2024年3月4日发(作者:)
商用密码应用法律政策要求
新时期,网络环境日益复杂而深刻,密码应用需求日益多样化。推进商用密码合规、正确、有效应用,是新时期商用密码管理和创新发展的重中之重。
国家法律法规有关密码应用的要求
面对国家安全的新形势 ,我国已在多部法律法规中明确规定了密码应用的要求,包括《密码法》、《网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等。
1. 《中华人民共和国密码法》
《密码法》按照中央确定的密码管理原则和应用政策,规定了密码应用的主要制度和要求。其中明确了关键信息基础设施使用密码和进行密码应用安全性评估的要求,规定法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码
检测机构开展商用密码应用安全性评估。
2. 《中华人民共和国网络安全法》
《网络安全法》对网络运营者应该履行的安全保护义务做出了明确要求 ,而维护网络数据的完整性、保密性、真实性及不可否认性,都需要发挥密码技术的核心支撑作用。《网络安全法》第十六条:国务院和省、自治区、直辖市人民政府应当统筹规划……推广安全可信的网络产品和服务……。”而安全可信的网络产品和服务,需要以密码为基因构建。
3. 《商用密码管理条例》
1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理。为落实《密码法》有关立法精神,《商用密码管理条例》修订将充分体现国家“放管服”改革要求,取消对科研、生产、销售单位等的行政许可事项,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
4. 《关键信息基础设施安全保护条例(征求意见稿)》
《关键信息基础设施安全保护条例(征求意见稿)》明确了在关键信息基础设施保护工作中,依据密码管理法律法规开展有关密码管理工作,充分体现了密码管理在国家网络安全大局中的重要地位和作用。该《条例》明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任,为密码管理部门开展网络空间密码保护工作,尤其是网络安全检查和安全审查等工作提供了法律依据,同时也为开展密评工作提供了强有力的支撑。
5. 《网络安全等级保护条例(征求意见稿)》
2018年6月27日,《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,其中设置了密码管理专章,体现了密码管理在网络安全等级保护工作中的重要作用,明确了网络安全等级保护密码管理的主要思路、方式和手段,强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权,明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。
《网络安全等级保护条例》颁布实施后,将替代现行的《信息安全等级保护管理办法》,对我国的网络安全等级保护进行规范和管理。届时,国家密码管理局将与公安部等部门密切配合,依法开展密评工作,并修订《信息安全等级保护商用密码管理办法》等配套规章。
6. 《信息安全等级保护商用密码管理办法》
《信息安全等级保护商用密码管理办法》规定:“信息安全等级保护中使用的商用密码产品,应当是国家密码管理局准予销售的产品”。
为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息安全等级保护商用密码工作,国家密码管理局印发《信息安全等级保护商用密码管理办法实施意见》,规定“第三级及以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施”,“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等”,这些制度均明确了信息安全等级保护第三级及以上信息系统的商用密码应用要求。
7. 《电子认证服务密码管理办法》
《电子认证服务密码管理办法》主要规定面向社会公众提供电子认证服务应当使用商用密码,明确了申请电子认证服务使用密码许可应当具备的基本条件和程序,对电子认证服务系统的运行和技术改造等做出了规定。同时,要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位,按照GM T 0034-2014《基于SM2 密码算法的证书认证系统密码及其相关安全技术规范》的要求承建,并通过国家密码管理局组织的安全性审查。
8. 《政务信息系统政府采购管理暂行办法》
2017年12月26日,财政部印发的《政务信息系统政府采购管理暂行办法》第八条规定:“采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”第十二条规定:“采购人应当按照国家有关规定组织政务信息系统项目验收,根据项目特点制定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、
