一、商密條例重磅發(fā)布

2023年5月24日，中華人民共和國中央人民政府網(wǎng)站公開《商用密碼管理條例》（以下簡稱《條例》）2023年修訂版正式稿全文，《條例》在2023年4月14日國務院第4次常務會議修訂通過，現(xiàn)予公布，自2023年7月1日起施行。

密碼是保障網(wǎng)絡空間安全的核心技術，也是公認的維護網(wǎng)絡安全最有效、最可靠、最經(jīng)濟的技術手段，其用途非常廣泛，直接關系國家安全、社會公共利益以及公民、法人和其他組織的合法權益，應當依法進行管理。我國在互聯(lián)網(wǎng)發(fā)展初期就開始出臺相關法律法規(guī)以加強商用密碼管理。1999年10月，國務院頒布了我國密碼領域的第一部行政法規(guī)《商用密碼管理條例》，伴隨著國際國內形勢、網(wǎng)絡安全行業(yè)和密碼產(chǎn)業(yè)不斷變化，商用密碼的相關政策法規(guī)也不斷演變。在網(wǎng)絡安全法、密碼法、數(shù)據(jù)安全法、個人信息保護法等四法四規(guī)相繼發(fā)布后，此次《條例》對商用密碼管理制度進行了結構性重塑，完成了大幅度的修訂和補充，對我國商用密碼管理體系建設前瞻性思考、全局性謀劃、整體性推進具有重要意義。

《條例》從管理職責，科創(chuàng)標準、檢測認證、電子認證、進出口、應用促進、監(jiān)督管理、法律責任等方面進行了明確的闡述和說明。整個條例緊扣密碼法的法律條文，明確了法理依據(jù)、落實了管理要求、界定了管理范圍、深化了管理粒度、細化了管理機制、強化了測評要求、增補了產(chǎn)促措施、加強了統(tǒng)籌指導，串聯(lián)銜接起了主管部門、行業(yè)機構、用戶單位、測評機構以及產(chǎn)業(yè)鏈相關方，為其提供了全方位的工作指引。

密碼是網(wǎng)絡空間安全的核心技術和基礎支撐，新《條例》的發(fā)布順應了我國網(wǎng)絡安全制度體系的建設需要，為制度體系填補了一塊重要的拼圖，與國家的測評體系、認證認可體系、檢測認證制度、網(wǎng)絡安全審查制度以及網(wǎng)絡安全管理體系相互銜接，串聯(lián)構筑網(wǎng)絡安全制度體系藍圖。

二、促進應用落地 聚焦全程監(jiān)管

為推進并規(guī)范商用密碼在信息領域新技術、新業(yè)態(tài)、新模式中的應用，新《條例》秉持“商用密碼活動管理事前事中事后全覆蓋”的理念，其第六章應用推進和第七章監(jiān)督管理發(fā)布了一系列針對商用密碼應用和安全保障工作落實事前、事中和事后管理的重要條款。應用推進篇章旨在規(guī)范商用密碼在各行業(yè)的應用要求，保障事前環(huán)節(jié)的合法合規(guī)開展，并針對具體行業(yè)領域指出測評的強制性要求。密碼應用建設固然重要，但為發(fā)揮效能，還需保障所建設的密碼保障體系能夠持續(xù)有效地發(fā)揮安全防護效能，為此，第六章第三十七條協(xié)調制度和第七章監(jiān)督管理章節(jié)旨在跟蹤落實事中和事后應用推進的進度和成效。

《條例》第三十八條對關鍵信息基礎設施領域的密碼應用提出了明確要求。

《條例》第三十九條、第四十條對密碼產(chǎn)品和服務的使用提出了明確要求。

《條例》第四十一條對非關鍵信息基礎設施的信息系統(tǒng)的密評建設提出了明確要求。

上述重要條款從各個方面全面規(guī)范了信息系統(tǒng)關于密碼應用的建設要求。

在應用建設和安全保障工作的基礎上，《條例》在事中和事后應用推進工作中落實協(xié)調機制建設和監(jiān)管管理職能，明確了密碼管理部門和有關部門開展商用密碼監(jiān)管的職權、協(xié)作配合、保密義務以及信用監(jiān)管、舉報等制度機制，將密碼管理部門的監(jiān)督、檢查、指導等職責落實到了具體的管理工作中。

從《條例》上述內容來看，條例在密碼應用“事中”階段不斷加強對商用密碼活動的監(jiān)督檢查，并建立起與其他網(wǎng)絡空間安全職能機關的協(xié)作機制和其他網(wǎng)絡空間安全領域管理機制的銜接機制。

