0531-67800866
0531-67800866
数字化浪潮奔涌,密码作为护航网络空间安全的“国之重器”,其管理与发展日益受到国家高度重视。过去五年间,从顶层法律到具体规范,国家及各部委密集出台了一系列密码相关的法律法规、管理办法、政策文件及技术标准,构建起日益完善的密码法治与管理体系。特别是《密码法》的颁布实施,标志着我国密码事业进入法治化新纪元。
(一)中华人民共和国密码法(自2020年1月1日起施行)
第二十七条(节选) 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
(二)中华人民共和国数据安全法(自2021年9月1日起施行)
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
(三)关键信息基础设施安全保护条例(自2021年9月1日起施行)
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
(四)中华人民共和国个人信息保护法(自2021年11月1日起施行)
第五十一条(节选) 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
……
(三)采取相应的加密、去标识化等安全技术措施;
……
(五)商用密码管理条例(新修订,自2023年7月1日起施行)
第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
第四十一条 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
(六)网络数据安全管理条例(自2025年1月1日起施行)
第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
风险评估报告应当包括下列内容:
……
(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;
……
(七)《政务数据共享条例》(中华人民共和国国务院令 第809号,自2025年8月1日起施行)
第三十四条 政务数据共享主管部门应当会同同级网信、公安、国家安全、保密行政管理、密码管理等部门,根据数据分类分级保护制度,推进政务数据共享安全管理制度建设,按照谁管理谁负责、谁使用谁负责的原则,明确政务数据共享各环节安全责任主体,督促落实政务数据共享安全管理责任。
政务数据需求部门在使用依法共享的政务数据过程中发生政务数据篡改、破坏、泄露或者非法利用等情形的,应当承担安全管理责任。
(一)国家政务信息化项目建设管理办法(国办发〔2019〕57号,自2020年2月1日起施行)
该办法涉及国家政务信息系统的规划、审批、建设、共享和监管,共三十六条,其中与密码应用相关的有七条。
第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第二十八条(节选)加强国家政务信息化项目建设投资和运行维护经费协同联动,……
(三)对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
(二)贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安〔2020〕1960号,2020年7月22日印发)
二、深入贯彻实施国家网络安全等级保护制度
……
(六)落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
(三)商用密码应用安全性评估管理办法(国家密码管理局令第3号,自2023年11月1日起施行)
第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估;第九条规定,重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。
(四)商用密码检测机构管理办法(国家密码管理局令第2号,自2023年11月1日起施行)
第一条 为了加强商用密码检测机构管理,规范商用密码检测活动,根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本办法。
第二条 商用密码检测机构的资质认定和监督管理适用本办法。
第三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
(五)关于印发《商用密码领域违法线索投诉举报处理办法(试行)》的通知(国密局字〔2024〕128号,自2024年6月1日起施行)
第三条 本办法所称投诉举报,是指公民、法人或者其他组织向密码管理部门反映各类涉嫌违反商用密码领域法律、法规、规章或者行政规范性文件线索的行为。
第四条 国家密码管理局主管全国投诉举报处理工作,指导并监督地方各级密码管理部门的投诉举报处理工作。县级以上地方各级密码管理部门负责本行政区域内的投诉举报处理工作。
(六)互联网政务应用安全管理规定(自2024年7月1日起施行)
第十七条 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。
第二十一条 机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。
(七)电子政务电子认证服务管理办法(国家密码管理局令第4号,自2024年11月1日起施行)
第二十二条 电子政务电子认证服务机构应当遵守国家有关密码管理要求,保障电子政务电子认证服务使用密码安全。
电子政务电子认证服务机构提供的电子政务电子认证服务应当纳入统一的电子认证信任体系,遵守电子认证服务互信互认要求。
(八)关于印发紧密型县域医共体信息化功能指引的通知(2025年3月12日印发)
第二十五条 终端设备直连卫星服务提供者应当依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《中华人民共和国密码法》等法律法规的规定和国家标准的强制性要求,履行网络安全、数据安全和个人信息保护义务,落实网络安全等级保护、通信网络安全防护、数据分类分级保护和商用密码应用安全性评估等制度,采取必要措施保障数据和个人信息安全。
(十)中国人民银行业务领域数据安全管理办法(中国人民银行令〔2025〕第3号,自2025年6月30日起施行)
……
(三)原则上高敏感性数据项须加密存储,确需不加密存储的,数据处理者应当统一规范管理相关需求场景。中国人民银行对业务数据存储有使用商用密码保护特别规定的,按照其规定执行。
(十一)国家网络身份认证公共服务管理办法(自2025年7月15日起施行)
第十三条 公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。
(十二)关键信息基础设施商用密码使用管理规定(国家密码管理局、国家互联网信息办公室、公安部令第5号,自2025年8月1日起施行)
第四条 关键信息基础设施保护工作部门(以下简称保护工作部门)在职责范围内负责监督管理本行业、本领域关键信息基础设施商用密码使用工作,单独编制本行业、本领域商用密码使用规划或者纳入本行业、本领域的关键信息基础设施安全规划并组织实施,指导本行业、本领域关键信息基础设施运营者(以下简称运营者)开展商用密码相关制度、人员、经费等保障工作。
保护工作部门应当于每年3月31日前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关键信息基础设施商用密码使用管理情况。
关键信息基础设施发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时,保护工作部门应当及时向国家密码管理部门、国家网信部门、国务院公安部门报告,指导运营者开展应急处置,必要时开展商用密码应用安全性评估。
第五条 运营者应当按照相关法律、行政法规和国家有关规定,遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求,使用商用密码保护关键信息基础设施,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
运营者应当于每年1月31日前向所属的保护工作部门报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况。
(一)密码应用标准
1.GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》(自2021年10月1日正式实施)
该标准为密码应用国家标准,包括从信息系统中使用的密码算法、密码技术、密码产品、密码服务等提出了密码应用通用要求,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。
2.GB/T 43206—2023 《信息安全技术 信息系统密码应用测评要求》(自2024年4月1日正式实施)
该标准为密码应用国家标准,规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求,并给出了整体测评要求、风险分析和评价、测评结论的要求,适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。
3.GB/T 43207—2023《信息安全技术 信息系统密码应用设计指南》(自2024年4月1日正式实施)
该标准为密码应用国家标准,包括信息系统密码应用框架、密码应用方案设计原则、密码应用方案设计过程、密码应用方案设计指南,适用于指导信息系统密码应用方案的设计,也可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门密码应用安全性评估备案工作的参考。
4.GM/T 0133—2024《关键信息基础设施密码应用要求》(2024年12月27日由国家密码管理局发布,自2025年7月1日起正式实施)
该密码行业标准规定了关键信息基础设施的密码应用实施要求、密码应用技术和管理要求、密码运行安全保障要求,适用于指导和规范关键信息基础设施运营者对关键信息基础设施密码应用的规划、建设、运行及安全性评估,也可供关键信息基础设施安全保护的其他相关方参考使用。
(二)密码规范指导性文件
依据《密码法》等法律法规,中国密码学会密评联委会修订形成了《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2023版)》《政务信息系统密码应用与安全性评估工作指南》(2020版)《商用密码应用安全性评估测评实施指引》《商用密码应用安全性评估测评工具指引》《政务领域政务服务平台密码应用与安全性评估实施指南》《政务云密码应用与安全性评估实施指南》等密码应用与安全性评估指导性文件,并更新发布了商用密码应用安全性评估FAQ(第三版),对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答,以帮助相关人员更好开展商用密码应用与安全性评估工作。
文章来源:密码头条