密码应用和安全审查情况、信息系统共享情况、维保服务等采购文件和采购合同规定的内容,必要时可以邀请行业专家、第三方机构或相关主管部门参与验收。
9. 《国家政务信息化项目建设管理办法》
2019年12月30 日,《国家政务信息化项目建设管理办法》发布,对国家政务信息系统的规划、审批、建设、共享和监管做出规定,其中明确规定了多项密码应用有关要求。
政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期进行评估;按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告;项目的密码应用和安全审查情况应当作为项目验收的重要内容之一,密码应用安全性评估报告应当作为提交验收申请的必要材料;对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统;国务院有关部门对密码应用情况实施监督管理,不符合要求的,视情予以通报批评、暂缓安排投资计划、暂停项目建设直至终止项目;国务院各部门应当严格按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
国家网络安全和信息化、科技产业支撑规划有关密码应用的要求
1. 《“十三五”国家信息化规划》
2016年12月25日,国务院印发《“十三五” 国家信息化规划》,在多个方面提到了密码应用要求。
首先,在重大任务和重点工程中提出健全网络安全保障体系。一是要求在国家互联网大数据平台建设工程中,“注重数据安全保护”“实施大数据安全保障工程”“推进数据加解密、脱密、备份与恢复、审计、销毁、完整性验证等数据安全技术研发及应用”。实现数据的加解密、完整性验证,必须使用密码技术为其提供基础支撑。二是要强化网络安全顶层设计,完善网络安全法律法规体系,推动出台《网络安全法》、《密码法》、《个人信息保护法》。 三是要构建关键信息基础设施安全保障 体系,具体来讲,要加强金融、能源、水
利、电力、通信、交通、地理信息等领域关键信息基础设施核心技术装备威胁感知和持续防御能力建设,增强网络安全防御能力和威慑能力,加强重要领域密码应用。
其次,在优先行动中提出数据资源共享开放行动,对此要规范数据共享开放管理,明确“按照网络安全管理和密码管理等规范标准,加快应用自主核心技术及软硬件产品,提升数据开放平台的安全保障水平”。
最后,在重点任务分工方案中,将国家密码管理局作为负责“加强数据安全保护,实施大数据安全保障工程,建立跨境数据流动安全监管制度”“构建关键信息基础设施安全保障体系”“加快信息化法律制度建设”等任务的重要职能部门。
2. 《政府网站发展指引》
2017年,《政府网站发展指引》发布,明确要求对重要数据、敏感数据进行分类管理,做好加密存储和传输。《政府网站发展指引》要求“使用符合国家密码管理政策和标准规范的密码算法和密码产品,逐步建立基于密码的网络信任、安全支撑和运行监管机制”。政府网站汇聚了大量政务服务数据和公民个人信息,数据一旦遭到泄露,将造成严重后果。因此,文件对政府网站提出了使用密码进行数据保护的要求,其核心目标就是建立合规、安全、有效的密码保障体系,为政府网站安全保驾护航。
3. 《“十三五”国家政务信息化工程建设规划》
2017年,国家发展改革委印发《“十三五”国家政务信息化工程建设规划》,明确要求政务信息化工程建设要筑牢网络信息安全防线,全面推进安全可靠产品和密码应用,提高自主保障能力,切实保障政务信息系统的安全可靠运行。
4. 《国家信息化发展战略纲要》
2016年7月,《国家信息化发展战略纲要》发布,《国家信息化发展战略纲要》提出:“到2025年,根本改变核心关键技术受制于人的局面,形成安全可控的信息技术产业体系,电子政务应用和信息惠民水平大幅提高,实现技术先进、产业发达、应用领先、网络安全坚不可摧的战略目标。”这一目标的实现离不开密码应用。《国家信息化发展战略纲要》还把确保安全作为基本方针,提出“网络安
全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进”,这与加强密码应用,做到同步规划、同步建设、同步运行密码保障系统并定期开展密码应用安全性评估(简称“三同步一评估”)的要求是一致的。《国家信息化发展战略纲要》还强调要维护网络空间安全,提出了“加快构建关键信息基础设施安全保障体系,加强党政机关及重点领域网站的安全防护”“建立实施网络安全审查制度,对关键信息基础设施中使用的重要信息技术产品和服务开展安全审查”“健全信息安全等级保护制度”等措施,这与推进商用密码应用的目的是一致的。
5. 《国家网络空间安全战略》
