天威誠信小課堂 | 一文讀懂有關“密評”的那些事兒

　　進入2022年5月份，“密評”忽然成了各行業共同關注的熱詞。

　　無論是電信、能源、教育、公安、社保、交通、水利、城市設施，還是衛生、金融、航空航天、先進制造、石油石化、油氣管網、電力系統等單位，只要是涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位，“過密評”成了一道緊箍咒。

　　隨著“密評”時間逐漸收緊，“過密評”也成了一眾單位技術負責人的頭等大事，為了讓大家清楚了解“密評”的意義和重要性，今天我們就來聊一聊有關“密評”的那些事兒。

　　什么是密評？

　　想要過密評，首先得了解什么是“密評’。

　　密評全稱是：商用密碼應用安全性評估，是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性進行評估。用大白話說，就是對使用了商業密碼的系統進行評估，從而確保其合規、正確、有效。

　　為什么要“過密評”？

　　對于責任主體（企業）而言，密評是國家網絡安全和密碼相關法律法規提出的明確要求，是相關責任主體的法定責任和義務。

　　《網絡安全法》第十條規定，建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩定運行，維護網絡數據的完整性、保密性和可用性。

　　保密性如何解決？通過商用密碼的使用就是一個重要的措施，那么如何保障商用密碼使用的合規性、正確性和有效性？還是得依靠密評去做。

　　同時，《密碼法》第二十七條規定，使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。所以，及時開展密評，是廣大網絡安全運營者落實法律法規要求，履行網絡安全義務的一項重要事項。

　　密評未通過怎么辦？

　　如果沒有及時開展密評的，根據《密碼法》第三十七條規定，未按照要求使用商用密碼，或未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

　　如何“過密評”？

　　最后，也是廣大企業最關注的問題來了。對于責任主體相關負責人來說，開展密評似乎是一件瑣碎又頭疼的事情，但也不是毫無頭緒。

　　目前密評測試機構主要依照GB/T39786的技術要求和管理要求開展評估工作。GB/T39786是貫徹落實《中華人民共和國密碼法》，指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準。

　　中國密碼學會密評聯委會發布并持續更新依照GB/T39786開展密評的系列指導文件，目前共包括5項內容：GM/T0115-2021《信息系統密碼應用測評要求》GM/T0116-2021《信息系統密碼應用測評過程指南》《信息系統密碼應用高風險判定指引》《商用密碼應用安全性評估量化評估規則》《商用密碼應用安全性評估報告模板（2021版）》。

　　如果我們把“過密評”當作一場考試，GB/T39786就像是參考書，對其理解的程度直接關系到考試能否順利通過。這時候，想要迅速合規通過考試，就需要一個精通參考書內容的老師，于是，專業密改服務提供商應運而生。

　　一般而言，合格的密改服務提供商會從責任主體本身業務系統出發，從GB/T39786要求的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行及應急處置等層面，進行密碼應用需求分析，得出適合責任主體單位業務系統密碼應用需求，從而使責任主體能夠順利通過密評。

　　作為工業和信息化部許可設立的電子認證服務機構，天威誠信專注于密碼領域，聚焦密碼功能服務，以密碼基礎設施為依托，通過搭建密碼產品體系，構建滿足國家對信息系統密碼建設要求的可行性方案，為各類信息系統提供包括密鑰安全管理、密碼安全管理、密碼算法要求、網絡和通信安全等在內的密碼建設服務和產品。

　　最后，需要注意的是，按照國家規定，密評需要每年進行一次。所以，專業的密改服務提供商提供的方案不僅需要適配主體現階段的業務系統，還需要兼容其未來一段時間的密評需求。企業也要根據要求從更長遠的角度重視“密評”工作并嚴格篩選密改服務提供商，確?！懊茉u”順利通過，保障業務的數據安全。