信息化觀察網(wǎng)

“密評(píng)”全稱“密碼應(yīng)用安全性評(píng)估”，是指在采用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。弄清楚了什么是密評(píng)，那為什么要做密評(píng)呢？

國(guó)家法律法規(guī)

開(kāi)展密評(píng)，是國(guó)家相關(guān)法律法規(guī)提出的明確要求，是網(wǎng)絡(luò)安全運(yùn)營(yíng)者的法定責(zé)任和義務(wù)。

《中華人民共和國(guó)密碼法》

第二十七條：法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用密碼進(jìn)行保護(hù)，自行或者委托密碼檢測(cè)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)估。

《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》

第十條：關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)，每年至少評(píng)估一次。

《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》

第四十七條：第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運(yùn)行階段，按照密碼應(yīng)用安全性評(píng)估管理辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)估。網(wǎng)絡(luò)通過(guò)評(píng)估后，方可上線運(yùn)行，并在投入運(yùn)行后，每年至少組織一次評(píng)估。

《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

第十五條：項(xiàng)目建設(shè)單位應(yīng)當(dāng)落實(shí)國(guó)家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估。

第二十五條：項(xiàng)目建設(shè)單位提交驗(yàn)收申請(qǐng)報(bào)告時(shí)應(yīng)當(dāng)附上密碼應(yīng)用安全性評(píng)估報(bào)告等材料。

因此，及時(shí)開(kāi)展密評(píng)，是廣大網(wǎng)絡(luò)安全運(yùn)營(yíng)者落實(shí)法律法規(guī)要求，履行網(wǎng)絡(luò)安全義務(wù)的一項(xiàng)重要責(zé)任。

開(kāi)展密評(píng)工作的必要性

是應(yīng)對(duì)網(wǎng)絡(luò)安全形勢(shì)的需求

通過(guò)密評(píng)可以及時(shí)發(fā)現(xiàn)在密碼應(yīng)用過(guò)程中存在的問(wèn)題，為網(wǎng)絡(luò)和信息安全提供科學(xué)的評(píng)價(jià)方法，逐步規(guī)范密碼的使用和管理，從根本上改變密碼應(yīng)用不廣泛、不規(guī)范、不安全的現(xiàn)狀，確保密碼在網(wǎng)絡(luò)和信息系統(tǒng)中得到有效應(yīng)用，切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼保障。

是系統(tǒng)安全維護(hù)的必然要求

密碼應(yīng)用是否合規(guī)、正確、有效，涉及密碼算法、協(xié)議、產(chǎn)品、技術(shù)體系、密鑰管理、密碼應(yīng)用多個(gè)方面。因此，需委托專業(yè)機(jī)構(gòu)、專業(yè)人員，采用專業(yè)工具和專業(yè)手段，對(duì)系統(tǒng)整體的密碼應(yīng)用安全進(jìn)行專項(xiàng)測(cè)試和綜合評(píng)估，形成科學(xué)準(zhǔn)確的評(píng)估結(jié)果，以便及時(shí)掌握密碼安全現(xiàn)狀，采取必要的技術(shù)和管理措施。

是相關(guān)責(zé)任主體的法定職責(zé)

國(guó)家各項(xiàng)法律、行政法規(guī)和有關(guān)規(guī)定要求使用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用密碼進(jìn)行保護(hù)，自行或者委托密碼檢測(cè)機(jī)構(gòu)開(kāi)展密碼應(yīng)用安全性評(píng)估。

《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》強(qiáng)化密碼應(yīng)用要求，突出密碼應(yīng)用監(jiān)管，重點(diǎn)面向網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上系統(tǒng)，落實(shí)密碼應(yīng)用安全性評(píng)估制度。因此，針對(duì)重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)開(kāi)展密評(píng)，是網(wǎng)絡(luò)運(yùn)營(yíng)者和主管部門(mén)的法定責(zé)任。

結(jié)語(yǔ)

密碼體系是網(wǎng)絡(luò)安全環(huán)境的基礎(chǔ)，密碼評(píng)測(cè)是建立健全密碼安全體系最重要的考量，密碼應(yīng)用與密碼評(píng)測(cè)工作同為網(wǎng)絡(luò)安全環(huán)境建設(shè)的重要部分，意義重大。

相關(guān)從業(yè)者和應(yīng)用者在建設(shè)密碼體系的同時(shí)，更要重視密碼評(píng)測(cè)工作，切實(shí)保障密碼體系能被合規(guī)建設(shè)和正確應(yīng)用，構(gòu)建完善的網(wǎng)絡(luò)安全環(huán)境。