一、密码法
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
二、网络安全法
第十条 建设、运营网络或者通过网络提供服务,应当维护网络数据的完整性、保密性和可用性。
第二十一条 采取数据分类、重要数据备份和加密等措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
三、关键信息基础设施安全保护条例(征求意见稿)
第五十三条 关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。
四、网络安全等级保护条例(等保2.0)
第四条 网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
第四十七条 非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
在编写方案的时候参考最新发布的《GBT39786-2021 信息安全技术 信息系统密码应用基本要求》,从物理和环境、网络和通信、设备和计算、应用和数据、管理这几个方面入手,切记以应用为一个边界,编写过程中理清边界范围,高风险项要重点分析和给出解决方法。