在数字化转型浪潮中，商用密码作为保障信息安全与数据保密的核心技术，其重要性日益凸显。近日，国家密码管理局正式发布了《国家密码管理局商用密码随机抽查事项清单（2024年版）》（以下简称“清单”），这一举措不仅标志着我国商用密码应用安全监管体系的进一步完善，也为维护国家安全和促进数字经济发展提供了坚实保障。

一、明确抽查细则，构建全方位监管体系

清单的出台，是国家密码管理局积极响应国家安全战略需求，加强商用密码应用安全监管的重要举措。本次发布的清单明确了抽查的具体内容，包括但不限于抽查类别、抽查内容、抽查依据、抽查主体、抽查对象、抽查比例和频次、抽查方式等。抽查事项涵盖了商用密码产品检测、商用密码应用安全性评估、商用密码应用、电子认证服务使用密码、电子政务电子认证服务等多个方面。抽查主体则包括了商用密码检测机构、网络与信息系统运营者、电子认证服务使用密码许可单位、电子政务电子认证服务机构等。同时，对于3年内已接受随机抽查且未发现违法违规行为的企业，将不纳入抽查范围，而对于随机抽查不合格的机构，则将加大抽查频率。抽查方式将结合现场、书面、网络等多种方式进行。

其中针对商用密码应用随机抽查，重点检查对象为要求使用商用密码进行保护的网络与信息系统运营者，即业务系统使用单位，需进行密码应用安全性评估的主体，应依据法律法规完成重要网络与信息系统的商用密码改造与测评工作，检查到任何一项不符合规定的，都可以认定为有违法违规行为，都有可能依法处罚。

二、国家政策为商用密码应用注入新动能

商用密码，这一数字经济领域的坚固锁钥，正以其卓越的防护能力，为海量数据编织一张安全网。近年来，国家出台了一系列支持商用密码发展的政策措施，为商用密码的应用与创新提供了坚实的制度保障。

1999年，《商用密码管理条例》正式由国务院颁布施行，标志着我国商用密码发展和管理从此走上了法治化轨道；

2014年2月，国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知指出：又快又好的推进国产密码；

2015年，两办文件要求在骨干网络、重要信息系统和各个领域部署推动国产密码；

2017年11月底，国家密码管理局下发了《政务云密码支撑方案及应用方案设计要点》；

2017年，国家密码管理局发布了42项金融和重要领域国产密码应用试点任务；

2018年2月，发布GM/T 0054-2018《信息系统密码应用基本要求》，面向全社会、全行业，强制执行密评；

2018年6月，公安部《网络安全等级保护条例（征求意见稿）》，第四十七条第三级以上要先开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估；

2019年10月，第十三届全国人民代表大会常务委员会第十四次会议通过《中华人民共和国密码法》，并确定2020年1月1日起正执行。

2020年7月，《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》发布；

2023年4月，《商用密码管理条例》修订发布，清晰界定了商用密码管理范围，合理设置了管理环节，明确了管理条件和程序，宽严有度，规范到位，对促进商用密码技术进步和商用密码产业发展具有重要意义。

这些政策不仅促进了商用密码技术的研发与应用，还为商用密码应用的标准化、规范化建设指明了方向，为商用密码产业的发展注入了新的活力。

二、商用密码应用存在诸多挑战

在商用密码的广泛应用中，也面临着不容忽视的挑战。日益复杂的合规要求、管理不到位、应用不规范以及安全漏洞等问题，成为了商用密码推广过程中的绊脚石。如何在保证安全合规的同时，提高商用密码的管理水平和应用效果，通过国家密码管理局商用密码随机抽查，成为了亟待解决的关键议题。

1.商用密码安全合规要求严格

我国已形成较为完善的商用密码标准体系，截至目前，已发布密码行业标准 144 项，密码国家标准 43 项，对商用密码安全提出了更高的要求。

2. 商用密码管理不到位

用户单位需要确保员工使用强密码来保护信息数据和资产，但很多员工往往会选择弱密码或者重复使用密码，增加了密码泄露和入侵的风险。另外，不少信息系统尚未采用密码技术进行保护，这一现状令人堪忧。

3. 商用密码应用不规范

即便是在使用了密码技术的系统中，不规范的应用也屡见不鲜。在对重要领域信息系统的安全性测评中，不符合规范的比例曾高达85%，这直接威胁到信息系统的整体安全。

4.商用密码应用不安全

现在仍有大量系统在使用已被证明不安全的加密算法，如RSA1024、MD5等，这些“过时”的密码技术如同虚设的防线，难以抵御现代黑客的攻击。

5. 商用密码应用成本高、难度大

密码产品繁多、系统改造困难且成本高昂，以及密码资源管理分散、难以有效维护，使得信息安全形势更为严峻。

三、多规管理融合实现全面合规

在数字化经济蓬勃发展的背景下，商用密码作为信息安全的基石，其重要性日益凸显，已经成为保障各类信息系统和数据安全不可或缺的基础设施。面对商用密码应用的复杂环境，密评作为一项重要机制，正逐渐成为商用密码合规管理的有力抓手。密评的实施，不仅促进了商用密码技术的规范化应用，还增强了组织对安全威胁的防御能力。

2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体，合规是基准。道普信息风险管控专家建议，可以借助专业的第三方风险管控服务，采取多规管理融合手段，基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评等安全性评估，实现合规工作的规范化，降低合规管理成本，满足监管部门各项网络安全要求，保障信息化管理对象合规运行，减少监管部门的通报，实现全面合规。

《国家密码管理局商用密码随机抽查事项清单（2024年版）》的发布，再次提醒我们商用密码应用安全的重要性与紧迫性。面对数字化时代的挑战与机遇，我们需要以清单为指引，持续加强商用密码应用的合规管理，推动技术创新与国际合作，共同守护数字世界的安全稳定。展望未来，商用密码应用安全将在保障国家安全、促进数字经济发展中发挥更加重要的作用，为构建网络强国贡献力量。