一、商密條例重磅發(fā)布

2023年5月24日，中華人民共和國中央人民政府網(wǎng)站公開《商用密碼管理條例》（以下簡稱《條例》）2023年修訂版正式稿全文，《條例》在2023年4月14日國務(wù)院第4次常務(wù)會議修訂通過，現(xiàn)予公布，自2023年7月1日起施行。

密碼是保障網(wǎng)絡(luò)空間安全的核心技術(shù)，也是公認(rèn)的維護網(wǎng)絡(luò)安全最有效、最可靠、最經(jīng)濟的技術(shù)手段，其用途非常廣泛，直接關(guān)系國家安全、社會公共利益以及公民、法人和其他組織的合法權(quán)益，應(yīng)當(dāng)依法進行管理。我國在互聯(lián)網(wǎng)發(fā)展初期就開始出臺相關(guān)法律法規(guī)以加強商用密碼管理。1999年10月，國務(wù)院頒布了我國密碼領(lǐng)域的第一部行政法規(guī)《商用密碼管理條例》，伴隨著國際國內(nèi)形勢、網(wǎng)絡(luò)安全行業(yè)和密碼產(chǎn)業(yè)不斷變化，商用密碼的相關(guān)政策法規(guī)也不斷演變。在網(wǎng)絡(luò)安全法、密碼法、數(shù)據(jù)安全法、個人信息保護法等四法四規(guī)相繼發(fā)布后，此次《條例》對商用密碼管理制度進行了結(jié)構(gòu)性重塑，完成了大幅度的修訂和補充，對我國商用密碼管理體系建設(shè)前瞻性思考、全局性謀劃、整體性推進具有重要意義。

《條例》從管理職責(zé)，科創(chuàng)標(biāo)準(zhǔn)、檢測認(rèn)證、電子認(rèn)證、進出口、應(yīng)用促進、監(jiān)督管理、法律責(zé)任等方面進行了明確的闡述和說明。整個條例緊扣密碼法的法律條文，明確了法理依據(jù)、落實了管理要求、界定了管理范圍、深化了管理粒度、細化了管理機制、強化了測評要求、增補了產(chǎn)促措施、加強了統(tǒng)籌指導(dǎo)，串聯(lián)銜接起了主管部門、行業(yè)機構(gòu)、用戶單位、測評機構(gòu)以及產(chǎn)業(yè)鏈相關(guān)方，為其提供了全方位的工作指引。

密碼是網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐，新《條例》的發(fā)布順應(yīng)了我國網(wǎng)絡(luò)安全制度體系的建設(shè)需要，為制度體系填補了一塊重要的拼圖，與國家的測評體系、認(rèn)證認(rèn)可體系、檢測認(rèn)證制度、網(wǎng)絡(luò)安全審查制度以及網(wǎng)絡(luò)安全管理體系相互銜接，串聯(lián)構(gòu)筑網(wǎng)絡(luò)安全制度體系藍圖。

二、促進應(yīng)用落地 聚焦全程監(jiān)管

為推進并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用，新《條例》秉持“商用密碼活動管理事前事中事后全覆蓋”的理念，其第六章應(yīng)用推進和第七章監(jiān)督管理發(fā)布了一系列針對商用密碼應(yīng)用和安全保障工作落實事前、事中和事后管理的重要條款。應(yīng)用推進篇章旨在規(guī)范商用密碼在各行業(yè)的應(yīng)用要求，保障事前環(huán)節(jié)的合法合規(guī)開展，并針對具體行業(yè)領(lǐng)域指出測評的強制性要求。密碼應(yīng)用建設(shè)固然重要，但為發(fā)揮效能，還需保障所建設(shè)的密碼保障體系能夠持續(xù)有效地發(fā)揮安全防護效能，為此，第六章第三十七條協(xié)調(diào)制度和第七章監(jiān)督管理章節(jié)旨在跟蹤落實事中和事后應(yīng)用推進的進度和成效。

《條例》第三十八條對關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的密碼應(yīng)用提出了明確要求。

《條例》第三十九條、第四十條對密碼產(chǎn)品和服務(wù)的使用提出了明確要求。

《條例》第四十一條對非關(guān)鍵信息基礎(chǔ)設(shè)施的信息系統(tǒng)的密評建設(shè)提出了明確要求。

上述重要條款從各個方面全面規(guī)范了信息系統(tǒng)關(guān)于密碼應(yīng)用的建設(shè)要求。

在應(yīng)用建設(shè)和安全保障工作的基礎(chǔ)上，《條例》在事中和事后應(yīng)用推進工作中落實協(xié)調(diào)機制建設(shè)和監(jiān)管管理職能，明確了密碼管理部門和有關(guān)部門開展商用密碼監(jiān)管的職權(quán)、協(xié)作配合、保密義務(wù)以及信用監(jiān)管、舉報等制度機制，將密碼管理部門的監(jiān)督、檢查、指導(dǎo)等職責(zé)落實到了具體的管理工作中。

從《條例》上述內(nèi)容來看，條例在密碼應(yīng)用“事中”階段不斷加強對商用密碼活動的監(jiān)督檢查，并建立起與其他網(wǎng)絡(luò)空間安全職能機關(guān)的協(xié)作機制和其他網(wǎng)絡(luò)空間安全領(lǐng)域管理機制的銜接機制。

