『壹』 關鍵信息基礎設施商用密碼使用管理規定
面對國家安全的新形勢 ,我國已在多部法律法規中明確規定了密碼應用的要求,包括《密碼法》、《網路安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例(徵求意見稿)》、《網路安全等級保護條例(徵求意見稿)》等。
01《中華人民共和國密碼法》
《密碼法》按照中央確定的密碼管理原則和應用政策,規定了密碼應用的主要制度和要求。
一是強調國家積極規范和促進密碼應用,提升使用密碼保障網路與信息安全水平,保護公民、法人和其他組織依法使用密碼的權利。
二是建立商用密碼檢測認證體系,鼓勵從業單位自願接受商用密碼檢測認證。涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網路關鍵設備和網路安全專用目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。商用密碼服並激務使用網路關鍵設備和網路安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證證合格。
三是明確關鍵信息基礎設施使用密碼和進行密碼應用安全性評估的要求,規定法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。
四是建立安全審查機制,規定對可能影響國家安全的、涉及商用密碼的網路產品和服務按照國家安全審查的要求進行安全審查。
五是規定國家密碼管理部門對採用商用密碼技術從事電子政務電子認證服務的機構進行認定。
02《中華人民共和國網路安全法》
《網路安全法》對網路運營者應該履行的安全保護義務做出了明確要求,而維護網路數據的完整性、保密性、真實性及不可否認性,都需要發揮密碼技術的核心支撐作用。
《網路安全法》第十條:"建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。"
《網路安全法》第十六條:"國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發和應用,推廣安全可信的網路產品和服務,保護網路技術知識產權,支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。"而安全可信的網路產品和服務,需要以密碼為基因構建。
《網路安全法》第二十一條:"國家實行網路安全等級保護制度, 網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網兄蔽塌絡免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:...... 採取數據分類、重要數據備份和加密等措施
03《商用密碼管理條例》
1999年發布的《商用密碼管理條例》規定國家對商用密碼產品的研發、生產、銷售和使用實行專控管理。為落實《密碼法》有關立法精神,《商用密碼管理條例》修訂將充分體現國家「放管服」改革要求,取消對科研、生產、銷售單位等的行政許可事項,強化密碼應用要求,突出對關鍵信息基礎設施和網路安全等級保護第三級及以上信息系統的密碼應用監管,並實施商用密碼應用安全性評估和安全審查制度。
04《關鍵信息基礎設施安全保護條例(徵求意見稿)》
國家對於關鍵信息基礎設施中的密碼應用高度重視。《網路安全法》第三十一條規定:"國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保度的基礎上,實行重點保護。"按照《網路安全法》要求,《關鍵信息基礎設施保護條例》正在起草制定,並於2017年7月向社會公開徵求意見。
《關鍵信息基礎設施安全保護條例(徵求意見稿)》明確了在關鍵信息基礎設施保護工作中,依據密碼管理法律法規開展有關密碼管理工作,充分體現了密碼管理在國家網路安全大局中的重要地位和作用。其中規定,"運營單位對保護工作部門開展的網路安全檢查工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的檢查應當予以配合","對使用未經或未通過安全審查網路產品和服務的責任單位處采購金額一倍以上十倍以下罰款,對責任人員處一萬元以上十萬元以下罰羨圓款","關鍵信息基礎設施密碼的使用和管理,還應當遵守密碼法律、行政法規的規定「。該《條例》明確了關鍵信息基礎設施的密碼應用要求,壓實了網路安全運營者和主管部門有關密碼應用和密碼安全的主體責任,為密碼管理部門開展網路空間密碼保護工作,尤其是網路安全檢查和安全審查等工作提供了法律依據,同時也為開展密評工作提供了強有力的支撐。
05《網路安全等級保護條例(徵求意見稿)》
2018年6月27日,《網路安全等級保護條例(徵求意見稿)》向社會公開徵求意見,其中設置了密碼管理專章,體現了密碼管理在網路安全等級保護工作中的重要作用,明確了網路安全等級保護密碼管理的主要思路、方式和手段,強調了網路安全等級保護第三級及以上系統使用密碼進行保護的義務,突出了商用密碼應用安全性評估作為等級保護密碼管理主要抓手的地位和作用,強化了密碼管理部門在等級保護技術標准制定、監督檢查、密碼應用安全性評估工作開展等方面的職權,明確規定了「國家密碼管理部門負責網路安全等級保護工作中有關密碼管理工作的監督管理」,還從網路安全等級保護的事前備案審核、事中應用要求,以及事中事後監管和法律責任各環節對密碼管理和應用進行了規定。
《網路安全等級保護條例》頒布實施後,將替代現行的《信息安全等級保護管理辦法》,對我國的網路安全等級保護進行規范和管理。屆時,國家密碼管理局將與公安部等部門密切配合,依法開展密評工作,並修訂《信息安全等級保護商用密碼管理辦法》等配套規章。
06《信息安全等級保護商用密碼管理辦法》
《信息安全等級保護商用密碼管理辦法》規定:「信息安全等級保護中使用的商用密碼產品,應當是國家密碼管理局准予銷售的產品」。
