《密码法》颁布一周年,您想知道的都在这里
发布时间 2020-10-262019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》并于2020年1月1日起正式施行。今年是其颁布一周年,也是全面推进国家秘密治理体系和治理能力现代化的开局之年。一年来,它的进展如何呢?请和小编一起来探索一下吧。
先来回顾一下《密码法》
《中华人民共和国密码法》(以下简称“密码法”)所称的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,分为核心密码、普通密码和商用密码。
1、核心密码保护信息的最高密级为绝密级;
2、普通密码保护信息的最高密级为机密级;
3、商用密码用于保护不属于国家秘密的信息。
而制定《密码法》是为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。主要内容如下:
第一、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施;
第二、核心密码、普通密码规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施;
第三、商用密码规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度;
第四、法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。
《密码法》一年来各方面举措
✦ 相关法规陆续出台
1、2020年7月30日,国密局发布《商用密码应用安全性评估试点机构目录》,目录明确了24家商用密码应用安全性评估试点机构
2、2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》
1、 立法的宗旨:加强商用密码管理,促进商用密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《密码法》制定本法律;
2、 管理职责:国家、省、市、县四级密码管理部门是商用密码工作的行政主管部门。国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作;
3、 科技创新及标准化:突出科技创新和标准引领,明确建立健全商用密码科学技术创新促进机制,保护商用密码领域的知识产权,促进商用密码科技成果转化。明确国家密码管理部门根据商用密码应用需求或者安全需求,组织对密码算法、密码协议、密码管理机制等商用密码技术进行安全性审查;
4、 检测认证和产品、服务管理:落实《密码法》规定的推进商用密码检测认证体系建设,鼓励商用密码从业单位自愿接受商用密码检测认证。依法明确检测、认证资质审批条件、程序及其从业规范;实行商用密码产品、服务、管理体系的国推自愿性检测认证制度;
5、 电子认证:依据《密码法》《电子签名法》,进一步明确电子认证服务,使用密码要求和使用规范;电子政务电子认证服务机构的资质审批条件、程序及其从业规范;政务活动中的电子公文、电子印证、电子证照等的电子认证服务要求;
6、 监督管理:明确密码管理部门和有关部门开展商用密码监督管理的有关职权及其协作配合、保密义务、以及信用监管、投诉举报等制度机制,以及相应的法制责任。
……
3、2020年9月24日,中国密码学会密评联委会《政务信息系统密码应用与安全性评估工作指南》 (2020版)
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统开展商用密码应用安全性评估(简称“密评”)工作。
商用密码应用安全性评估工作,旨在规范密码应用,同时对维护网络和信息系统密码安全、保障网络安全以及应对各类网络安全风险具有重要的意义。开展“密评”工作已成为网络运营者和信息系统责任单位必须履行的责任,也是维护密码应用安全的必然选择。
● 法律依据
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
● 重点内容
1、“密评”是面向的是整个信息系统的一项全局性评估工作,是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估;
2、“密评”工作流程可归纳为确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段;
3、“密评”的实施流程主要包括密码应用方案评估、测评准备、方案编制、现场测评、测评结论分析、密码测评报告编制。
✦ 《密码法》对企事业单位的影响
1、针对涉密企事业单位
对涉及国家秘密的信息,涉密企事业单位应当使用核心密码、普通密码进行保护,并按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理、监督和审查制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全,配合密码管理部门的指导、监督和检查工作。如发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,并在保密行政管理部门、密码管理部门的指导下及时消除安全隐患。
2、针对非涉密企事业单位
非涉密企事业单位可选择使用商用密码保护网络和信息安全,如非涉密企事业单位作为关键信息基础设施的运营者,应当使用商用密码对于关键信息基础设施进行保护,并自行或者委托商用密码检测机构开展商用密码应用安全性评估。
同时,关键信息基础设施的运营者如采购涉及商用密码的网络产品和服务,可能影响国家安全的,还应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
3、针对关键信息基础设施
《密码法》进一步明确法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,同时规定运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。如未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,将承担相应的法律后果。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
4、针对商用密码产品检测认证
《密码法》在贯彻落实党中央、国务院放管服改革有关精神的前提下,规定涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。同时,商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
作为信息安全产业的领军企业,启明星辰积极响应国家密码管理的相关规定及落实《密码法》,持续推出防火墙、下一代防火墙、加密机、SSL VPN安全接入网关、IPSecVPN、网络安全审计、数据库审计、数据防泄漏、文档加密系统等商用密码产品和涉密信息系统产品,符合国家密码协议的相关密码标准,为涉密网及关键信息基础设施领域的用户主动提供产品及服务。
未来,启明星辰将继续以用户需求为根本动力不断为客户提供整体的安全解决方案及专业的安全服务,帮助客户构建起完善的安全保障体系。同时,启明星辰也将持续加大投入,构建网络安全框架,融合密码技术发展,推动安全技术全面发展,帮助用户业务提升全生命周期的安全保障能力。
京公网安备11010802024551号