商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务,广泛应用在国民经济发展和社会生产生活的众多领域,在保障网络与信息安全、维护国家安全和社会公共利益等方面也发挥着重要作用。为了规范商用密码检测活动和应用安全性评估工作,国家密码管理局日前出台了《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》。
据了解,《商用密码检测机构管理办法》对商用密码检测机构的监管体制、资质认定条件和程序、从业规范等都作出了规定,明确:“从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。”规定:“国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。”同时强调:“商用密码检测机构及相关从业人员应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,尊重知识产权,恪守职业道德,承担社会责任,保守在工作中知悉的国家秘密、商业秘密和个人隐私。”
《商用密码应用安全性评估管理办法》规范了商用密码应用安全性评估的概念定义、管理体制、程序及内容要求、实施规范等内容,明确:“商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。”强调:“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。”
两部管理办法将于今年11月1日正式施行。
(总台央视记者 宋琎)