密码测评改造方案

商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估，包括规划阶段的方案评审和建设、运行阶段的安全评估。——《信息系统密码应用评测要求》

它能解决商用密码应用中存在的突出问题，为重要网络和信息系统的安全提供科学评价方法，是新时期商用密码发展的重中之重，既是党中央做出的重要战略部署，也是顺应全球信息化发展趋势，维护国家网络和信息安全的必然过程。新修订的《商用密码管理条例》中把密评由“推荐性”变为“强制化”，密评工作已成为密码应用的法定要求。

变“推荐”为“强制”

2007年，国家密码管理局印发《信息安全等级保护商用密码管理办法》，成为密评工作的肇始和开端。2017年，国家密码管理局印发《关于开展密码应用安全性评估试点工作的通知》，密评工作走上了发展快车道，密评体系建设在法律法规、标准规范、机构培育等方面取得了长足的进展，科学性和规范性不断提升。2020年1月1日《密码法》的颁布实施，从法律层面为开展商用密码应用提供了根本遵循，并规范了商用密码应用和管理，也首次确立了密评工作的法律地位。《密码法》第二十七条对关键信息基础设施使用商用密码和开展密评提出了明确要求，并在第三十七条对违反该要求的行为明确了罚则，这从根本上建立起了密评制度，也是开展密评工作最基本的法律依据。随着《密码法》的贯彻实施，密评工作也得到了越来越多的关注和认可，成为了密码应用推进工作的重要抓手。修订后的《商用密码管理条例》（以下简称《条例》）自2023年7月1日起正式施行。《条例》是对密码法的进一步细化，也是对我国商用密码管理体系系统性、整体性、长期性思考的体现。新修订的《条例》对密评工作提出了更加具体和细化的要求。

（1）变“推荐性”为“强制化”，推进商用密码应用安全性评估《条例》中明确规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。《条例》直接体现了等保2.0的要求，网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。同时，《条例》也将商用密码应用安全性评估的范围予以扩展。《密码法》第27条仅规定使用商用密码进行保护的关键信息基础设施，自行或者委托商用密码检测机构开展商用密码应用安全性评估。而在《条例》中，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

（2）鼓励使用商密保护网络安全，密评、等保和关保加强衔接《条例》坚持总体国家安全观，统筹发展和安全，一方面规定网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。另一方面，明确商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。《条例》关于密评的规定，既是对关键信息基础设施运营者密评主体责任的明确，也对密评体系建设提出了更高要求，指引着密评体系建设不断发展完善。

安信永诚密评解决方案

我们能做什么：

一、提供密码产品，围绕产品做合规性应用，在相应层次解决合规问题，体现相应密码技术的“有效性”；

二、协助密评机构进行密评预测评，为建设单位省时省力，快速顺利的通过密码测评；

三、围绕密码支撑体系做整体的建设，既满足建设单位当下信息系统密评需求，同时为再建系统提供密码应用支撑能力。