国家法律法规有关密码应用的要求
《密码法》
- 强调密码应用
- 建立检测认证体系
- 明确使用密码和密评的要求
- 建立安全审查机制
- 对认证服务机构进行认定
《网络安全法》
- 第十条:采取技术措施和其他必要措施,保障网络安全,稳定运行,维护网络数据的CIA。
- 第十六条:支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务。
- 第二十一条:国家实现网络安全等级保护制度。
《商用密码管理条例》
- 任何单位和个人只能使用经过国家密码管理机构认可的商用密码产品,不得自研或境外购买。
- 突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施密评和安全审查制度。
《关键信息基础设施安全保护条例(征求意见稿)》
- 运营单位对保护工作部门开展的网络安全检查工作,以及国家有关部门依法开展的检查应当予以配合。
- 对使用未经或未通过安全审查网络产品和服务的责任单位处采购金额一倍以上十倍以下罚款,对责任人处以一万以上十万以下罚款。
- 关键信息基础设施密码的使用和管理,还应当遵守密码法律、行政法规的规定。
《网络安全等级保护条例(征求意见稿)》
- 国家密码管理部门负责网络安全等级保护工作中有关密码管理的监督管理。
- 《网络安全等级保护条例》正式颁布实施后,将替代现行的《信息安全等级保护管理办法》,修订《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码管理办法》
- 密码产品必须是国家密码管理局准予销售的产品
- 等保二级及以上要备案,填写《信息安全等级保护商用密码产品备案表》
- 国家密码管理局和下级密码管理机构对三级及以上进行检查
- 三级及以上的建设方案必须通过管理部门评审后才能实施
- 三级及以上信息系统使用的商用密码应用系统用当通过指定机构的密码测评才能投入运行。
《电子认证服务密码管理办法》
- 要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位,按照GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求承建,并通过国家密码管理局组织的安全性审查。
《政务信息系统政府采购管理暂行办法》
- 第八条规定:采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
- 第十二条规定:采购人应当按照国家有关规定组织政务信息系统项目验收,根据项目特点制定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、密码应用和安全审查情况、信息系统共享情况、维保服务等采购文件和采购合同规定的内容,必要时可以邀请行业专家、第三方机构或相关主管部门参与验收。”
《国家政务信息化项目建设管理办法》
- 太多了,写上也记不住。
国家战略和规划有关密码应用的要求
《十三五国家信息化规划》
- 首先,在重大任务和重点工程中提出健全网络安全保障体系
- 其次,在优先行动中提出数据资源共享开放行动
- 最后,在重点任务分工方案中,将国家密码管理局作为重要职能部门
《政府网站发展指引》
- 使用符合国家密码管理政策和标准规范的密码算法和密码产品,逐步建立基于密码的网络信任、安全支撑和运行监管机制
《“十三五”国家政务信息化工程建设规划》
- 要求政务信息化工程建设要筑牢网络信息安全防线,全面推进安全可靠产品和密码应用,提高自主保障能力,切实保障政务信息系统的安全可靠运行。
《国家信息化发展战略纲要》
- 到2025年,根本改变核心关键技术受制于人的局面。
- 和同步规划、同步建设、同步运行密码保障系统并定期开展密码应用安全性评估(简称“三同步一评估”) 的要求是一致。
- 加快构建关键信息基础设施安全保障体系,加强党政机关及重点领域网站的安全防护。
《国家网络空间安全战略》
- 提出信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域。
- 统筹网络安全与发展”的原则,强调没有网络安全就没有国家安全,没有信息化就没有现代化。
《国家创新驱动发展战略纲要》
- 把"自主创新能力大幅提升"作为战略目标之一
- 发展新一代信息网络技术,增强经济社会发展的信息化基础。
《关于加快推进"互联网+ 政务服务"工作的指导意见》
《关于积极推进"互联网+"行动的指导意见》
《促进大数据发展行动纲要》
- 提出"在涉及国家安全稳定的领域采用安全可靠的产品和服务,到2020年,实现关键部门的关键设备安全可靠,完善网络安全保密防护体系。"
《工业控制系统信息安全行动计划》
- 确保信息安全与信息化建设同步规划、同步建设、同步运行。
- 过加强技术防护研究和建立健全标准体系来提升安全防护能力"。这与密码应用"三同步一评估"的要求十分契合。
《推进互联网协议第六版(IPv6)规模部署行动计划》
- 2017年11月,《推进互联网协议第六版(IPv6)规模部署行动计划》发布,提出了"创新发展、保障安全"的基本原则。强调"坚持发展与安全并举,大力促进下一代互联网与经济社会各领域的融合创新,同步推进网络安全系统规划、建设、运行,保障互联网安全可靠、平滑演进"。同时,还提出了"强化网络安全保障,维护国家网络安全"的重点任务,部署了"升级安全系统""强化地址管理""加强安全防护""构筑新兴领域安全保障能力"等具体工作,这些都离不开密码的应用和支撑
行业和地区有关密码应用要求
金融行业密码应用政策要求
- 中国人民银行要求采用符合国家密码法律法规和标准要求的密码算法和密码产品
- 《银行卡清算机构管理办法》要求银行卡清算业务基础设施应满足国家信息安全等级保护要求,使用经国家密码管理部门认可的商用密码产品。
- 中国证券监督管理委员会明确提出逐步推广使用合规有效的密码算法和密码产品
- 原中国保险监督管理委员会要求逐步使用符合国家密码法律法规和标准要求的密码算法和密码产品,加强密码应用的检测评估,确保密码应用合规、正确、有效。
其他重要行业密码应用政策要求
- 教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门,均制定了本领域密码应用总体规划或工作方案,明确要求使用符合国家密码法律法规和标准规范的密码算法和密码产品,实现密码在本领域的全面应用。
各地区密码应用政策要求
- 安徽省财政厅印发《关于重要领域信息系统密码应用工作的通知》
- 北京市明确将密码应用建设过程中的新建项目所需经费列入同级政府固定资产投资,升级改造和运行维护经费列入同级财政预算,并对密码应用情况进行事前审查
- 吉林省制定出台13项密码应用"增量"管控措施,36项密码供给能力建设扶持政
- 江苏省财政厅、省密码管理局联合颁布《江苏省密码产品采购管理目录》
- 天津市委办公厅、市政府办公厅联合印发《关于重要领域网络与信息系统规范使用密码的通知》
- 贵州省委办公厅、省政府办公厅印发《贵州省重要领域网络与信息系统密码应用审核实施意见》
- 河北省财政厅、密码管理局、公共资源交易监督办公室联合印发《关于面向社会服务的政务信息系统使用国产密码技术设备的通知》