近日，由中国互联网金融协会组织的《商用密码管理条例》解读培训在京召开，金融机构、密评试点机构，以及密码供给侧的企业代表参加了培训。北京数字认证（300579）股份有限公司(简称：数字认证）研究院院长夏鲁宁博士受邀出席，并结合密评政策标准与“三同步一评估”的总体要求，对编制密码应用方案的具体策略与关键注意事项，进行了授课讲解。

密评从2018年开始启动、逐步推进，伴随着《密码法》、新版《商用密码管理条例》等法律法规的施行，以及后续其他密评相关的标准规范发布，其制度体系建设日趋完善，密评的常态化实施也即将开展。2022年，金标委基于GB/T 39786发布了金融行业信息系统商用密码应用的三项行业标准，为密码应用与评估要求在金融领域的落地奠定了基础。

密码应用安全性评估的标准和指导文件体系

(资料图)

数字认证公司认为，密评是建立在风险控制基础上的测评，是检验密码应用是否合规、正确、有效，是否将信息系统的网络安全风险控制在可接受范围内的量化评价。其中，在信息系统规划阶段，针对密码应用方案的编制与评估，是后续密码应用工作能否顺利开展的关键。

三同步一评估

编制密码应用方案是信息系统规划阶段中最重要、也是最困难的环节，往往需要业务专家和密码专家协作完成。数字认证公司建议：

密码应用方案编制环节可“三步走”

第一步：明确“用密码保护谁？”

从环境、网络、设备、数据四个层面，划定密码应用的系统范围边界；梳理系统业务流程，识别和确认保护对象；对业务数据分类分级，澄清在给定业务中要保护的“重要数据”所在。

第二步：明确“用密码保护到什么效果？”

从风险控制的角度来看，就是采用密码技术手段，把业务风险控制在可接受范围之内。因此，要通过风险分析确定保护对象面临的各类网络安全风险，并予以分级，结合风险的分级做出风险控制决策，从而形成针对真实性、机密性、完整性、不可否认性的密码应用需求。密码应用需求的最终决策方是信息系统责任单位，在合规的前提下，金融机构要有决断，是所有风险都应对，还是合理设定风险可接受的界限（涉及“高风险判定指引”中的高风险问题是一定要应对的）。

第三步：明确“用密码怎么保护？”

确定了密码应用需求，即可针对性设计密码应用措施，形成密码应用技术架构，并进一步确定密码应用产品或服务的规格。完成上述任务后，依照标准的自评估是必要的，这既是对采取相应措施后，是否已经“将风险控制在可接受范围内”的复盘，也是对方案是否能够顺利通过评估的自我考量。

编制密码应用方案“三步走”

我国商用密码历经20余年的发展，如今已广泛应用于千行百业。在新版商密管理条例带来结构化重塑的今天，数字认证公司作为密码供给方，希望能与产学研用侧一道，共同推进商用密码应用与创新发展，筑牢数字经济安全屏障。