数字中国建设提供坚实保障。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...