為配合《信息安全等級保護商用密碼管理辦法》的實施,進一步規范信息安全等級保護商用密碼工作,國家密碼管理局印發《信息安全等級保護商用密碼管理辦法實施意見》,規定「第三級及以上信息系統的商用密碼應用系統建設方案應當通過密碼管理部門組織的評審後方可實施」,「第三級及以上信息系統的商用密碼應用系統,應當通過國家密碼管理部門指定測評機構的密碼測評後方可投入運行。密碼測評包括資料審查、系統分析、現場測評、綜合評估等」,這些制度均明確了信息安全等級保護第三級及以上信息系統的商用密碼應用要求。
07《電子認證服務密碼管理辦法》
《電子認證服務密碼管理辦法》主要規定面向社會公眾提供電子認證服務應當使用商用密碼,明確了申請電子認證服務使用密碼許可應當具備的基本條件和程序,對電子認證服務系統的運行和技術改造等做出了規定。同時,要求電子認證服務系統要由具有商用密碼產品生產和密碼服務能力的單位,按照GM T 0034-2014《基於SM2 密碼演算法的證書認證系統密碼及其相關安全技術規范》的要求承建,並通過國家密碼管理局組織的安全性審查。
08《政務信息系統政府采購管理暫行辦法》
2017年12月26日,財政部印發的《政務信息系統政府采購管理暫行辦法》第八條規定:「采購需求應當落實國家密碼管理有關法律法規、政策和標准規范的要求,同步規劃、同步建設、同步運行密碼保障系統並定期進行評估。」
第十二條規定:「采購人應當按照國家有關規定組織政務信息系統項目驗收,根據項目特點制定完整的項目驗收方案。驗收方案應當包括項目所有功能的實現情況、密碼應用和安全審查情況、信息系統共享情況、維保服務等采購文件和采購合同規定的內容,必要時可以邀請行業專家、第三方機構或相關主管部門參與驗收。
09《國家政務信息化項目建設管理辦法》
2019年12月30 日,《國家政務信息化項目建設管理辦法》發布,對國家政務信息系統的規劃、審批、建設、共享和監管做出規定,其中明確規定了多項密碼應用有關要求。
政務信息化項目建設單位,應同步規劃、同步建設、同步運行密碼保障系統並定期進行評估;按要求向發改委備案的備案文件應當包括密碼應用方案和密碼應用安全性評估報告;項目的密碼應用和安全審查情況應當作為項目驗收的重要內容之一,密碼應用安全性評估報告應當作為提交驗收申請的必要材料;對於不符合密碼應用和網路安全要求的政務信息系統,不安排運行維護經費,項目建設單位不得新建、改建、擴建政務信息系統;國務院有關部門對密碼應用情況實施監督管理,不符合要求的,視情予以通報批評、暫緩安排投資計劃、暫停項目建設直至終止項目;國務院各部門應當嚴格按要求採用密碼技術,並定期開展密碼應用安全性評估,確保政務信息系統運行安全和政務信息資源共享交換的數據安全。
『貳』 密碼法應當遵循什麼原則
密碼法應當遵循統一領導、分級負責、創新發展、服務大局、依法管理、保障安全的原則。密碼是國家重要戰略資源,是保障網路與信息安全的核心技術和基礎支撐。密碼工作是黨和國家的一項特殊重要工作,直接關系國家政治悉隱安全、經濟安全、國防安全和信息安全。新時代密碼工作面臨許多新的機遇和挑戰,擔負更加繁重的保障和管理任務。
國家密碼管理部門負責管理睜蘆廳全國的密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。國家機關和涉及密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的密碼工作。
核心密碼、普通密碼用於保護國家秘密信息,核心密碼保護信息嘩銀的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。核心密碼、普通密碼屬於國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。
『叄』 根據中華人民共和國密碼法
《中華人民共和國密碼法》具體如下:
1、為了規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,制定本法;
2、 密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則;
3、 堅持中國共產黨對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設;
4、 國家密碼管理部門負責管理全國的密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。國家機關和涉及密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的密碼工作。
【法律法規】
《中華人民共和國密碼法(釋義)》
第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
關鍵信息基礎設施的運營者采購涉及商用密碼的網路產品和服務,可能影響國家安全的,應當按照《中華人民共和國網路安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域。
關鍵信息基礎設施的運營者,是指關鍵信息基礎設施的所有者、管理者和網路服務提供者。
商用密碼應用安全性評估。是指在採用商用密碼技術、產品和服務集成建設的網路和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
『肆』 中華人民共和國密碼法遵循什麼原則
法律分析:密碼法重點把握以下三個原則:
1、明確對核心密碼、普通密碼與商用密碼實行分類管理的原則。在核心密碼、普通密碼方面,深入貫徹總體國家安全觀,將現行有效的基本制度、特殊管理政策及保障措施法治化;在商用密碼方面,充分體現職能轉變和「放管服」改革要求,明確公民、法人和其他組織均可依法使用。
