为什么要做密评
开展密评工作的重要依据是通过密评发现在网络和信息系统中商用密码应用中存在的问题与不足,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,补足商用密码应用短板,切实构建起坚实可靠的网络安全密码屏障。开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
以下开展密评工作的重要依据:
发现商用密码应用不足,解决问题
通过密评发现在网络和信息系统中商用密码应用中存在的问题与不足,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,补足商用密码应用短板,切实构建起坚实可靠的网络安全密码屏障。
国家法律法规要求
开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。
《网络安全法》第十条:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
《密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
所以及时开展密评,是广大网络安全运营者落实法律法规要求,履行网络安全义务的一项重要事项。
如果没有及时开展密评的,根据《密码法》第三十七条:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
相关政策文件要求
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
各地各行业相关主管部门在各类相关网络安全文件中也多多少少提过要开展密评的工作的要求,具体以各单位收到的文件为准。