近年来,随着国家对重要信息系统的安全性越来越重视,「等保 2.0」、【关键信息基础设施安全保护条例】【密码法】【个人信息保护法】【数据安全法】等相关法律法规陆续出台,网络安全测评服务市场将迎来持续快速增长期。据赛迪顾问预测,到2025年,中国网络安全测评服务市场将达到116.8亿元。
网络安全测评服务主要包括网络安全等级测评服务(以下简称「等保测评」)和商用密码应用安全性评估服务(以下简称「密评」)。「等保测评」指的是用户单位委托第三方有测评资质的测评机构对单位已定级备案的信息系统开展安全测试的过程,测试结束后出具相应的信息系统测评报告。截至2023年11月20日,全国等保测评机构共236家。「密评」指的是用户单位委托第三方有测评资质的测评机构,在采用商用密码技术、产品和服务集成建设的网络和信息系统中,按照有关法律法规和标准规范,对其密码应用的合规性、正确性、有效性进行评估。目前全国密评机构共48家。2024年3月,国密局对通过材料审查的150余家密评机构进行公示,至今尚未发布最终名单。
由上述规定可以看出,无论是等保测评还是密评,都属于合规性测评服务,都要求有资质的「第三方」测评机构进行实施。目前全国同时具有等保测评资质与密评资质的「第三方」测评机构仅有22家。
为什么一定要「第三方」?
合规性: 第三方测评机构的资质由主管部门审核认定,测评流程必须符合相关法律法规要求,测评结论判定必须符合国家和行业相关标准要求,结果合规、合法。
专业性: 第三方测评机构拥有本领域的专业知识和人才积累,并且必须经考核持证,能够全面、准确的对系统进行检测评估,替用户单位把好质量关。
中立性: 【信息安全等级保护测评机构管理办法】规定等保测评机构「不得有信息安全产品开发、销售或信息系统安全集成行为」;【商用密码检测机构管理办法】规定密评机构及关联方「不得从事商用密码产品生产、销售(检测工具除外),信息系统或者商用密码保障系统集成、运营,电子认证服务,电子政务电子认证服务,或者其他可能影响商用密码检测公平公正性的活动」。由此可见,第三方测评机构独立于产品厂商、集成商和用户单位,具备中立性、客观性,因而所出具的报告也具备公信力。
另外,第三方测评机构严格按照法律法规要求开展测评工作,坚持测评环节的合规性、专业性、中立性,也能够推动各行业重要信息系统的安全体系建设落到实处,真正为国家数字经济高质量发展保驾护航。
但是,我们也遗憾的看到,有些企业借助自己的第三方测评机构的身份,私下进行相关产品的生产和销售;有些企业自身是第三方测评机构,但其关联企业却是集成商;还有些企业自身虽不参与项目销售,却通过影响客户对产品的选择来变相获益。
一旦这些「第三方」失去了独立性和中立性,谁来真正守护我们的安全防线?