通過上一篇“關基條例”解讀文章——“《關鍵信息基礎設施安全保護條例》發布，等保單位該怎么做？”，相信讀者已經了解到關鍵信息基礎設施等保工作該如何開展。那么《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）發布后對商用密碼應用安全性評估（以下簡稱密評）工作有什么影響呢？本文將從讀者關心的《條例》發布后密評工作該如何開展進行解答。

Q1：關鍵信息基礎設施需要開展的測評工作有哪些？

《條例》第十七條明確規定：運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估。

此外，《條例》還要求，在網絡安全等級保護的基礎上，保障關鍵信息基礎設施安全穩定運行。等級保護制度作為我國信息安全保障的基本制度，對于關鍵信息基礎設施同樣適用。

但關鍵信息基礎設施僅僅開展網絡安全檢測、風險評估、等級保護工作仍然不夠?！稐l例》第六章附則中提出，“關鍵信息基礎設施中的密碼使用和管理，還應當遵守相關法律、行政法規的規定”。這一條說的是，2020年1月1日起施行的《密碼法》中的規定：“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估?！?/p>

也就是說，對關鍵信息基礎設施，在開展等級保護測評工作、關鍵信息基礎設施安全檢測評估和風險評估的基礎上，其運營者還需開展商用密碼應用安全性評估。這三個方面的安全測評共同保障關鍵信息基礎設施的安全。

Q2：等級保護測評與密評的關系是什么？

等級測評是測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準（GB/T 22239-2019信息安全技術網絡安全等級保護基本要求），對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動，是信息系統安全等級保護工作的重要環節。

商用密碼應用安全性評估，指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。

等級保護與密評相互銜接、相互映照、相輔相成。從內容上看，密評中的部分評估內容來自等級保護基本要求中關于密碼相關的要求項；從關鍵信息基礎設施的定級來看，密評是參照等級保護對象應具備的安全保護能力要求，提出密碼保障能力逐級增強的要求，一般來說，等級保護和密評的保護對象等級是一致的。

Q3：密評的評估流程有哪些？

密評測評過程分為四項基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。

測評準備活動是開展測評工作的前提和基礎，其主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。

方案編制活動是開展測評工作的關鍵階段，為現場測評提供最基本的文檔和指導方案。該階段的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，形成測評方案。

現場測評活動是開展測評工作的核心階段。其主要任務是按照測評方案的總體要求，嚴格執行測評實施手冊，分步實施所有測評項目，包括單項測評、單元測評和整體測評等，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的密碼應用的安全性問題。

分析與報告編制活動包括單項測評結果判定、單元測評結果判定、整體測評、風險分析、測評結論形成及報告編制六項主要工作內容。

責任編輯：韓希宇