解讀 | 為什麼要做“密評”？（中科三方）

“密評”全稱“密碼應用安全性評估”，是指在採用密碼技術、產品和服務整合建設的網路和資訊系統中，對其密碼應用的合規性、正確性和有效性進行評估。弄清楚了什麼是密評，那為什麼要做密評呢？

國家法律法規

開展密評，是國家相關法律法規提出的明確要求，是網路安全運營者的法定責任和義務。

《中華人民共和國密碼法》

第二十七條：法律、行政法規和國家有關規定要求使用密碼進行保護的關鍵資訊基礎設施，其運營者應當使用密碼進行保護，自行或者委託密碼檢測機構開展密碼應用安全性評估。

《商用密碼應用安全性評估管理辦法(試行)》

第十條：關鍵資訊基礎設施、網路安全等級保護第三級及以上資訊系統，每年至少評估一次。

《網路安全等級保護條例（徵求意見稿）》

第四十七條：第三級以上網路運營者應在網路規劃、建設和執行階段，按照密碼應用安全性評估管理辦法和相關標準，委託密碼應用安全性測評機構開展密碼應用安全性評估。網路透過評估後，方可上線執行，並在投入執行後，每年至少組織一次評估。

《國家政務資訊化專案建設管理辦法》

第十五條：專案建設單位應當落實國家密碼管理有關法律法規和標準規範的要求，同步規劃、同步建設、同步執行密碼保障系統並定期進行評估。

第二十五條：專案建設單位提交驗收申請報告時應當附上密碼應用安全性評估報告等材料。

因此，及時開展密評，是廣大網路安全運營者落實法律法規要求，履行網路安全義務的一項重要責任。

開展密評工作的必要性

是應對網路安全形勢的需求

透過密評可以及時發現在密碼應用過程中存在的問題，為網路和資訊保安提供科學的評價方法，逐步規範密碼的使用和管理，從根本上改變密碼應用不廣泛、不規範、不安全的現狀，確保密碼在網路和資訊系統中得到有效應用，切實構建起堅實可靠的網路安全密碼保障。

是系統安全維護的必然要求

密碼應用是否合規、正確、有效，涉及密碼演算法、協議、產品、技術體系、金鑰管理、密碼應用多個方面。因此，需委託專業機構、專業人員，採用專業工具和專業手段，對系統整體的密碼應用安全進行專項測試和綜合評估，形成科學準確的評估結果，以便及時掌握密碼安全現狀，採取必要的技術和管理措施。

是相關責任主體的法定職責

國家各項法律、行政法規和有關規定要求使用密碼進行保護的關鍵資訊基礎設施，其運營者應當使用密碼進行保護，自行或者委託密碼檢測機構開展密碼應用安全性評估。

《網路安全等級保護條例（徵求意見稿）》強化密碼應用要求，突出密碼應用監管，重點面向網路安全等級保護第三級及以上系統，落實密碼應用安全性評估制度。因此，針對重要領域網路與資訊系統開展密評，是網路運營者和主管部門的法定責任。

結語

密碼體系是網路安全環境的基礎，密碼評測是建立健全密碼安全體系最重要的考量，密碼應用與密碼評測工作同為網路安全環境建設的重要部分，意義重大。

相關從業者和應用者在建設密碼體系的同時，更要重視密碼評測工作，切實保障密碼體系能被合規建設和正確應用，構建完善的網路安全環境。