三、事中強化監(jiān)測 事后持續(xù)監(jiān)管

為進一步鼓勵和促進商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展，激發(fā)市場活力和社會創(chuàng)造力，《條例》設(shè)立“監(jiān)督管理”專章，專章提醒各信息系統(tǒng)運營單位和密碼行業(yè)從業(yè)者，從密碼產(chǎn)業(yè)的執(zhí)行層面出發(fā)，除了需關(guān)注密碼應(yīng)用規(guī)劃設(shè)計、建設(shè)實施等密碼保證能力建設(shè)的“事前”環(huán)節(jié)，還要考慮運行監(jiān)測、工作監(jiān)管這些“事中、事后”環(huán)節(jié)。

在密碼應(yīng)用監(jiān)測方面，結(jié)合《條例》對協(xié)調(diào)機制的建設(shè)要求，信息系統(tǒng)運營單位需要關(guān)注運行狀態(tài)下的密碼應(yīng)用保障體系的應(yīng)用情況、潛在風(fēng)險、關(guān)鍵信息及重大事項，實現(xiàn)密碼應(yīng)用的數(shù)據(jù)收集、數(shù)據(jù)分析、預(yù)警報警和信息通報機制。在密碼應(yīng)用監(jiān)管方面，《條例》要求密碼主管部門對商用密碼領(lǐng)域各行為主體開展監(jiān)督和指導(dǎo)工作，并對測評機構(gòu)及人員、經(jīng)營主體以及使用運營單位進行監(jiān)督檢查。

基于《條例》要求，各地密碼主管部門、各信息系統(tǒng)運營單位需要考慮開展密碼應(yīng)用監(jiān)測、監(jiān)管機制的建設(shè)工作。在密碼應(yīng)用監(jiān)測層面，需要實現(xiàn)密碼設(shè)備、密碼應(yīng)用的體系化監(jiān)測，識別設(shè)備運行狀態(tài)和密碼應(yīng)用保障體系的運行情況，系統(tǒng)性地采集多維度數(shù)據(jù)，進行數(shù)據(jù)梳理和數(shù)據(jù)分析，識別其中的潛在風(fēng)險，進行預(yù)警和報警，解決“密碼在不在用”“密碼用沒用好”等問題，避免“重建輕用”甚至“只建不用”的情況發(fā)生。更進一步，在“信息收集”的基礎(chǔ)上拓展采集工具和探針，達成“信息采集”的目標(biāo)，精細化監(jiān)測能力，最大化監(jiān)測效果，在保障體系安全的基礎(chǔ)上實現(xiàn)監(jiān)測預(yù)警的目標(biāo)。另一方面，歸集匯總密碼態(tài)勢數(shù)據(jù)，與網(wǎng)絡(luò)安全態(tài)勢感知平臺對接實現(xiàn)涵蓋密碼設(shè)備在內(nèi)的所有網(wǎng)絡(luò)安全設(shè)備的一體化監(jiān)測和系統(tǒng)化分析能力，在密碼應(yīng)用監(jiān)管方面，推進監(jiān)管支撐類工具的開發(fā)和使用，對行業(yè)內(nèi)的密評密改、密碼服務(wù)以及平臺建設(shè)等活動進行監(jiān)管，對工作推進節(jié)奏進行規(guī)劃，對工作推進進度進行跟蹤，對工作推進成效進行總結(jié)分析。同時推進產(chǎn)業(yè)管理，對密碼行業(yè)經(jīng)營主體、測評機構(gòu)和技術(shù)產(chǎn)品等信息進行歸集管理，匯總呈現(xiàn)商用密碼活動信息庫，多層面協(xié)助密碼管理部門完成對商用密碼活動的監(jiān)督檢查和商用密碼工作的指導(dǎo)監(jiān)督。

四、安盟信息的“事前事中事后全覆蓋”

安盟信息是一家“懂密碼的安全企業(yè)”，以密碼技術(shù)為基因融合網(wǎng)絡(luò)安全需求，構(gòu)建可信網(wǎng)絡(luò)安全體系，憑借在網(wǎng)絡(luò)安全行業(yè)深厚的實踐經(jīng)驗，形成了有自身特色的密碼技術(shù)產(chǎn)品體系，提出了“服務(wù)－管理－監(jiān)測”立體化的密碼應(yīng)用保障體系，構(gòu)建覆蓋密碼應(yīng)用“事前、事中、事后”全環(huán)節(jié)覆蓋能力，以密碼服務(wù)平臺、密碼設(shè)備管理平臺、密碼應(yīng)用監(jiān)測平臺形成“體系三角”，覆蓋云管邊端密評安全、泛在接入邊界密碼防護和密碼應(yīng)用全生命周期監(jiān)測三大業(yè)務(wù)條線，實現(xiàn)密碼應(yīng)用建設(shè)高效建議、密碼應(yīng)用監(jiān)測實時全面、密碼應(yīng)用監(jiān)管有序有效。

新版《商用密碼管理條例》的頒布實施是商用密碼發(fā)展新的里程碑，安盟信息將持續(xù)致力于商用密碼安全領(lǐng)域的研究及應(yīng)用場景的探索與創(chuàng)新，促進商用密碼產(chǎn)業(yè)高質(zhì)量建設(shè),護航數(shù)字經(jīng)濟健康發(fā)展！