2019年10月26日
《中华人民共和国密码法》正式颁布
国家密集出台
多项密码相关政策法规、
密码应用及安全性评估标准等
江西省紧跟落实
发布推动密码应用工作相关文件
明确指出
这些网络和信息系统:
关键信息基础设施、
面向社会服务的政务信息系统、
网络安全等级保护
第三级及以上系统等
需满足密码应用法定要求:
应依照相关法律法规及标准要求使用商用密码进行保护,并定期开展商用密码应用安全性评估
以下为《密码法》颁布两年来
国家及江西省等
新出台的部分密码政策法规标准等
一、
法律法规
1.《中华人民共和国密码法》(自2020年1月1日起施行,详戳)
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
……
2.《中华人民共和国数据安全法》(自2021年9月1日起施行)
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
3.《关键信息基础设施安全保护条例》(自2021年9月1日起施行)
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
4.《商用密码管理条例(修订草案征求意见稿)》(2020年8月20日发布)
第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、 同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。
商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
5.此处补充《密码法》颁布前正施行的密评管理办法
《商用密码应用安全性评估管理办法(试行)》(自2017年4月22日起施行)
第三条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位),应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。
第十条 重要领域网络与信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估,评估未通过,责任单位应当限期整改并重新组织评估。
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。对其他信息系统定期开展检查和抽查。
二、
国家政策
1.《国家政务信息化项目建设管理办法》(国办发〔2019〕57号,2020年2月1日起施行,详戳)
该办法涉及国家政务信息系统的规划、审批、建设、共享和监管,共三十六条,其中与密码应用相关的有七条。
第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第二十八条 加强国家政务信息化项目建设投资和运行维护经费协同联动,……
(三)对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
2.《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号,2020年7月22日印发)
二、深入贯彻实施国家网络安全等级保护制度
……
(六)落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
三、
密码应用标准
1.GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》(自2021年10月1日正式实施)
该标准为密码应用国家标准,包括从信息系统中使用的密码算法、密码技术、密码产品、密码服务等提出了密码应用通用要求,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。
2.GM/T 0115-2021 《信息系统密码应用测评要求》等(自2022年5月1日起正式施行)
2021年10月19日,国家密码管理局发布GM/T 0115-2021 《信息系统密码应用测评要求》、GM/T 0116-2021 《信息系统密码应用测评过程指南》等密码行业标准。
以上展示了部分密码标准,具体内容请在密码行业标准化技术委员会官网(http://www.gmbz.org.cn/main/bzlb.html)查看。
四、
江西贯彻落实
1.《江西省数字经济发展三年行动计划(2020-2022年)》(赣府厅发〔2020〕15号,2020年4月13日印发,详戳)
该计划多次指出数据安全保障的重要性,强调要“加大关键信息基础设施和数据安全保障力度,落实关键信息基础设施等级保护制度,扎实推进密码应用,定期举办网络安全攻防演练和密码应用安全性评估。加强公共服务领域重要信息系统安全保障。加大数据知识产权保护力度,保护个人隐私与信息安全”。
2.《江西省政务信息化项目建设管理办法》(赣府厅字〔2020〕68号,2020年9月25日印发,详戳)
该办法强调江西省政务信息化建设管理应当坚持“统筹规划、共建共享、业务协同、安全可靠”的原则,并对江西政务信息化项目规划和审批、建设和资金、监督等阶段明确了多项密码应用要求,要求项目建设单位应建立网络安全和密码安全等管理制度,同步规划、同步建设、同步运行密码保障系统,定期开展网络安全检测与密码应用安全性评估,保障信息系统安全稳定运行;同时加强政务信息化项目建设投资和运行维护经费协同联动,不符合密码应用和网络安全要求的系统,均不安排运维经费。
3.此外,江西省国家密码管理局印发多个通知,对开展密码应用与密评进行具体工作指导。
不忘初心,守护命门!云上(江西)密码服务科技有限公司在线为您解读密码法律法规、普及密码行业知识、提供密码应用升级改造咨询服务