7月20日，由北京金融科技产业联盟、移动支付网联合主办的线上直播栏目《金融科技大讲堂》第二十六期开播。在本期直播中，北京数字认证股份有限公司研究院院长夏鲁宁结合新版《商用密码管理条例》，以“从新版条例看商用密码管理的结构性重塑”为主题，讲述商用密码管理思路的历史变迁，分享金融行业典型密码应用经验。

商用密码管理制度的变迁

1996年，中共中央政治局常委会议专题研究有关商用密码发展和使用。1999年《商用密码管理条例》通过，明确商用密码技术属于国家秘密。2019年《密码法》颁布，成为密码工作历史上的里程碑。

新版商用密码管理条例概况

2023年7月1日起，修订后的《商用密码管理条例》施行，落实《密码法》对商密管理的结构性重塑是《条例》修订的主要背景。相比于1999年条例，新条例顺应社会进步与科技发展，削减行政审批事项、放宽市场准入，鼓励科技创新，加强应用推进和监督管理，在法律大框架下对商用密码管理制度进行了重塑。

新版《条例》分为九个章节，强调党管密码是根本原则，明确四级行政管理体系，支持科研生产行为市场化，鼓励建立商用密码检测认证体系，要求关键信息基础设施“三同步一评估”。

关于密码应用与安全性评估的法律法规要求

在关键信息基础设施密码应用和评估方面，《条例》第三十八条（第一款）提出，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

在网络安全等级保护密码应用和评估方面，《条例》第四十一条提出，国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。

公安部在关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函中指出，第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。

在政务信息系统密码应用与评估方面，《国家政务信息化项目建设管理办法》第十五条提出，项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

在金融信息系统密码应用与评估方面，中国人民银行发布的《金融领域信息系统国产密码改造基线要求》和《金融领域国产密码改造评价指标体系》，以及JR/T 0255—2022《金融行业信息系统商用密码应用 基本要求》、JR/T 0256—2022《金融行业信息系统商用密码应用 测评要求》、JR/T 0257—2022《金融行业信息系统商用密码应用 测评过程指南》等指导性法规中均有涉及。

“三同步一评估”系指责任单位依据商用密码技术标准，制定商用密码应用方案，自行或委托具有相关资质的测评机构进行评估。系统建设完成后，责任单位应当自行或委托测评机构开展密评。如果评估未通过，责任单位应当限期整改并重新组织评估。

如何做好密码应用

好的密码应用方案是建设和评估的坚实基础。密码应用方案应结合国家政策要求、信息安全风险、组织业务需求，密码应用的规划也必须从业务需求和业务特点出发。

编制密码应用方案需要“三步走”。第一步是厘清密码保护对象，即要保护的系统范围、涉及的保护对象，以及环境、网络、设备、数据等层面。第二步是确定密码应用需求，即对各保护对象作出风险分析，了解其威胁、脆弱点、影响、现有措施，以及技术产品成熟度、成本工期、涉及的其他责任主体等。第三步是制定密码应用方案，即响应每个需求的密码技术措施设计、密钥生命周期安全设计、管理手段设计，以及自评估。