道普信息参编的密码应用测评国家标准发布，指导、规范密码测评工作

近日，国家市场监督管理总局（国家标准化管理委员会）发布GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准，于2024年4月1日正式实施。该项国家标准由道普信息参编，标准的发布对于规范引导信息系统合规、正确、有效地应用密码测评具有重大意义。

密码应用是网络安全环境的基础，密码测评是密码应用建设优良最重要的考量，密码应用与密码测评工作同为网络安全环境建设的重要部分，意义重大。密码测评是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。测评过程包括四项基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。未进行密码应用方案评估的，可由责任单位委托测评机构或组织专家进行评估；通过评估的密码应用方案可以作为测评实施的依据。

开展密码测评是贯彻《网络安全法》《密码法》《商用密码管理条例》等相关法律法规提出的明确要求，是法定责任和义务。开展密码测评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。

为更好满足行业发展需要，保证国内密码测评领域的健康发展，结合国内的实践，道普信息参编了GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准。该标准规定了信息系统第一级到第四级的密码应用测评的基本要求，从密码算法、密码产品、密码服务、密钥管理四个方面提出通用测评要求，并从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出技术测评要求，同时从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的管理测评要求，最后给出了整体测评要求、风险分析和评价、测评结论的要求，将有助于提高信息系统密码应用的安全性和可靠性，成为今后密码测评工作的重要抓手。

道普信息由山东省计算中心所属山东省软件评测中心于2016年通过科研成果转化成立，是全国首批24家商用密码应用安全性评估试点机构之一。基于多年来在密码测评领域的实践与具备的雄厚实力，从实践的角度积极协助推进标准的制定，不仅推动了信息系统密码应用的合规性、正确性和有效性，也将促进密码在各个领域的应用和发展。

作为第三方信息化风险管控机构，道普信息一直在推动国家标准、行业标准的建立。未来，道普信息协力以标准体系建设支撑和引领行业高质量发展，为信息系统密码应用测评提供了更加科学、规范和准确的方法论基础，为我国密码应用高质量发展做出贡献，助力数字中国建设。