道普信息参编密评国家标准4月1日起实施，指导、规范密码测评工作

随着信息化进程的加速推进，信息系统安全已成为各行各业关注的焦点。密码应用安全性评估（以下简称密评）作为保障信息系统密码应用合规性、正确性与有效性的关键手段，在维护网络安全、保护数据安全、确保业务连续性等方面发挥着不可或缺的作用。

2024年4月1日，GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准正式实施。该项国家标准由道普信息参编，该项标准能够对信息系统建设者、运营者进行科学规范的指导，助力用户根据业务特性、安全需要，正确选择、使用相应的密码技术、密码产品，以更好地保障网络信息安全。

密码应用是网络安全环境的基础，密评是密码应用建设优良最重要的考量，密码应用与密评工作同为网络安全环境建设的重要部分。

开展密评是贯彻《网络安全法》《密码法》《商用密码管理条例》等相关法律法规提出的明确要求，是法定责任和义务。

开展密评是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。

密评“强制性”执行阶段到来

《商用密码管理办法》明确将密评对象明确为重要网络与信息系统，不仅涵盖了关键信息基础设施，还包含其他大量系统。

因此，密评服务的客户群体极为广泛，包括但不限于关键信息基础设施运营者（如电信、能源、交通、金融等领域核心系统）、大型企业与机构（如银行、互联网公司、医疗保健机构等）、政府机关与公共部门（各级政府、事业单位及其处理政务数据、公民信息、公共服务数据的系统）、第三方服务提供商（云计算、大数据平台等）、中小型企业（处理敏感信息或依赖信息系统的核心业务）、特定行业与领域（如国防、电力、电商、在线支付等）。

他们由于其业务特性和法规要求，均需确保其重要网络与信息系统的密码应用符合安全标准，因此进行密评成为了众多客户不可或缺的工作环节。

01

履行法定责任，确保密码合规性

《密码法》、《商用密码应用安全性评估管理办法》等法律法规要求信息系统要开展密码应用安全性评估。

如果重要网络与信息系统的运营者没有按照要求进行密评，将受到严重的处罚。《密码法》明确规定，未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告。《办法》也规定重要网络与信息系统的运营者违反本办法规定，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款。

02

应对行业特定要求，提升行业竞争力

不同行业在信息安全方面往往有特定的监管要求和标准，尤其是金融、医疗、能源、通信等关键领域。

这些行业监管部门通常会对涉及重要信息系统的密码应用提出更高标准，要求企业进行密评以确保其密码应用符合行业规范，提升系统的安全防御能力。

03

拓展等保防护边界，加固核心数据堡垒

等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等，密评作为等保的深化和补充，聚焦于密码技术在数据保护中的应用，确保数据在传输、存储、处理过程中的机密性、完整性和不可否认性，为客户提供更深层次的数据安全保障。

04

应对日益复杂威胁，满足安全需求

当前信息系统在密码应用方面存在的诸多问题，如大部分系统缺乏密码技术保护，导致合规风险显著；密码使用不规范、密钥管理松散、系统维护不到位，埋下安全隐患；大量系统仍在沿用存在风险的旧式密码算法，安全服务使用亦不合规，严重威胁信息系统安全；加之密码产品繁多、系统改造困难且成本高昂，以及密码资源管理分散、难以有效维护，使得信息安全形势更为严峻。

通过密评，客户能够系统性地审视其密码应用现状，发现并及时修复潜在的安全漏洞，提升系统的整体防护能力，从而保障业务在复杂威胁环境下安全、稳定、高效运行。

国家标准指导密评工作规范化、标准化

国家标准对于规范密码应用、保障信息安全至关重要。2018年国家密码管理局发布实施的GM/T0054-2018《信息系统密码应用基本要求》和2021年GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》国家标准，为密码应用设定了统一规范，降低了安全风险。

为更好满足行业发展需要，保证国内密码测评领域的健康发展，结合国内的实践，道普信息参编了GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》国家标准。

该标准规定了信息系统第一级到第四级的密码应用测评的基本要求，从密码算法、密码产品、密码服务、密钥管理四个方面提出通用测评要求，并从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出技术测评要求，同时从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的管理测评要求，最后给出了整体测评要求、风险分析和评价、测评结论的要求，将有助于提高各行业客户的信息系统密码应用的安全性和可靠性，成为今后密码测评工作的重要抓手。

多规管理融合实现全面合规

在数字化经济蓬勃发展的背景下，密码作为信息安全的基石，其重要性日益凸显，已经成为保障各类信息系统和数据安全不可或缺的基础设施。2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。

随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体，合规是基准。道普信息风险管控专家建议，可以借助专业的第三方风险管控服务，采取多规管理融合手段，基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评等安全性评估，实现合规工作的规范化，降低合规管理成本，满足监管部门各项网络安全要求，保障信息化管理对象合规运行，减少监管部门的通报，实现全面合规。

在数字化经济发展的过程中，密码已成为安全保障的基础设施，密评工作成为强制性要求。国家标准是指导密评工作的纲领性文件，作为标准参编单位，道普信息是由山东省计算中心所属山东省软件评测中心于2016年通过科研成果转化成立，被国家密码管理局列入商用密码检测机构名单，为客户提供全方位、高标准的密评服务，保障客户信息系统密码应用的安全、合规与高效运行。

面对日益增多的政策要求、严格的监管态势以及严峻的安全风险，道普信息倡导进行多规管理融合，保障合规管理全覆盖，助力构建更安全、更高效、更可靠的自主安全信息化环境，保障商用密码应用安全，为数字经济安全发展保驾护航。