商密条例重磅发布｜监测监管势在必行

一、商密条例重磅发布

2023年5月24日，中华人民共和国中央人民政府网站公开《商用密码管理条例》（以下简称《条例》）2023年修订版正式稿全文，《条例》在2023年4月14日国务院第4次常务会议修订通过，现予公布，自2023年7月1日起施行。

密码是保障网络空间安全的核心技术，也是公认的维护网络安全最有效、最可靠、最经济的技术手段，其用途非常广泛，直接关系国家安全、社会公共利益以及公民、法人和其他组织的合法权益，应当依法进行管理。我国在互联网发展初期就开始出台相关法律法规以加强商用密码管理。1999年10月，国务院颁布了我国密码领域的第一部行政法规《商用密码管理条例》，伴随着国际国内形势、网络安全行业和密码产业不断变化，商用密码的相关政策法规也不断演变。在网络安全法、密码法、数据安全法、个人信息保护法等四法四规相继发布后，此次《条例》对商用密码管理制度进行了结构性重塑，完成了大幅度的修订和补充，对我国商用密码管理体系建设前瞻性思考、全局性谋划、整体性推进具有重要意义。

《条例》从管理职责，科创标准、检测认证、电子认证、进出口、应用促进、监督管理、法律责任等方面进行了明确的阐述和说明。整个条例紧扣密码法的法律条文，明确了法理依据、落实了管理要求、界定了管理范围、深化了管理粒度、细化了管理机制、强化了测评要求、增补了产促措施、加强了统筹指导，串联衔接起了主管部门、行业机构、用户单位、测评机构以及产业链相关方，为其提供了全方位的工作指引。

密码是网络空间安全的核心技术和基础支撑，新《条例》的发布顺应了我国网络安全制度体系的建设需要，为制度体系填补了一块重要的拼图，与国家的测评体系、认证认可体系、检测认证制度、网络安全审查制度以及网络安全管理体系相互衔接，串联构筑网络安全制度体系蓝图。

二、促进应用落地 聚焦全程监管

为推进并规范商用密码在信息领域新技术、新业态、新模式中的应用，新《条例》秉持“商用密码活动管理事前事中事后全覆盖”的理念，其第六章应用推进和第七章监督管理发布了一系列针对商用密码应用和安全保障工作落实事前、事中和事后管理的重要条款。应用推进篇章旨在规范商用密码在各行业的应用要求，保障事前环节的合法合规开展，并针对具体行业领域指出测评的强制性要求。密码应用建设固然重要，但为发挥效能，还需保障所建设的密码保障体系能够持续有效地发挥安全防护效能，为此，第六章第三十七条协调制度和第七章监督管理章节旨在跟踪落实事中和事后应用推进的进度和成效。

《条例》第三十八条对关键信息基础设施领域的密码应用提出了明确要求。

《条例》第三十九条、第四十条对密码产品和服务的使用提出了明确要求。

《条例》第四十一条对非关键信息基础设施的信息系统的密评建设提出了明确要求。

上述重要条款从各个方面全面规范了信息系统关于密码应用的建设要求。

在应用建设和安全保障工作的基础上，《条例》在事中和事后应用推进工作中落实协调机制建设和监管管理职能，明确了密码管理部门和有关部门开展商用密码监管的职权、协作配合、保密义务以及信用监管、举报等制度机制，将密码管理部门的监督、检查、指导等职责落实到了具体的管理工作中。

从《条例》上述内容来看，条例在密码应用“事中”阶段不断加强对商用密码活动的监督检查，并建立起与其他网络空间安全职能机关的协作机制和其他网络空间安全领域管理机制的衔接机制。

三、事中强化监测 事后持续监管

为进一步鼓励和促进商用密码产业高质量发展，激发市场活力和社会创造力，《条例》设立“监督管理”专章，专章提醒各信息系统运营单位和密码行业从业者，从密码产业的执行层面出发，除了需关注密码应用规划设计、建设实施等密码保证能力建设的“事前”环节，还要考虑运行监测、工作监管这些“事中、事后”环节。

在密码应用监测方面，结合《条例》对协调机制的建设要求，信息系统运营单位需要关注运行状态下的密码应用保障体系的应用情况、潜在风险、关键信息及重大事项，实现密码应用的数据收集、数据分析、预警报警和信息通报机制。在密码应用监管方面，《条例》要求密码主管部门对商用密码领域各行为主体开展监督和指导工作，并对测评机构及人员、经营主体以及使用运营单位进行监督检查。

基于《条例》要求，各地密码主管部门、各信息系统运营单位需要考虑开展密码应用监测、监管机制的建设工作。在密码应用监测层面，需要实现密码设备、密码应用的体系化监测，识别设备运行状态和密码应用保障体系的运行情况，系统性地采集多维度数据，进行数据梳理和数据分析，识别其中的潜在风险，进行预警和报警，解决“密码在不在用”“密码用没用好”等问题，避免“重建轻用”甚至“只建不用”的情况发生。更进一步，在“信息收集”的基础上拓展采集工具和探针，达成“信息采集”的目标，精细化监测能力，最大化监测效果，在保障体系安全的基础上实现监测预警的目标。另一方面，归集汇总密码态势数据，与网络安全态势感知平台对接实现涵盖密码设备在内的所有网络安全设备的一体化监测和系统化分析能力，在密码应用监管方面，推进监管支撑类工具的开发和使用，对行业内的密评密改、密码服务以及平台建设等活动进行监管，对工作推进节奏进行规划，对工作推进进度进行跟踪，对工作推进成效进行总结分析。同时推进产业管理，对密码行业经营主体、测评机构和技术产品等信息进行归集管理，汇总呈现商用密码活动信息库，多层面协助密码管理部门完成对商用密码活动的监督检查和商用密码工作的指导监督。

四、安盟信息的“事前事中事后全覆盖”

安盟信息是一家“懂密码的安全企业”，以密码技术为基因融合网络安全需求，构建可信网络安全体系，凭借在网络安全行业深厚的实践经验，形成了有自身特色的密码技术产品体系，提出了“服务－管理－监测”立体化的密码应用保障体系，构建覆盖密码应用“事前、事中、事后”全环节覆盖能力，以密码服务平台、密码设备管理平台、密码应用监测平台形成“体系三角”，覆盖云管边端密评安全、泛在接入边界密码防护和密码应用全生命周期监测三大业务条线，实现密码应用建设高效建议、密码应用监测实时全面、密码应用监管有序有效。

新版《商用密码管理条例》的颁布实施是商用密码发展新的里程碑，安盟信息将持续致力于商用密码安全领域的研究及应用场景的探索与创新，促进商用密码产业高质量建设,护航数字经济健康发展！