该案例创新应用的“密码服务平台+密码资源池”建设模式，实现了密码资源的统一管理和应用，采用密码环境统一建设、密码资源共享共用的模式，为一定范围内，相同环境下的密码技术规模化应用提供了应用标准。这一模式不仅优化了密码资源的管理与应用效率，更为信息系统安全提供了标准化、规范化的解决方案，特别是在医疗行业，其应用前景尤为广阔。

医疗行业作为商用密码应用的先驱，其安全需求的特殊性不言而喻。从电子病历的加密存储到远程医疗的数据传输，再到医保支付的安全验证，每一个环节都离不开商用密码技术的支撑。它不仅提升了医疗服务的效率与质量，更在无形中为患者筑起了一道安全屏障，让医疗数据在流通中保持完整、真实与不可篡改，为医疗行业的数字化转型提供了强有力的安全保障。

近年来，我国从政策层面相继发布多项医疗行业商用密码相关的法律法规和制度标准，为商用密码应用到医疗领域提供了强有力的制度支撑，推动医疗行业信息安全的高速发展。

●《关于印发“十四五”全民健康信息化规划的通知》

【发布时间】2022/11/7

【主要内容】构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范，全面推广商用密码应用，完善卫生健康行业商用密码应用体系。

●《关于印发医疗卫生机构网络安全管理办法的通知》

【发布时间】2022/8/8

【主要内容】在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用符合相关要求的密码产品和服务。

●《药品监管网络安全与信息化建设“十四五”规划》

【发布时间】2022/4/24

【主要内容】完善网络安全保障体系，健全网络安全管理制度，开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。

商用密码在医疗行业的广泛应用也面临着诸多挑战，包括安全合规要求的复杂化、管理不到位、应用不规范以及安全性不足等问题。

我国已形成较为完善的商用密码标准体系，截至目前，已发布密码行业标准 144 项，密码国家标准 43 项，对医疗领域商用密码安全提出了更高的要求。

用户单位需要确保员工使用强密码来保护信息数据和资产，但很多员工往往会选择弱密码或者重复使用密码，增加了密码泄露和入侵的风险。另外，不少信息系统尚未采用密码技术进行保护，这一现状令人堪忧。

即便是在使用了密码技术的系统中，不规范的应用也屡见不鲜。在对重要领域信息系统的安全性测评中，不符合规范的比例曾高达85%，这直接威胁到信息系统的整体安全。

现在仍有大量系统在使用已被证明不安全的加密算法，如RSA1024、MD5等，这些“过时”的密码技术如同虚设的防线，难以抵御现代黑客的攻击。

密码产品繁多、系统改造困难且成本高昂，以及密码资源管理分散、难以有效维护，使得信息安全形势更为严峻。

在数字化经济蓬勃发展的背景下，商用密码作为信息安全的基石，其重要性日益凸显，已经成为保障医疗领域信息系统和数据安全不可或缺的基础设施。面对商用密码应用的复杂环境，密评作为一项重要机制，正逐渐成为商用密码合规管理的有力抓手。密评的实施，不仅促进了商用密码技术的规范化应用，还增强了医疗领域对安全威胁的防御能力。

2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体，合规是基准。道普信息风险管控专家建议，可以借助专业的第三方风险管控服务，采取多规管理融合手段，基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评等安全性评估，实现合规工作的规范化，降低合规管理成本，满足监管部门各项网络安全要求，保障信息化管理对象合规运行，减少监管部门的通报，实现医疗领域全面合规。