01中華人民共和國代碼法
《密碼法》根據中央確定的密碼管理原則和應用政策,規定了密碼應用的主要制度和要求。
壹是強調國家積極規範和推廣密碼應用,利用密碼提高網絡和信息安全水平,依法保護公民、法人和其他組織使用密碼的權利。
二是建立商用密碼檢測認證體系,鼓勵員工自願接受商用密碼檢測認證。涉及國家安全、國計民生、社會利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專項目錄,經有資質的機構檢測認證後,方可銷售或者提供。商用密碼服務使用關鍵網絡設備和網絡安全專用產品的,應當經商用密碼認證機構認證。
三是明確了關鍵信息基礎設施密碼使用要求和密碼應用安全評估要求,規定需要使用商用密碼進行保護的關鍵信息基礎設施運營者應當使用商用密碼進行保護,並自行或者委托商用密碼測試機構開展商用密碼應用安全評估。
四是建立安全審查機制,規定對可能影響國家安全、涉及商業密碼的網絡產品和服務,按照國家安全審查的要求進行審查。
五是要求國家密碼管理部門對使用商用密碼技術從事電子政務電子認證服務的機構進行認定。
中華人民共和國網絡安全法
《網絡安全法》明確要求網絡運營者履行安全保護義務,維護網絡數據的完整性、機密性、真實性和不可否認性需要發揮密碼技術的核心支撐作用。
《網絡安全法》第十條規定:“通過網絡建設、運營或者提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他重要措施,保障網絡安全穩定運行,有效應對網絡安全事件,防範網絡違法犯罪活動,維護網絡數據的完整、保密和可用。”
《網絡安全法》第十六條:“國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,支持重點網絡安全技術產業和項目,支持網絡安全技術的研究、開發和應用,推廣安全可靠的網絡產品和服務,保護網絡技術知識產權,支持企業、研究機構和高等院校參與國家網絡安全技術創新工程。”安全可信的網絡產品和服務需要以密碼為基因來構建。
《網絡安全法》第二十壹條:“國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保護網絡不受幹擾、破壞或者未經授權的訪問,防止網絡數據被泄露、竊取或者篡改:......采取數據分類、重要數據備份和加密等措施。
03《商用密碼管理規定》
1999發布的《商用密碼管理條例》規定,國家對商用密碼產品的R&D、生產、銷售和使用實行專項管理。為貫徹《密碼學法》立法精神,《商用密碼管理條例》修訂將充分體現國家“簡政放權、加強監管、改善服務”改革要求,取消科研、生產、銷售單位行政許可事項,強化密碼申請要求,突出網絡安全等級保護三級及以上關鍵信息基礎設施和信息系統密碼申請監管,實行商用密碼申請安全評估和安全審查制度。
04《關鍵信息基礎設施安全保護條例(征求意見稿)》
國家高度重視密碼在關鍵信息基礎設施中的應用。《網絡安全法》第三十壹條規定:“國家保護通信與信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域以及其他可能嚴重危害國家安全、國計民生和公眾利益的關鍵信息基礎設施。”按照網絡安全法要求,正在起草《關鍵信息基礎設施保護條例》,並於2017年7月公開征求意見。
《關鍵信息基礎設施安全保護條例(征求意見稿)》明確,依據密碼管理法律法規,在關鍵信息基礎設施保護中實施密碼管理,充分體現了密碼管理在國家網絡安全大局中的重要地位和作用。其中規定“運營單位應當配合保護部門依法實施的網絡安全檢查和公安、國家安全、保密行政、密碼管理等有關部門依法實施的檢查”,“對使用未通過或者未通過安全審查的網絡產品和服務的責任單位,處購買金額壹倍以上十倍以下罰款, 對責任人員處以1萬元以上10萬元以下的罰款”,“關鍵信息基礎設施密碼的使用和管理還應當遵守密碼法律和管理規定。 《規定》明確了關鍵信息基礎設施的密碼應用要求,壓實了網絡安全運營者和主管部門在密碼應用和密碼安全方面的主體責任,為密碼管理部門開展網絡空間密碼保護工作特別是網絡安全檢查和安全審查提供了法律依據,也為開展安全評估工作提供了有力支撐。
