2020年1月1日,《中华人民共和国密码法》(以下简称《密码法》)正式施行,直至2024年1月1日,《密码法》已颁布实施四周年。四年来,从《密码法》对商用密码的法定化管理,到等保2.0对商用密码的升级保护。我国加快构建以《密码法》为核心,以《商用密码管理条例》等行政法规为主干,以《商用密码应用安全性评估管理办法》《信息安全等级保护商用密码管理办法》等规章,形成权责明确、功能互补、协调一致的密码法律法规体系,构筑起维护国家安全的密码防线。
2023年7月1日起实施的《商用密码管理条例》更是扩大密评范围,变“推荐性”为“强制化”,并且明确规定密评、关保、等保应当加强衔接,避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险,对运营单位网络安全提出了更高要求,多规管理融合大势所趋,一次测评,多规满足,避免了重复测评带来的时间和经济额外成本。
本文梳理了《密码法》施行四年来,我国出台的密码相关政策法规、密码应用及安全性评估标准等近百项文件,为行业同仁提供参考。
● 《中华人民共和国密码法》
【施行时间】2020/1/1
【主要内容】共五章四十四条(第一章总则,第二章核心密码、普通密码,第三章商用密码,第四章法律责任和第五章附则),分别就什么是密码,如何管理密码、如何使用密码、法律责任等方面进行了规定。
● 《中华人民共和国数据安全法》
【施行时间】2021/1/1
【主要内容】针对重要数据在管理形式和保护要求上提出了严格和明确的保护制度。在管理形式上,《数据安全法》采用目录管理的方式;在保护要求上,《数据安全法》在一般保护之外,强化了重要数据、核心数据的保护要求。
● 《商用密码应用安全性评估管理办法》
【发布时间】2023/9/26
【主要内容】为了规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
● 《商用密码检测机构管理办法》
【发布时间】2023/9/26
【主要内容】根据商用密码检测机构管理现实需要,对检测机构资质认定、监督管理等提出明确要求,对于规范检测机构市场准入及从业行为、促进商用密码检测行业健康发展具有重要意义。
● 《关键信息基础设施安全保护条例》
【施行时间】2023/9/1
【主要内容】规定了关键信息基础设施运营者的责任和义务,列出了产品服务安全以及运营安全的具体条例,对从事危害关键信息基础设施的活动和行为提出了相关处罚措施,为开展关键信息基础设施的安全保护工作提供了重要的法律支撑。
● 《商用密码管理条例》
【发布时间】2023/4/27
【主要内容】规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
● 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
【发布时间】2020/7/22
【主要内容】是落实等级保护2.0制度的重要标志,首次系统、明确地对关键性基础设施的保护提出了要求,具有非常强的实际操作性。
● 《国家政务信息化项目建设管理办法》
【发布时间】2020/1/21
【主要内容】“有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。备案文件应用包括……密码应用方案和密码应用安全性评估报告等内容。
● 《证券期货业网络和信息安全管理办法》
【施行时间】2023/5/1
【主要内容】核心机构和经营机构应当按照国家及中国证监会有关要求,开展信息技术应用创新以及商用密码应用相关工作。
● 《金融标准化“十四五”发展规划》
【发布时间】2022/1/23
【主要内容】推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。
● 《监管数据安全管理办法(试行)》
【发布时间】2020/9/23
【主要内容】银保监会建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。
● 《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》
【发布时间】2020/2/24
【主要内容】银行保险机构要制定内部网络安全管理制度和操作规程,建立监督制约机制,确保制度得到刚性执行。加强数据安全管理,严格控制数据授权范围,实现数据分类、重要数据备份和加密。
● 《“十四五”信息通信行业发展规划》
【发布时间】2021/11/1
