经公安部办公厅、公安部网络安全保卫局推荐,并经国家密码管理局严格的资质审查、人员培训考核和现场评审后,信息产业信息安全测评中心(以下简称“中心”)于近日收到了国家密码管理局下发的《关于同意开展商用密码应用安全性评估试点工作的告知书》(国密局字[2018]57号),成为首批开展商用密码应用安全性评估试点工作的单位之一。
商用密码应用安全性评估主要对重要信息系统和关键信息基础设施(CII)的密码安全进行整体的专项测试和综合评估,以形成科学准确的评估结果,评估涉及密码算法、协议、产品、技术体系、密码管理、密码与应用结合等诸多方面。通过以评促改、以评促用,逐步规范网络运营者的密码使用和管理行为,最终确保密码在重要信息系统和关键信息基础设施中使用的正确、合规、有效。商用密码应用安全性评估工作是密码检测认证体系的重要组成部分,也是《密码法(送审稿)》和中央有关文件的明确要求,是落实总体国家安全观和网络强国战略的具体行动,是深入推进重要领域密码应用的必然要求。
中心从1998年开始就一直致力于网络与信息技术产品和信息系统的安全性测试评估,获得过多项密码算法攻击测试方法专利。此次成功获得商用密码应用安全性评估试点资质,既是公安部办公厅、公安部网络安全保卫局对中心工作的支持和认可,也是国家密码管理局对中心业务能力和水平的充分肯定。在今后的商用密码应用安全性评估工作中,测评中心将按照试点工作要求,在密码管理部门的统一指导下,认真制定评估方案,依据《商用密码应用安全性评估管理办法(试行)》、《信息系统密码应用基本要求》等要求,规范有序地开展商用密码应用安全性评估,健全测评工作机制和流程,提升测评能力和素质,为完善密码应用安全性评估制度体系和标准规范提供支撑。