关键信息基础设施商用密码使用管理规定
01中华人民共和国代码法
《密码法》根据中央确定的密码管理原则和应用政策,规定了密码应用的主要制度和要求。
一是强调国家积极规范和推广密码应用,利用密码提高网络和信息安全水平,依法保护公民、法人和其他组织使用密码的权利。
二是建立商用密码检测认证体系,鼓励员工自愿接受商用密码检测认证。涉及国家安全、国计民生、社会利益的商用密码产品,应当依法列入网络关键设备和网络安全专项目录,经有资质的机构检测认证后,方可销售或者提供。商用密码服务使用关键网络设备和网络安全专用产品的,应当经商用密码认证机构认证。
三是明确了关键信息基础设施密码使用要求和密码应用安全评估要求,规定需要使用商用密码进行保护的关键信息基础设施运营者应当使用商用密码进行保护,并自行或者委托商用密码测试机构开展商用密码应用安全评估。
四是建立安全审查机制,规定对可能影响国家安全、涉及商业密码的网络产品和服务,按照国家安全审查的要求进行审查。
五是要求国家密码管理部门对使用商用密码技术从事电子政务电子认证服务的机构进行认定。
中华人民共和国网络安全法
《网络安全法》明确要求网络运营者履行安全保护义务,维护网络数据的完整性、机密性、真实性和不可否认性需要发挥密码技术的核心支撑作用。
《网络安全法》第十条规定:“通过网络建设、运营或者提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他重要措施,保障网络安全稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整、保密和可用。”
《网络安全法》第十六条:“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,支持重点网络安全技术产业和项目,支持网络安全技术的研究、开发和应用,推广安全可靠的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等院校参与国家网络安全技术创新工程。”安全可信的网络产品和服务需要以密码为基因来构建。
《网络安全法》第二十一条:“国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保护网络不受干扰、破坏或者未经授权的访问,防止网络数据被泄露、窃取或者篡改:......采取数据分类、重要数据备份和加密等措施。
03《商用密码管理规定》
1999发布的《商用密码管理条例》规定,国家对商用密码产品的R&D、生产、销售和使用实行专项管理。为贯彻《密码学法》立法精神,《商用密码管理条例》修订将充分体现国家“简政放权、加强监管、改善服务”改革要求,取消科研、生产、销售单位行政许可事项,强化密码申请要求,突出网络安全等级保护三级及以上关键信息基础设施和信息系统密码申请监管,实行商用密码申请安全评估和安全审查制度。
04《关键信息基础设施安全保护条例(征求意见稿)》
国家高度重视密码在关键信息基础设施中的应用。《网络安全法》第三十一条规定:“国家保护通信与信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他可能严重危害国家安全、国计民生和公众利益的关键信息基础设施。”按照网络安全法要求,正在起草《关键信息基础设施保护条例》,并于2017年7月公开征求意见。
《关键信息基础设施安全保护条例(征求意见稿)》明确,依据密码管理法律法规,在关键信息基础设施保护中实施密码管理,充分体现了密码管理在国家网络安全大局中的重要地位和作用。其中规定“运营单位应当配合保护部门依法实施的网络安全检查和公安、国家安全、保密行政、密码管理等有关部门依法实施的检查”,“对使用未通过或者未通过安全审查的网络产品和服务的责任单位,处购买金额一倍以上十倍以下罚款, 对责任人员处以1万元以上10万元以下的罚款”,“关键信息基础设施密码的使用和管理还应当遵守密码法律和管理规定。 《规定》明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门在密码应用和密码安全方面的主体责任,为密码管理部门开展网络空间密码保护工作特别是网络安全检查和安全审查提供了法律依据,也为开展安全评估工作提供了有力支撑。
05网络安全等级保护规定(征求意见稿)
2065438+2008年6月27日,《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,其中设置了密码管理专章,体现了密码管理在网络安全等级保护中的重要作用,明确了密码管理在网络安全等级保护中的主要思路、方式方法,强调了使用密码保护三级及以上系统的义务。突出了商用密码应用安全评估作为等级保护密码管理的主要抓手的地位和作用,强化了密码管理部门在制定等级保护技术标准、监督检查、开展密码应用安全评估等方面的职权,明确规定“国家密码管理部门负责网络安全等级保护密码管理的监督管理”,还从事前备案审查、过程中申请要求、过程中监管、法律责任等方面对密码管理和应用进行了规定。
《网络安全等级保护条例》颁布实施后,将取代现行的《信息安全等级保护管理办法》,对我国网络安全等级保护进行规范和管理。届时,国家密码管理局将会同公安部等部门,依法开展安全评估,修订《信息安全等级保护商用密码管理办法》等配套法规。
06信息安全等级保护商用密码管理办法
《信息安全等级保护商用密码管理办法》规定:“用于信息安全等级保护的商用密码产品应当是经国家密码管理局批准销售的产品”。
为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息安全等级保护商用密码工作,国家密码管理局发布了《关于实施信息安全等级保护商用密码管理办法的意见》, 其中规定“三级及以上信息系统商用密码应用系统建设方案应当经密码管理部门组织评估后方可实施”,“三级及以上信息系统商用密码应用系统应当经国家密码管理部门指定的评估机构进行密码评估后方可投入运行”。 密码测评包括资料审核、系统分析、现场测评、综合测评等。这些制度都定义了信息安全等级保护等级为3级及以上的信息系统商用密码应用的要求。
07《电子认证服务密码管理办法》
《电子认证服务密码管理办法》主要规定应当使用商用密码向社会公众提供电子认证服务,明确了申请电子认证服务密码许可应当满足的基本条件和程序,对电子认证服务系统的运行和技术改造作出了规定。同时要求电子认证服务系统应由具备生产商用密码产品和提供密码服务能力的公司建设,符合GM T 0034-2014《基于SM2密码算法的证书认证系统密码学及相关安全技术规范》的要求,并通过国家密码管理局组织的安全审查。
08《政府信息系统政府采购管理暂行办法》
2017 12.26财政部发布的《政府信息系统政府采购管理暂行办法》第八条规定:“采购需求应当符合国家有关密码管理的法律、法规、政策和标准的要求,密码保护系统应当同步规划、建设和运行,并定期评估。”
第十二条规定:“采购人应当按照国家有关规定组织政府信息系统的项目验收,并根据项目特点制定完整的项目验收方案。验收计划应包括项目所有功能的实现、密码申请和安全审查、信息系统享受、维护服务等采购文件和采购合同规定的内容。必要时可邀请行业专家、第三方机构或相关主管部门参与验收。
09《国家政务信息工程建设管理办法》
2019年2月30日,19《全国政务信息工程建设管理办法》发布,对全国政务信息系统的规划、审批、建设、* *共享、监管等进行了规定,并明确规定了多项与密码应用相关的要求。
政务信息项目建设单位应当同步规划、建设和运行密码保护系统,并定期进行评估;按要求向国家发展改革委备案的备案文件应当包括密码应用方案和密码应用安全评估报告;应将项目的密码申请和安全审查作为项目验收的重要内容之一,并将密码申请安全评估报告作为提交验收申请的必备材料;对于不符合密码应用和网络安全要求的政府信息系统,项目建设单位在未安排运行维护经费的情况下,不得新建、改建、扩建政府信息系统;国务院有关部门应当对密码的应用进行监督管理。不符合要求的,视情况给予通报批评、暂停投资计划、暂停项目建设、终止项目;国务院各部门要严格按照要求采用密码技术,定期开展密码应用安全评估,确保政务信息系统运行安全和政务信息资源数据安全。