2、注重把握職能轉變和「放管服」要求與保障國家安全的平衡。在明確鼓勵商用密碼產業發展、突出標准引領作用的基礎上,對涉及國家安全、國計民生、社會公共利益,列入網路關鍵設備和網路安全專用產品目錄的產品,以及關鍵信息基礎設施的運營者采購等部分,規定了適度的管制措施。
3、注意處理好密碼法與網路安全法、保守國家秘密法等有關法律的關系。在商用密碼管理和相應法律責任設定方面,與網路安全法的有關制度,如強制檢測認證、安全性評估、國家安全審查等作了銜接;同時,鑒於核心密碼、普通密碼屬於國家秘密,在核心密碼、普通密碼的管理方面與保守國家秘密法作了銜接。
法律依據:《中華人民共和國密碼法》 第三條 密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則。
『伍』 網路密碼如何保護
法律分析:針對蘆敬碧不同網站,設定不同安全等級的密碼。比如常用的重要網站,密碼要自己容易記住,別人稿盯不一定知道,不陪舉要使用簡單的數字或者生日。最好是數字,大小寫字母結合,定期修改的。不重要的如各類中小網站、論壇、社區、個人網站等使用。可以使用通用性強,容易記住的,但是也不要使用電話號碼,生日這樣的數字。默認是可以丟失的密碼。
法律依據:《中華人民共和國網路安全法》 第三十六條 關鍵信息基礎設施的運營者采購網路產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
『陸』 國家公民怎樣使用商用密碼法
第三章商用密碼
第二十一條國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
各級人民政府及其有關部門應當遵循非歧視原則,依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位(以下統稱商用密碼從業單位)。國家鼓勵在外商投資過程中基於自願原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。
商用密碼的科研、生產、銷售、服務和進出口,不得損害國家安全、社會公共利益或者他人合法權益。
第二十二條國家建立和完善商用密碼標准體系。
國務院標准化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標准、行業標准。
國家支持社會團體、企業利用自主創新技術制定高於國家標准、行業標准相關技術要求的商用密碼團體標准、企業標准。
第二十三條國家推動參與商用密碼國際標准化活動,參與制定商用密碼國際標准,推進商用密碼中國標准與國外標准之間的轉化運用。
國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標准化活動。
第二十四條商用密碼從業單位開展商用密碼活動,應當符合有關法律、行政法規、商用密碼強制性國家標准以及該從業單位公開標準的技術要求。
國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標准、行業標准,提升商用密碼的防護能力,維護用戶的合法權益。
第二十五條國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規范、規則,鼓勵商用密碼從業單位自願接受商用密碼檢測認證,提升市場競爭力。
商用密碼檢測、認證機構應當依法取得相關資質,並依照法律、行政法規的規定和商用密碼檢測認證技術規范、規則開展商用密碼檢測認證。
商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。
第二十六條涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網路關鍵設備和網路安全專用產品目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。商用密碼產品檢測認證適用《中華人民共和國網路安全法》的有關規定,避免重復檢測認證。
商用密碼服務使用網路關鍵設備和網路安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
第二十七條法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
關鍵信息基礎設施的運營者采購涉及商用密碼的網路產品和服務,可能影響國家安全的,應當按照《中華人民共和國網路安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第二十八條國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公布。
大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。
第二十九條國家密碼管理部門對採用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。
第三十條商用密碼領域的行業協會等組織依照法律、行政法規及其章程的規定,為商用密碼從業單位提供信息、技術、培訓等服務,引導和督促商用密碼從業單位依法開展商用密碼活動,加強行業自律,推動行業誠信建設,促進行業健康發展。
第三十一條密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度,建立統一的商用密碼監督管理信息平台,推進事中事後監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督。
密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,並對其在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。