重磅！《商用密码应用安全性评估管理办法》正式公布，密评密改步入“规范化”时代

10月7日，国家密码管理局公布了《商用密码应用安全性评估管理办法》（国家密码管理局令第3号）（以下简称《办法》），《办法》已经国家密码管理局局务会议审议通过，自2023年11月1日起施行。

《办法》秉持商用密码应用安全性评估工作系统性原则，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系，细化落实了“三同步一评估”要求，体现了商用密码应用安全性评估系统性原则，明确了商用密码应用安全性评估实施依据。

以密评促密改，密码合规应用更加规范

商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。随着《密码法》颁布实施，商用密码应用安全性评估制度依法确立，商用密码应用安全性评估机构纳入商用密码检测机构统一管理，新修订的《商用密码管理条例》第三十八条、第四十一条也进一步明确了商用密码应用安全性评估相关制度要求。

《办法》第九条明确，重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

作为拥有国家密码管理局颁发的商用密码使用许可资质的全国性电子认证服务机构，天威诚信立足深耕商用密码领域二十多年的技术优势和服务经验，依据《办法》以及新修订的《商用密码管理条例》相关规定，可对未通过商用密码应用安全性评估的重要网络与信息系统进行商用密码合规改造，助力客户网络与信息系统顺利通过商用密码应用安全性评估，保障系统应用和运营数据的安全合规。

#

明确整改目标，保障关键业务环节安全可靠

在《密码法》《商用密码管理条例》指导下，天威诚信可根据客户所属行业以及业务信息系统存储、传输和处理数据性质等方面信息，重点梳理用户身份认证、数据加密传输和操作抗抵赖等方面的安全需求，以密评咨询服务和商用密码建设为双轮驱动，致力于将商用密码技术渗透到客户网络与信息系统的关键业务环节，帮助客户构建安全可靠的密码保障体系。

在实践中，制定密码合规改造方案要充分考虑信息系统现状、密评合规要求、工程实施的现实可行性，同时，改造过程还涉及商用密码应用方案、改造方案、产品选择、设备运维和交付等一系列整改工作。

依托在密码算法、密码技术、密码产品、密码服务等多维度密码应用的专业服务能力，天威诚信可从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全等角度出发进行统一规划设计，为客户提供涵盖密码改造规划、建设与运行三阶段的密评合规解决方案。

植根应用需求，成熟化改造助您轻松过密评

依据政策和行业监管要求，天威诚信以GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中技术指标要求进行整体设计规划，以国密算法和通过国家密码管理部门核准的密码产品与密码模块为基础，围绕客户实际业务应用与安全等级保护需求，采用成熟的商用密码产品，以及成熟、稳定、可靠的网络架构实施覆盖网络与信息系统各环节的合规应用改造，确保改造期间服务不间断，保证网络与信息系统运行安全。

天威诚信所提供的各类商用密码产品具有良好的安全性、快捷的运行速度和强大的扩展能力，已在多个重要领域的网络与信息系统中得到成功应用。在实施密码合规改造的同时，还可通过顶层规划采用适配的密码产品和组件满足业务系统、数据库、云平台各个维度的合规指标要求，助力客户顺利通过密评，提升企业信息安全保护能力。

此外，为节约改造成本，天威诚信所采用的相关产品均采用“双冗余”设计，避免系统出现设备的单点故障，并进一步简化密钥管理操作，减少密码改造和密钥管理系统的维护成本，使企业信息加密变得更易于配置和管理。