商密條例重磅發布｜監測監管勢在必行

一、商密條例重磅發布

2023年5月24日，中華人民共和國中央人民政府網站公開《商用密碼管理條例》（以下簡稱《條例》）2023年修訂版正式稿全文，《條例》在2023年4月14日國務院第4次常務會議修訂通過，現予公布，自2023年7月1日起施行。

密碼是保障網絡空間安全的核心技術，也是公認的維護網絡安全最有效、最可靠、最經濟的技術手段，其用途非常廣泛，直接關系國家安全、社會公共利益以及公民、法人和其他組織的合法權益，應當依法進行管理。我國在互聯網發展初期就開始出臺相關法律法規以加強商用密碼管理。1999年10月，國務院頒布了我國密碼領域的第一部行政法規《商用密碼管理條例》，伴隨著國際國內形勢、網絡安全行業和密碼產業不斷變化，商用密碼的相關政策法規也不斷演變。在網絡安全法、密碼法、數據安全法、個人信息保護法等四法四規相繼發布后，此次《條例》對商用密碼管理制度進行了結構性重塑，完成了大幅度的修訂和補充，對我國商用密碼管理體系建設前瞻性思考、全局性謀劃、整體性推進具有重要意義。

《條例》從管理職責，科創標準、檢測認證、電子認證、進出口、應用促進、監督管理、法律責任等方面進行了明確的闡述和說明。整個條例緊扣密碼法的法律條文，明確了法理依據、落實了管理要求、界定了管理范圍、深化了管理粒度、細化了管理機制、強化了測評要求、增補了產促措施、加強了統籌指導，串聯銜接起了主管部門、行業機構、用戶單位、測評機構以及產業鏈相關方，為其提供了全方位的工作指引。

密碼是網絡空間安全的核心技術和基礎支撐，新《條例》的發布順應了我國網絡安全制度體系的建設需要，為制度體系填補了一塊重要的拼圖，與國家的測評體系、認證認可體系、檢測認證制度、網絡安全審查制度以及網絡安全管理體系相互銜接，串聯構筑網絡安全制度體系藍圖。

二、促進應用落地 聚焦全程監管

為推進并規范商用密碼在信息領域新技術、新業態、新模式中的應用，新《條例》秉持“商用密碼活動管理事前事中事后全覆蓋”的理念，其第六章應用推進和第七章監督管理發布了一系列針對商用密碼應用和安全保障工作落實事前、事中和事后管理的重要條款。應用推進篇章旨在規范商用密碼在各行業的應用要求，保障事前環節的合法合規開展，并針對具體行業領域指出測評的強制性要求。密碼應用建設固然重要，但為發揮效能，還需保障所建設的密碼保障體系能夠持續有效地發揮安全防護效能，為此，第六章第三十七條協調制度和第七章監督管理章節旨在跟蹤落實事中和事后應用推進的進度和成效。

《條例》第三十八條對關鍵信息基礎設施領域的密碼應用提出了明確要求。

《條例》第三十九條、第四十條對密碼產品和服務的使用提出了明確要求。

《條例》第四十一條對非關鍵信息基礎設施的信息系統的密評建設提出了明確要求。

上述重要條款從各個方面全面規范了信息系統關于密碼應用的建設要求。

在應用建設和安全保障工作的基礎上，《條例》在事中和事后應用推進工作中落實協調機制建設和監管管理職能，明確了密碼管理部門和有關部門開展商用密碼監管的職權、協作配合、保密義務以及信用監管、舉報等制度機制，將密碼管理部門的監督、檢查、指導等職責落實到了具體的管理工作中。

從《條例》上述內容來看，條例在密碼應用“事中”階段不斷加強對商用密碼活動的監督檢查，并建立起與其他網絡空間安全職能機關的協作機制和其他網絡空間安全領域管理機制的銜接機制。

三、事中強化監測 事后持續監管

為進一步鼓勵和促進商用密碼產業高質量發展，激發市場活力和社會創造力，《條例》設立“監督管理”專章，專章提醒各信息系統運營單位和密碼行業從業者，從密碼產業的執行層面出發，除了需關注密碼應用規劃設計、建設實施等密碼保證能力建設的“事前”環節，還要考慮運行監測、工作監管這些“事中、事后”環節。

在密碼應用監測方面，結合《條例》對協調機制的建設要求，信息系統運營單位需要關注運行狀態下的密碼應用保障體系的應用情況、潛在風險、關鍵信息及重大事項，實現密碼應用的數據收集、數據分析、預警報警和信息通報機制。在密碼應用監管方面，《條例》要求密碼主管部門對商用密碼領域各行為主體開展監督和指導工作，并對測評機構及人員、經營主體以及使用運營單位進行監督檢查。

基于《條例》要求，各地密碼主管部門、各信息系統運營單位需要考慮開展密碼應用監測、監管機制的建設工作。在密碼應用監測層面，需要實現密碼設備、密碼應用的體系化監測，識別設備運行狀態和密碼應用保障體系的運行情況，系統性地采集多維度數據，進行數據梳理和數據分析，識別其中的潛在風險，進行預警和報警，解決“密碼在不在用”“密碼用沒用好”等問題，避免“重建輕用”甚至“只建不用”的情況發生。更進一步，在“信息收集”的基礎上拓展采集工具和探針，達成“信息采集”的目標，精細化監測能力，最大化監測效果，在保障體系安全的基礎上實現監測預警的目標。另一方面，歸集匯總密碼態勢數據，與網絡安全態勢感知平臺對接實現涵蓋密碼設備在內的所有網絡安全設備的一體化監測和系統化分析能力，在密碼應用監管方面，推進監管支撐類工具的開發和使用，對行業內的密評密改、密碼服務以及平臺建設等活動進行監管，對工作推進節奏進行規劃，對工作推進進度進行跟蹤，對工作推進成效進行總結分析。同時推進產業管理，對密碼行業經營主體、測評機構和技術產品等信息進行歸集管理，匯總呈現商用密碼活動信息庫，多層面協助密碼管理部門完成對商用密碼活動的監督檢查和商用密碼工作的指導監督。

四、安盟信息的“事前事中事后全覆蓋”

安盟信息是一家“懂密碼的安全企業”，以密碼技術為基因融合網絡安全需求，構建可信網絡安全體系，憑借在網絡安全行業深厚的實踐經驗，形成了有自身特色的密碼技術產品體系，提出了“服務－管理－監測”立體化的密碼應用保障體系，構建覆蓋密碼應用“事前、事中、事后”全環節覆蓋能力，以密碼服務平臺、密碼設備管理平臺、密碼應用監測平臺形成“體系三角”，覆蓋云管邊端密評安全、泛在接入邊界密碼防護和密碼應用全生命周期監測三大業務條線，實現密碼應用建設高效建議、密碼應用監測實時全面、密碼應用監管有序有效。

新版《商用密碼管理條例》的頒布實施是商用密碼發展新的里程碑，安盟信息將持續致力于商用密碼安全領域的研究及應用場景的探索與創新，促進商用密碼產業高質量建設,護航數字經濟健康發展！