近年來,隨著國家對重要資訊系統的安全性越來越重視,「等保 2.0」、【關鍵資訊基礎設施安全保護條例】【密碼法】【個人資訊保護法】【數據安全法】等相關法律法規陸續出台,網絡安全測評服務市場將迎來持續快速增長期。據賽迪顧問預測,到2025年,中國網絡安全測評服務市場將達到116.8億元。
網絡安全測評服務主要包括網絡安全等級測評服務(以下簡稱「等保測評」)和商用密碼套用安全性評估服務(以下簡稱「密評」)。「等保測評」指的是使用者單位委托第三方有測評資質的測評機構對單位已定級備案的資訊系統開展安全測試的過程,測試結束後出具相應的資訊系統測評報告。截至2023年11月20日,全國等保測評機構共236家。「密評」指的是使用者單位委托第三方有測評資質的測評機構,在采用商用密碼技術、產品和服務整合建設的網絡和資訊系統中,按照有關法律法規和標準規範,對其密碼套用的合規性、正確性、有效性進行評估。目前全國密評機構共48家。2024年3月,國密局對透過材料審查的150余家密評機構進行公示,至今尚未釋出最終名單。
由上述規定可以看出,無論是等保測評還是密評,都屬於合規性測評服務,都要求有資質的「第三方」測評機構進行實施。目前全國同時具有等保測評資質與密評資質的「第三方」測評機構僅有22家。
為什麽一定要「第三方」?
合規性: 第三方測評機構的資質由主管部門稽核認定,測評流程必須符合相關法律法規要求,測評結論判定必須符合國家和行業相關標準要求,結果合規、合法。
專業性: 第三方測評機構擁有本領域的專業知識和人才積累,並且必須經考核持證,能夠全面、準確的對系統進行檢測評估,替使用者單位把好質素關。
中立性: 【資訊保安等級保護測評機構管理辦法】規定等保測評機構「不得有資訊保安產品開發、銷售或資訊系統安全整合行為」;【商用密碼檢測機構管理辦法】規定密評機構及關聯方「不得從事商用密碼產品生產、銷售(檢測工具除外),資訊系統或者商用密碼保障系統整合、營運,電子認證服務,電子政務電子認證服務,或者其他可能影響商用密碼檢測公平公正性的活動」。由此可見,第三方測評機構獨立於產品廠商、整合商和使用者單位,具備中立性、客觀性,因而所出具的報告也具備公信力。
另外,第三方測評機構嚴格按照法律法規要求開展測評工作,堅持測評環節的合規性、專業性、中立性,也能夠推動各行業重要資訊系統的安全體系建設落到實處,真正為國家數碼經濟高質素發展保駕護航。
但是,我們也遺憾的看到,有些企業借助自己的第三方測評機構的身份,私下進行相關產品的生產和銷售;有些企業自身是第三方測評機構,但其關聯企業卻是整合商;還有些企業自身雖不參與專案銷售,卻透過影響客戶對產品的選擇來變相獲益。
一旦這些「第三方」失去了獨立性和中立性,誰來真正守護我們的安全防線?
