商用密码应用法律政策要求
新时期,网络环境日益复杂而深刻,密码应用需求日益多样化。推进商用密码合规、正确、有效应用,是新时期商用密码管理和创新发展的重中之重。
国家法律法规有关密码应用的要求
面对国家安全的新形势,我国已在多部法律法规中明确规定了密码应用的要求,包括《密码法》、《网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等。
刘璇自杀1.《中华人民共和国密码法》
跳蚤门
2.《中华人民共和国网络安全法》
僵尸 林正英
3.《商用密码管理条例》
1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理。为落实《密码法》有关立法精神,《商用密码管理条例》修订将充分体现国家“放管服”改革要求,取消对科研、生产、销售单位等的行政许可事项,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
4.《关键信息基础设施安全保护条例(征求意见稿)》
《关键信息基础设施安全保护条例(征求意见稿)》明确了在关键信息基础设施保护工作中,依据密码管理法律法规开展有关密码管理工作,充分体现了密码管理在国家网络安全大局中的重要地位和作用。该《条例》明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任,为密码管理部门开展网络空间密码保护工作,尤其是网络安全检查和安全审查等工作提供了法律依据,同时也为开展密评工作提供了强有力的支撑。
5.《网络安全等级保护条例(征求意见稿)》
2018年6月27日,《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,其中设置了密码管理专章,体现了密码管理在网络安全等级保护工作中的重要作用,明确了网络安全等级保护密码管理的主要思路、方式和手段,强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权,明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。
《网络安全等级保护条例》颁布实施后,将替代现行的《信息安全等级保
护管理办法》,对我国的网络安全等级保护进行规范和管理。届时,国家密码管理局将与公安部等部门密切配合,依法开展密评工作,并修订《信息安全等级保护商用密码管理办法》等配套规章。
6.《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码管理办法》规定:“信息安全等级保护中使
用的商用密码产品,应当是国家密码管理局准予销售的产品”。
为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息
安全等级保护商用密码工作,国家密码管理局印发《信息安全等级保护商用密码管理办法实施意见》,规定“第三级及以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施”,“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等”,这些制度均明确了信息安全等级保护第三级及以上信息系统的商用密码应用要求。
7.《电子认证服务密码管理办法》
《电子认证服务密码管理办法》主要规定面向社会公众提供电子认证服务应当使用商用密码,明确了
申请电子认证服务使用密码许可应当具备的基本条件和程序,对电子认证服务系统的运行和技术改造等做出了规定。同时,要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位,按照GM T 0034-2014《基于SM2 密码算法的证书认证系统密码及其相关安全技术规范》的要求承建,并通过国家密码管理局组织的安全性审查。
8.《政务信息系统政府采购管理暂行办法》
黄宗泽的双胞胎兄弟2017年12月26日,财政部印发的《政务信息系统政府采购管理暂行办法》第八条规定:“采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”第十二条规定:“采购人应当按照国家有关规定组织政务信息系统项目验收,根据项目特点制定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、
密码应用和安全审查情况、信息系统共享情况、维保服务等采购文件和采购合同规定的内容,必要时可以邀请行业专家、第三方机构或相关主管部门参与验收。
9.《国家政务信息化项目建设管理办法》
2019年12月30 日,《国家政务信息化项目建设管理办法》发布,对国家政务信息系统的规划、审批、建设、共享和监管做出规定,其中明确规定了多项密码应用有关要求。
政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系
统并定期进行评估;按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告;项目的密码应用和安全审查情况应当作为项目验收的重要内容之一,密码应用安全性评估报告应当作为提交验收申请的必要材料;对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统;国务院有关部门对密码应用情况实施监督管理,不符合要求的,视情予以通报批评、暂缓安排投资计划、暂停项目建设直至终止项目;国务院各部门应当严格按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
国家网络安全和信息化、科技产业支撑规划有关密码应用的要求
1.《“十三五”国家信息化规划》
2016年12月25日,国务院印发《“十三五”国家信息化规划》,在多个方面提到了密码应用要求。
广播电视工程
首先,在重大任务和重点工程中提出健全网络安全保障体系。一是要求在
国家互联网大数据平台建设工程中,“注重数据安全保护”“实施大数据安全保障工程”“推进数据加解密、脱密、备份与恢复、审计、销毁、完整性验证等数据安全技术研发及应用”。实现数据的加解密、全国快递停运通知最新2022
完整性验证,必须使用密码技术为其提供基础支撑。二是要强化网络安全顶层设计,完善网络安全法律法规体系,推动出台《网络安全法》、《密码法》、《个人信息保护法》。三是要构建关键信息基础设施安全保障体系,具体来讲,要加强金融、能源、水
利、电力、通信、交通、地理信息等领域关键信息基础设施核心技术装备威胁感知和持续防御能力建设,增强网络安全防御能力和威慑能力,加强重要领域密码应用。
其次,在优先行动中提出数据资源共享开放行动,对此要规范数据共享开
放管理,明确“按照网络安全管理和密码管理等规范标准,加快应用自主核心技术及软硬件产品,提升数据开放平台的安全保障水平”。
最后,在重点任务分工方案中,将国家密码管理局作为负责“加强数据安
全保护,实施大数据安全保障工程,建立跨境数据流动安全监管制度”“构建关键信息基础设施安全保障体系”“加快信息化法律制度建设”等任务的重要职能部门。
2.《政府网站发展指引》
2017年,《政府网站发展指引》发布,明确要求对重要数据、敏感数据进行分类管理,做好加密存储
和传输。《政府网站发展指引》要求“使用符合国家密码管理政策和标准规范的密码算法和密码产品,逐步建立基于密码的网络信任、安全支撑和运行监管机制”。政府网站汇聚了大量政务服务数据和公民个人信息,数据一旦遭到泄露,将造成严重后果。因此,文件对政府网站提出了使用密码进行数据保护的要求,其核心目标就是建立合规、安全、有效的密码保障体系,为政府网站安全保驾护航。
3.《“十三五”国家政务信息化工程建设规划》
2017年,国家发展改革委印发《“十三五”国家政务信息化工程建设规划》,明确要求政务信息化工程建设要筑牢网络信息安全防线,全面推进安全可靠产品和密码应用,提高自主保障能力,切实保障政务信息系统的安全可靠运行。4.《国家信息化发展战略纲要》
2016年7月,《国家信息化发展战略纲要》发布,《国家信息化发展战略纲要》提出:“到2025年,根本改变核心关键技术受制于人的局面,形成安全可控的信息技术产业体系,电子政务应用和信息惠民水平大幅提高,实现技术先进、产业发达、应用领先、网络安全坚不可摧的战略目标。”这一目标的实现离不开密码应用。《国家信息化发展战略纲要》还把确保安全作为基本方针,提出“网络安