随着信息技术的迅猛发展，网络空间安全已成为国家安全的重要组成部分。在这样的背景下，GM/T 0132-2023《信息系统密码应用实施指南》于今年6月1日正式实施，为工业领域的信息系统密码应用提供了明确的指导和建议，标志着我国密码应用进入了一个全新的发展阶段。GM/T 0132-2023《信息系统密码应用实施指南》不仅为信息系统密码应用的规划、建设、运行及终止阶段提供了详尽的流程指导和建议，还明确了各个环节的主要活动，为各行业在密码应用上提供了统一的标准和参考。这一标准的实施，无疑将推动工业领域信息系统密码应用水平的提升，进一步加强安全防护能力。

一、我国积极推动工业信息系统密码应用

在工业领域，信息系统承载着企业的核心业务数据，是支撑企业运营和决策的关键。因此，确保这些系统的安全性至关重要。密码应用作为信息安全的核心技术之一，能够有效保护数据的机密性、完整性和可用性，防止数据泄露、篡改和非法访问。因此，加强工业领域密码应用具有重要意义。

1. 我国工业密码应用基础薄弱

从我国工业系统安全的调研情况来看，工业系统中使用密码进行保护的比例较低，主要聚焦于一些重要领域。在有些工业场景中，如新能源发电，由于现场控制层控制器与过程监控层的工程师站、操作员站地理位置分布较远，需要通过广域网进行各类数据的传输，为了防止敏感数据被窃听、篡改、重放，使用IPSEC VPN对传输数据进行网络层保护。

2.依规开展商用密码应用安全性评估

当前，工业在GB/T-39786 《信息安全技术 信息系统密码应用基本要求》的基础上进行细化和完善，达到符合自己行业特色的目的，同时针对一些新技术新业态逐步制定相适应的密评要求。

二、密评是加强和规范密码应用的重要抓手

伴随GM/T 0132-2023《信息系统密码应用实施指南》和《商用密码管理办法》的实施，商用密码应用安全性评估（以下简称“密评”）的重要性日益凸显。它不仅是检验密码应用是否合规、有效的关键环节，也是提升整个社会信息安全水平的有力抓手。这对于工业领域而言，更是确保重要网络与信息系统安全、保障企业运营连续性的重要手段。

1.履行法定责任，确保密码合规性

《密码法》、《商用密码应用安全性评估管理办法》等法律法规要求信息系统要开展密码应用安全性评估。

2.应对行业特定要求，提升行业竞争力

工业领域在信息安全方面往往有特定的监管要求和标准，尤其是金融、医疗、能源、通信等关键领域。这些行业监管部门通常会对涉及重要信息系统的密码应用提出更高标准，要求企业进行密评以确保其密码应用符合行业规范，提升工业信息系统的安全防御能力。

3.拓展等保防护边界，加固核心数据堡垒

等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等，密评作为等保的深化和补充，聚焦于密码技术在数据保护中的应用，确保数据在传输、存储、处理过程中的机密性、完整性和不可否认性，为工业行业提供更深层次的数据安全保障。

4.应对日益复杂威胁，满足安全需求

当前工业信息系统在密码应用方面存在的诸多问题，如大部分系统缺乏密码技术保护，导致合规风险显著；密码使用不规范、密钥管理松散、系统维护不到位，埋下安全隐患；大量系统仍在沿用存在风险的旧式密码算法，安全服务使用亦不合规，严重威胁信息系统安全；加之密码产品繁多、系统改造困难且成本高昂，以及密码资源管理分散、难以有效维护，使得信息安全形势更为严峻。

三、多规管理融合实现工业领域全面合规

在数字化经济蓬勃发展的背景下，密码作为信息安全的基石，其重要性日益凸显，已经成为保障各类信息系统和数据安全不可或缺的基础设施。2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。

随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体，合规是基准。道普信息风险管控专家建议，可以借助专业的第三方风险管控服务，采取多规管理融合手段，基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评等安全性评估，实现合规工作的规范化，降低合规管理成本，满足监管部门各项网络安全要求，保障信息化管理对象合规运行，减少监管部门的通报，实现工业领域全面合规。

GM/T 0132-2023的实施，不仅开启了密码应用的新篇章，也为我们勾勒出了工业领域乃至全社会信息安全体系建设的美好蓝图。未来，我们需持续精进密评机制，促进不同规范间的协调与融合，以更加安全、可靠、高效的数字化环境，为工业领域的稳健前行保驾护航。