问:为什么要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?

    答:《密码法》第二十六条规定:商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度,主要有两个方面的考虑:一是该制度是维护国家安全和社会公共利益的需要。商用密码服务是一种专业技术性很强的特殊服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益。由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。二是强制性认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。

    问:关键信息基础设施必须使用商用密码进行保护吗?

    答:《密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。关键信息基础设施的运营者如果不使用或者不合规正确有效使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。因此,《密码法》对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。