2016年12月27日,《国家网络空间安全战略》发布,提出了网络空间的“七个新”,即信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域。这为推进密码应用提供了指引和方向。此外,战略还明确了“统筹网络安全与发展”的原则,强调“没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮。正确处理发展和安全的关系,坚持以安全保发展,以发展促安全"。这也是推进密码应用必须遵循的原则。最后,战略还明确了夯实网络安全基础的战略任务,提出“建立完善国家网络安全技术支撑体系。加强网络安全基础理论和重大问题研究。加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制”。这为密码应用提供了广阔空间。
6. 《国家创新驱动发展战略纲要》
2016年5月19日,《国家创新驱动发展战略纲要》发布,把“自主创新能力大幅提升”作为战略目标之一,强调要“突破制约经济社会发展和国家安全的一系列重大瓶颈问题,初步扭转关键核心技术长期受制于人的被动局面”。同时,在战略任务中明确提出:“发展新一代信息网络技术,增强经济社会发展的信息化基础。推动宽带移动互联网、云计算、物联网、大数据、高性能计算、移动智能终端等技术研发和综合应用,加大集成电路、工业控制等自主软硬件产品和网络安全技术攻关和推广力度,为我国经济转型升级和维护国家网络安全提供保
障。”密码作为网络安全保障的核心技术和基础支撑,引领信息技术发展,在突破关键核心技术方面将发挥举足轻重的作用。
国家重大专项和行动有关密码应用的要求
1. 《关于加快推进“互联网+政务服务”工作的指导意见》
2016年9月25日,国务院印发《关于加快推进“互联网+政务服务”工作的指导意见》,从三个方面明确了推进“互联网+政务服务”的具体要求。其中之一就是夯实政务服务支撑基础,对此明确了“完善网络基础设施”“加强网络和信息安全保护”等具体任务,提出了“切实加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度,提升信息安全支撑保障水平和风险防范能力”等具体要求。这些都离不开密码保障,只有充分应用密码,“互联网+政务服务”工作中的网络和信息安全才有牢固基础。
2. 《关于积极推进“互联网+”行动的指导意见》
2015年7月5日,国务院印发《关于积极推进“互联网+”行动的指导意见》。在基本原则中,提出“坚持安全有序。完善互联网融合标准规范和法律法规,增强安全意识,强化安全管理和防护,保障网络安全。”在保障支撑部分,把保障安全基础作为夯实发展基础的重要内容之一。强调要“制定国家信息领域核心技术设备发展时间表和路线图,提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护和用户个人信息保护”“按照信息安全等级保护等制度和网络安全国家标准的要求,加强“互联网+”关键领域重要信息系统的安全保障”。密码作为保障信息安全的核心技术 ,必将为 “互联网+”
行动提供坚实的安全保障。
3. 《促进大数据发展行动纲要》
2015年8月31日,国务院印发《促进大数据发展行动纲要》,在“强化安全保障,提高管理水平,促进健康发展”这一主要任务中,明确要求健全大数据安全保障体系,建立大数据安全评估体系。要求“切实加强关键信息基础设施安全防护,做好大数据平台及服务商的可靠性和安全性评测、应用安全评
测、监测预警和风险评估”。这为推进大数据平台密码应用与安全评估提出了要求。
在与之对应的网络和大数据安全保障工程中,《促进大数据发展行动纲要》明确了网络和大数据安全支撑体系建设近期目标,提出“在涉及国家安全稳定的领域采用安全可靠的产品和服务,到2020年,实现关键部门的关键设备安全可靠,完善网络安全保密防护体系。”
4. 《工业控制系统信息安全行动计划》
2017年12月12日,工业和信息化部印发《工业控制系统信息安全行动计划》。在总体要求中,提出“确保信息安全与信息化建设同步规划、同步建设、同步运行”。在主要行动部分,提出“通过落实企业主体责任、落实监督管理责任来提升安全管理水平”“通过加强技术防护研究和建立健全标准体系来提升安全防护能力”。这与密码应用“三同步一评估”的要求十分契合,有助于规范和督促工业控制系统中的密码应用,切实保障工业控制系统信息安全。
5. 《推进互联网协议第六版(IPv6)规模部署行动计划》
2017年11月,《推进互联网协议第六版(IPv6)规模部署行动计划》发布,提出了“创新发展、保障安全”的基本原则。强调“坚持发展与安全并举,大力促进下一代互联网与经济社会各领域的融合创新,同步推进网络安全系统规划、建设、运行,保障互联网安全可靠、平滑演进”。同时,还提出了“强化网络安全保障,维护国家网络安全”的重点任务,部署了“升级安全系统”“强化地址管理”“加强安全防护”“构筑新兴领域安全保障能力”等具体工作,这些都离不开密码的应用和支撑。
