首頁 > 關于我們 > 新聞動態 > 公司新聞

《密碼法》頒布一周年,您想知道的都在這里

發布時間 2020-10-26

2019年10月26日,十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》并于2020年1月1日起正式施行。今年是其頒布一周年,也是全面推進國家秘密治理體系和治理能力現代化的開局之年。一年來,它的進展如何呢?請和小編一起來探索一下吧。


先來回顧一下《密碼法》


《中華人民共和國密碼法》(以下簡稱“密碼法”)所稱的密碼,是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務,分為核心密碼、普通密碼和商用密碼。


1、核心密碼保護信息的最高密級為絕密級;

2、普通密碼保護信息的最高密級為機密級;

3、商用密碼用于保護不屬于國家秘密的信息。


而制定《密碼法》是為了規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,提升密碼管理科學化、規范化、法治化水平,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益。主要內容如下:


第一、密碼工作的基本原則、領導和管理體制,以及密碼發展促進和保障措施;

第二、核心密碼、普通密碼規定了核心密碼、普通密碼使用要求、安全管理制度以及國家加強核心密碼、普通密碼工作的一系列特殊保障制度和措施;

第三、商用密碼規定了商用密碼標準化制度、檢測認證制度、市場準入管理制度、使用要求、進出口管理制度、電子政務電子認證服務管理制度以及商用密碼事中事后監管制度;

第四、法律責任部分,規定了違反本法相關規定應當承擔的相應的法律后果。


《密碼法》一年來各方面舉措


?  相關法規陸續出臺


1、2020年7月30日,國密局發布《商用密碼應用安全性評估試點機構目錄》,目錄明確了24家商用密碼應用安全性評估試點機構


1.png


2、2020年8月20日,國家密碼管理局發布《商用密碼管理條例(修訂草案征求意見稿)》


1、 立法的宗旨:加強商用密碼管理,促進商用密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,根據《密碼法》制定本法律;

2、 管理職責:國家、省、市、縣四級密碼管理部門是商用密碼工作的行政主管部門。國家網信、商務、海關、市場監督管理等有關部門在各自職責范圍內,負責商用密碼有關管理工作;

3、 科技創新及標準化:突出科技創新和標準引領,明確建立健全商用密碼科學技術創新促進機制,保護商用密碼領域的知識產權,促進商用密碼科技成果轉化。明確國家密碼管理部門根據商用密碼應用需求或者安全需求,組織對密碼算法、密碼協議、密碼管理機制等商用密碼技術進行安全性審查;

4、 檢測認證和產品、服務管理:落實《密碼法》規定的推進商用密碼檢測認證體系建設,鼓勵商用密碼從業單位自愿接受商用密碼檢測認證。依法明確檢測、認證資質審批條件、程序及其從業規范;實行商用密碼產品、服務、管理體系的國推自愿性檢測認證制度;

5、 電子認證:依據《密碼法》《電子簽名法》,進一步明確電子認證服務,使用密碼要求和使用規范;電子政務電子認證服務機構的資質審批條件、程序及其從業規范;政務活動中的電子公文、電子印證、電子證照等的電子認證服務要求;

6、 監督管理:明確密碼管理部門和有關部門開展商用密碼監督管理的有關職權及其協作配合、保密義務、以及信用監管、投訴舉報等制度機制,以及相應的法制責任。

……


3、2020年9月24日,中國密碼學會密評聯委會《政務信息系統密碼應用與安全性評估工作指南》 (2020版)


國家網絡安全和密碼相關法律法規明確要求非涉密的關鍵信息基礎設施、網絡安全保護第三級以上網絡、國家政務信息系統等網絡與信息系統開展商用密碼應用安全性評估(簡稱“密評”)工作。


商用密碼應用安全性評估工作,旨在規范密碼應用,同時對維護網絡和信息系統密碼安全、保障網絡安全以及應對各類網絡安全風險具有重要的意義。開展“密評”工作已成為網絡運營者和信息系統責任單位必須履行的責任,也是維護密碼應用安全的必然選擇。


● 法律依據

第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。


● 重點內容

1、“密評”是面向的是整個信息系統的一項全局性評估工作,是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估;

2、“密評”工作流程可歸納為確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段;

3、“密評”的實施流程主要包括密碼應用方案評估、測評準備、方案編制、現場測評、測評結論分析、密碼測評報告編制。


? 《密碼法》對企事業單位的影響


1、針對涉密企事業單位


對涉及國家秘密的信息,涉密企事業單位應當使用核心密碼、普通密碼進行保護,并按照法律、行政法規、國家有關規定以及核心密碼、普通密碼標準的要求,建立健全安全管理、監督和審查制度,采取嚴格的保密措施和保密責任制,確保核心密碼、普通密碼的安全,配合密碼管理部門的指導、監督和檢查工作。如發現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風險隱患的,應當立即采取應對措施,并及時向保密行政管理部門、密碼管理部門報告,并在保密行政管理部門、密碼管理部門的指導下及時消除安全隱患。


2、針對非涉密企事業單位


非涉密企事業單位可選擇使用商用密碼保護網絡和信息安全,如非涉密企事業單位作為關鍵信息基礎設施的運營者,應當使用商用密碼對于關鍵信息基礎設施進行保護,并自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。


同時,關鍵信息基礎設施的運營者如采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,還應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。


3、針對關鍵信息基礎設施


《密碼法》進一步明確法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,同時規定運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。如未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,將承擔相應的法律后果。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。


4、針對商用密碼產品檢測認證


《密碼法》在貫徹落實黨中央、國務院放管服改革有關精神的前提下,規定涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。同時,商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。


作為信息安全產業的領軍企業,啟明星辰積極響應國家密碼管理的相關規定及落實《密碼法》,持續推出防火墻、下一代防火墻、加密機、SSL VPN安全接入網關、IPSecVPN、網絡安全審計、數據庫審計、數據防泄漏、文檔加密系統等商用密碼產品和涉密信息系統產品,符合國家密碼協議的相關密碼標準,為涉密網及關鍵信息基礎設施領域的用戶主動提供產品及服務。


未來,啟明星辰將繼續以用戶需求為根本動力不斷為客戶提供整體的安全解決方案及專業的安全服務,幫助客戶構建起完善的安全保障體系。同時,啟明星辰也將持續加大投入,構建網絡安全框架,融合密碼技術發展,推動安全技術全面發展,幫助用戶業務提升全生命周期的安全保障能力。


上一篇 下一篇