05網絡安全等級保護規定(征求意見稿)
2065438+2008年6月27日,《網絡安全等級保護條例(征求意見稿)》向社會公開征求意見,其中設置了密碼管理專章,體現了密碼管理在網絡安全等級保護中的重要作用,明確了密碼管理在網絡安全等級保護中的主要思路、方式方法,強調了使用密碼保護三級及以上系統的義務。突出了商用密碼應用安全評估作為等級保護密碼管理的主要抓手的地位和作用,強化了密碼管理部門在制定等級保護技術標準、監督檢查、開展密碼應用安全評估等方面的職權,明確規定“國家密碼管理部門負責網絡安全等級保護密碼管理的監督管理”,還從事前備案審查、過程中申請要求、過程中監管、法律責任等方面對密碼管理和應用進行了規定。
《網絡安全等級保護條例》頒布實施後,將取代現行的《信息安全等級保護管理辦法》,對我國網絡安全等級保護進行規範和管理。屆時,國家密碼管理局將會同公安部等部門,依法開展安全評估,修訂《信息安全等級保護商用密碼管理辦法》等配套法規。
06信息安全等級保護商用密碼管理辦法
《信息安全等級保護商用密碼管理辦法》規定:“用於信息安全等級保護的商用密碼產品應當是經國家密碼管理局批準銷售的產品”。
為配合《信息安全等級保護商用密碼管理辦法》的實施,進壹步規範信息安全等級保護商用密碼工作,國家密碼管理局發布了《關於實施信息安全等級保護商用密碼管理辦法的意見》, 其中規定“三級及以上信息系統商用密碼應用系統建設方案應當經密碼管理部門組織評估後方可實施”,“三級及以上信息系統商用密碼應用系統應當經國家密碼管理部門指定的評估機構進行密碼評估後方可投入運行”。 密碼測評包括資料審核、系統分析、現場測評、綜合測評等。這些制度都定義了信息安全等級保護等級為3級及以上的信息系統商用密碼應用的要求。
07《電子認證服務密碼管理辦法》
《電子認證服務密碼管理辦法》主要規定應當使用商用密碼向社會公眾提供電子認證服務,明確了申請電子認證服務密碼許可應當滿足的基本條件和程序,對電子認證服務系統的運行和技術改造作出了規定。同時要求電子認證服務系統應由具備生產商用密碼產品和提供密碼服務能力的公司建設,符合GM T 0034-2014《基於SM2密碼算法的證書認證系統密碼學及相關安全技術規範》的要求,並通過國家密碼管理局組織的安全審查。
08《政府信息系統政府采購管理暫行辦法》
2017 12.26財政部發布的《政府信息系統政府采購管理暫行辦法》第八條規定:“采購需求應當符合國家有關密碼管理的法律、法規、政策和標準的要求,密碼保護系統應當同步規劃、建設和運行,並定期評估。”
第十二條規定:“采購人應當按照國家有關規定組織政府信息系統的項目驗收,並根據項目特點制定完整的項目驗收方案。驗收計劃應包括項目所有功能的實現、密碼申請和安全審查、信息系統享受、維護服務等采購文件和采購合同規定的內容。必要時可邀請行業專家、第三方機構或相關主管部門參與驗收。
09《國家政務信息工程建設管理辦法》
2019年2月30日,19《全國政務信息工程建設管理辦法》發布,對全國政務信息系統的規劃、審批、建設、* *共享、監管等進行了規定,並明確規定了多項與密碼應用相關的要求。
政務信息項目建設單位應當同步規劃、建設和運行密碼保護系統,並定期進行評估;按要求向國家發展改革委備案的備案文件應當包括密碼應用方案和密碼應用安全評估報告;應將項目的密碼申請和安全審查作為項目驗收的重要內容之壹,並將密碼申請安全評估報告作為提交驗收申請的必備材料;對於不符合密碼應用和網絡安全要求的政府信息系統,項目建設單位在未安排運行維護經費的情況下,不得新建、改建、擴建政府信息系統;國務院有關部門應當對密碼的應用進行監督管理。不符合要求的,視情況給予通報批評、暫停投資計劃、暫停項目建設、終止項目;國務院各部門要嚴格按照要求采用密碼技術,定期開展密碼應用安全評估,確保政務信息系統運行安全和政務信息資源數據安全。