政務領域密碼應用安全性評估中電子認證合規性檢測

◆王森

（國家信息中心 信息與網絡安全部 北京 100045）

在十四五時期，我國將繼續深入推進政務信息化建設，提高政府數字化服務效能，深化“互聯網+政務服務”，提升全流程一體化在線服務平臺功能[1-2]。與此同時，政務領域面臨的網絡安全風險威脅日益嚴峻，亟待加強網絡安全保護。采用密碼技術對信息系統進行保護，是最可靠、最有效、最核心的基礎支撐方式。

2020年密碼法頒布實施，隨后國家制定了系列行政法規和政策文件，對關鍵信息基礎設施、政務服務信息系統的密碼應用合規性進行要求。《關鍵信息基礎設施保護條例》第三十八條“國家政務信息系統等網絡與信息系統，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商用密碼保障系統，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。《國家政務信息化項目管理辦法》（國辦發〔2019〕57號）第十五條“項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估”，第二十八條“加強國家政務信息化項目建設投資和運行維護經費協同聯動，……，對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統”。

因此，從全面安全防護和滿足合規性要求兩個方面考慮，都應該切實做好密碼應用安全性評估。