商用密码应用与安全性评估之(三)商用密码应用法律政策要求
新时期,网络环境日益复杂而深刻,密码应用需求日益多样化。推进商用密码合规、正确、有效应用,是新时期商用密码管理和创新发展的重中之重。商密密评事项可站内联系或咨询15011462285.
1 国家法律法规有关密码应用的要求
面对国家安全的新形式,我国已在多部法律法规中明确规定了密码应用的要求,包括《密码法》《网络安全法》《商用密码管理条例》《关键信息基础设施安全保护条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》等。
(1)《密码法》
《密码法》按照中央确定的密码管理原则和应用政策,规定了密码应用的主要制度和要求。一是强调国家积极规范和促进密码应用,提升使用密码保障网络与信息安全的水平,保护公民、法人和其他组织依法使用密码的权利。二是建立密码检测认证体系,鼓励从业单位自愿接受商用密码检测认证。涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。三是明确关键信息基础设施使用密码和进行密码应用安全性评估的要求,规定法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。四是建立安全审查机制,规定对可能影响国家安全的、涉及商用密码的网络产品和服务按照国家安全审查的要去进行安全审查。五是规定国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定。
(2)《网络安全法》
《网络安全法》对网络运营者应该履行的安全保护义务做出了明确要求,而维护网络数据完整性、保密性、真实性及不可否认性,都需要发挥密码技术的核心支撑作用。
(3)《商用密码管理条例》
1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理,规定“商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”等。为落实《密码法》立法精神,《商用密码管理条例》修订将充分体现国家“放管服”改革要求,取消对科研、生产、销售单位等的行政许可事项,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上的信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
(4)《关键信息基础设施安全保护条例(征求意见稿)》
《关键信息基础设施安全保护条例(征求意见稿)》明确了在关键信息基础设施保护工作中,依据密码管理法律法规开展有关密码管理工作,充分体现了密码管理在国家网络安全大局中的重要地位和作用。其中规定,“运营单位对保护工作部门开展的网络安全检查工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的检查应当予以配合”。该条例明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任,为密码管理部门开展网络空间密码保护工作,尤其是网络安全检查和安全审查等工作提供了法律依据,同时也为开展密评工作提供了强有力的支撑。
(5)《网络安全等级保护条例(征求意见稿)》
2018年6月27日,《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,其中设置了密码管理专章,体现了密码管理在网络安全等级保护工作中的重要作用,明确了网络安全等级保护密码管理的主要思路、方式和手段,强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权,明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”,还从网络安全等级保护的事前备案审核、事中应用要求、以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。
(6)《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码管理办法》规定:“信息安全等级保护中使用的商用密码产品,应当是国家密码管理局准予销售的产品”,“信息安全等级保护中第二级及以上的信息系统使用商用密码产品应当备案,填写《信息安全等级保护商用密码产品备案表》”,“国家密码管理局和省、自治区、直辖市密码管理机构I对第三级及以上信息系统使用商用密码的情况进行检查”,明确了商用密码产品的使用要求和各级密码管理部门的监管要求。
(7)《电子认证服务密码管理办法》
《电子认证服务密码管理办法》主要规定面向社会公众提供电子认证服务应当使用商用密码,明确了申请电子认证服务使用密码许可应当具备的基本条件和程序,对电子认证服务系统的运行和技术改造等做出了规定。同时,要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位,按照GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求承建,并通过国家密码管理局组织的安全性审查。
(8)《政务信息系统政府采购管理暂行办法》
2017年12月26日,财政部印发的《政务信息系统政府采购管理暂行办法》第八条规定:“采购需求应当落实国家密码管理有关法律规定、政策和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估”第十二条规定:“采购人应当按照国家有关规定组织政务信息系统项目验收,根据项目特点制定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、密码应用和安全审查情况、信息系统共享情况、维保服务等采购文件和采购合同规定的内容,必要时可以邀请行业专家、第三方机构或相关主管部门参与验收。”
(9)《国家政务信息化项目建设管理办法》
2019年12月30日,《国家政务信息化项目建设管理办法》发布,对国家政务信息系统的规划、审批、建设、共享和监管做出规定,其中明确规定了多项密码应用有关要求。
2 国家战略和规划有关密码应用的要求
(1)国家网络安全和信息化、科技产业支撑规划
《十三五国家信息化规划》
《政府网站发展指引》
《十三五国家政务信息化工程建设规划》
《国家信息化发展战略纲要》
《国家网络空间安全战略》
《国家创新驱动发展战略纲要》
(2)国家重大专项和行动
《关于加快推进“互联网+政务服务”工作的指导意见》
《关于积极推进“互联网+”行动的指导意见》
《促进大数据发展行动纲要》
《工业控制系统信息安全行动计划》
《推进互联网协议第六版(IPV6)规模部署行动计划》
3 行业和地区有关密码应用要求
(1)金融行业密码应用政策要求
中国人民银行对银行机构使用的密码基础设施、金融IC卡、网上银行、移动支付、关键信息系统提出了密码应用要求,要求采用符合国家密码法律法规和标准要求的密码算法和密码产品,构建安全可控的密码保障体系。2016年,中国人民银行会同原中国银行业监督管理委员会发布《银行卡清算机构管理办法》,要求银行卡清算业务基础设施应满足国家信息安全等级保护要求,使用经过国家密码管理部门认可的商用密码产品。
中国证券监督管理委员会明确提出逐步在网上证券、网上期货、网上基金等业务中规范密码应用,按照国家法律法规和标准的要求,推广使用合规有效的密码算法和密码产品。
原中国保险监督委员会要求逐步在电子保单、电子认证、办公系统,以及各类保险业务系统中规范密码引用,使用符合国家密码法律法规和标准要求的密码算法和密码产品,加强密码应用的检测评估,确保密码应用合规、正确、有效。
(2)其他重要行业密码应用政策要求
教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门,均制定了本领域密码应用总体规划或工作方案,明确要求使用符合国家密码法律法规和标准规范的密码算法和密码产品,实现密码在本领域的全面应用。
教育部要求,在教育和科研计算机网、教育管理、教育资源、电子校务、教育基础数据、教育卡等信息系统,以及面向社会服务的教育政务系统中加强密码应用。
公安部要求,在信息安全等级保护第三级及以上的网络信息系统、国家级信息化项目、全国或跨地区联网的网络与信息系统、公安信息网基础设施、面向社会服务的政务信息系统中加强密码应用。
交通运输部要求,在高速公路不停车电子收费系统(ETC)、交通一卡通系统、联网售票系统、出行服务系统、运政管理系统、地理信息系统等领域加强密码应用。中国铁路总公司要求,在铁路基础网络、重要信息系统、公众服务平台等领域加强密码应用。
国家能源局要求,在电子系统、核电厂、石油天然气、油气管道等重要信息系统和重要工业控制系统中加强密码应用。
(3)各地区密码应用政策要求
除各行业领域主管部门外,一些省区市也出台了密码应用相关政策要求。
安徽省密码管理局、安徽省财政厅印发《关于重要领域信息系统密码应用工作的通知》,要求凡申报使用财政性资金建设的重要领域信息系统项目,必须提供密码应用方案。
北京市明确将密码应用建设过程中的新建项目所需经费列入同级政府固定资产投资,升级改造和运行维护经费列入同级财政预算,并对密码应用情况进行事前审查。
2492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