三、事中強化監(jiān)測 事后持續(xù)監(jiān)管

為進一步鼓勵和促進商用密碼產(chǎn)業(yè)高質量發(fā)展，激發(fā)市場活力和社會創(chuàng)造力，《條例》設立“監(jiān)督管理”專章，專章提醒各信息系統(tǒng)運營單位和密碼行業(yè)從業(yè)者，從密碼產(chǎn)業(yè)的執(zhí)行層面出發(fā)，除了需關注密碼應用規(guī)劃設計、建設實施等密碼保證能力建設的“事前”環(huán)節(jié)，還要考慮運行監(jiān)測、工作監(jiān)管這些“事中、事后”環(huán)節(jié)。

在密碼應用監(jiān)測方面，結合《條例》對協(xié)調機制的建設要求，信息系統(tǒng)運營單位需要關注運行狀態(tài)下的密碼應用保障體系的應用情況、潛在風險、關鍵信息及重大事項，實現(xiàn)密碼應用的數(shù)據(jù)收集、數(shù)據(jù)分析、預警報警和信息通報機制。在密碼應用監(jiān)管方面，《條例》要求密碼主管部門對商用密碼領域各行為主體開展監(jiān)督和指導工作，并對測評機構及人員、經(jīng)營主體以及使用運營單位進行監(jiān)督檢查。

基于《條例》要求，各地密碼主管部門、各信息系統(tǒng)運營單位需要考慮開展密碼應用監(jiān)測、監(jiān)管機制的建設工作。在密碼應用監(jiān)測層面，需要實現(xiàn)密碼設備、密碼應用的體系化監(jiān)測，識別設備運行狀態(tài)和密碼應用保障體系的運行情況，系統(tǒng)性地采集多維度數(shù)據(jù)，進行數(shù)據(jù)梳理和數(shù)據(jù)分析，識別其中的潛在風險，進行預警和報警，解決“密碼在不在用”“密碼用沒用好”等問題，避免“重建輕用”甚至“只建不用”的情況發(fā)生。更進一步，在“信息收集”的基礎上拓展采集工具和探針，達成“信息采集”的目標，精細化監(jiān)測能力，最大化監(jiān)測效果，在保障體系安全的基礎上實現(xiàn)監(jiān)測預警的目標。另一方面，歸集匯總密碼態(tài)勢數(shù)據(jù)，與網(wǎng)絡安全態(tài)勢感知平臺對接實現(xiàn)涵蓋密碼設備在內的所有網(wǎng)絡安全設備的一體化監(jiān)測和系統(tǒng)化分析能力，在密碼應用監(jiān)管方面，推進監(jiān)管支撐類工具的開發(fā)和使用，對行業(yè)內的密評密改、密碼服務以及平臺建設等活動進行監(jiān)管，對工作推進節(jié)奏進行規(guī)劃，對工作推進進度進行跟蹤，對工作推進成效進行總結分析。同時推進產(chǎn)業(yè)管理，對密碼行業(yè)經(jīng)營主體、測評機構和技術產(chǎn)品等信息進行歸集管理，匯總呈現(xiàn)商用密碼活動信息庫，多層面協(xié)助密碼管理部門完成對商用密碼活動的監(jiān)督檢查和商用密碼工作的指導監(jiān)督。

四、安盟信息的“事前事中事后全覆蓋”

安盟信息是一家“懂密碼的安全企業(yè)”，以密碼技術為基因融合網(wǎng)絡安全需求，構建可信網(wǎng)絡安全體系，憑借在網(wǎng)絡安全行業(yè)深厚的實踐經(jīng)驗，形成了有自身特色的密碼技術產(chǎn)品體系，提出了“服務－管理－監(jiān)測”立體化的密碼應用保障體系，構建覆蓋密碼應用“事前、事中、事后”全環(huán)節(jié)覆蓋能力，以密碼服務平臺、密碼設備管理平臺、密碼應用監(jiān)測平臺形成“體系三角”，覆蓋云管邊端密評安全、泛在接入邊界密碼防護和密碼應用全生命周期監(jiān)測三大業(yè)務條線，實現(xiàn)密碼應用建設高效建議、密碼應用監(jiān)測實時全面、密碼應用監(jiān)管有序有效。

新版《商用密碼管理條例》的頒布實施是商用密碼發(fā)展新的里程碑，安盟信息將持續(xù)致力于商用密碼安全領域的研究及應用場景的探索與創(chuàng)新，促進商用密碼產(chǎn)業(yè)高質量建設,護航數(shù)字經(jīng)濟健康發(fā)展！