【主要内容】健全行业网络安全审查体系,推进网络关键设备安全检测认证,建立供应商网络安全成熟度认证等供应链风险管理制度,稳妥有序推进商用密码应用,提升网络基础设施安全保障水平。
● 《物联网新型基础设施建设三年行动计划(2021—2023年)》
【发布时间】2021/9/10
【主要内容】强化安全支撑保障。加快物联网领域商用密码技术和产品的应用推广,建设面向物联网领域的密码应用检测平台,提升物联网领域商用密码安全性和应用水平。
● 《5g应用“扬帆”行动计划(2021-2023年)》
【发布时间】2021/7/5
【主要内容】开展5G应用安全示范推广。在5G应用中推广使用商用密码,做好密码应用安全性评估。
● 《公路水路关键信息基础设施安全保护管理办法》
【施行时间】2023/6/1
【主要内容】法律、行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。
● 《加快建设交通强国五年行动计划(2023-2027年)》
【发布时间】2023/3/29
【主要内容】开展网络和数据安全能力提升行动。组织实施网络安全实网攻防演练,加强商用密码应用推广。
● 《道路运输电子证照运行服务规范(试行)》
【发布时间】2022/11/21
【主要内容】省级交通运输主管部门应加强电子证照的数据安全保护,严防非法授权访问、非法数据出库等行为,防止数据泄露,保障数据安全。加强国产密码应用和安全性评估。
● 《车联网网络安全和数据安全标准体系建设指南》
【发布时间】2022/2/25
【主要内容】总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等3类标准。
● 《交通领域科技创新中长期发展规划纲要(2021—2035年)》
【发布时间】2022/1/24
【主要内容】围绕全面提升智慧交通发展水平,加快移动互联网、人工智能、区块链、云计算、大数据等新一代信息技术及空天信息技术与交通运输融合创新应用,推动交通运输领域商用密码创新应用,加快发展交通运输新型基础设施。
● 《工业和信息化部关于大众消费领域北斗推广应用的若干意见》
【发布时间】2022/1/17
【主要内容】加快推进高精度、低功耗、低成本、小型化的北斗芯片及关键元器件研发和产业化,形成北斗与5G、物联网、车联网等新一代信息技术融合的系统解决方案。鼓励应用商用密码,保障产品安全。
● 《“十四五”邮政业发展规划》
【发布时间】2021/12/28
【主要内容】在网络建设和运营过程中,同步规划、建设、使用有关安全保护措施,严格落实国家关于等保、关保、密评等有关要求。
● 《数字交通“十四五”发展规划》
【发布时间】2021/12/22
【主要内容】健全国家综合交通运输信息平台基础支撑和网络安全防护体系,加强关键信息基础设施保护和商用密码技术应用。
● 《交通运输领域新型基础设施建设行动方案(2021—2025年)》
【发布时间】2021/8/31
【主要内容】建立健全数据安全保护制度,加强基础设施数据全生命周期管理和分级分类保护,落实数据容灾备份措施。推进商用密码技术应用。
● 《城市轨道交通自动售检票系统运营技术规范(试行)》
【发布时间】2021/5/27
【主要内容】 轨道交通专用票、二维码车票、一卡通卡等密钥的使用和管理符合国家网络安全及商用密码管理的相关法律法规和标准要求。
● 《交通运输部关于推动交通运输领域新型基础设施建设的指导意见》
【发布时间】2020/8/3
【主要内容】切实推进商用密码等技术应用,积极推广可信计算,提高系统主动免疫能力。
● 《交通运输部办公厅关于充分发挥全国道路货运车辆公共监管与服务平台作用支撑行业高质量发展的意见》
【发布时间】2020/4/26
【主要内容】做好网络运行安全和网络信息安全工作,完善安全等保三级系统的网络安全保护体系,建立健全网络安全防范、监测、通报、响应和处置机制。
● 《2023年电力安全监管重点任务》
【发布时间】2023/1/17
【主要内容】修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系, 推动量子计算、北斗、商用密码等在电力行业的应用。
● 《电力行业网络安全管理办法》
【发布时间】2022/11/16
【主要内容】电力企业应当按照国家有关规定开展商用密码应用安全性评估等工作,未达到要求的应当及时进行整改。
● 《电力行业网络安全等级保护管理办法》
【发布时间】2022/11/16
【主要内容】单独设置“网络安全等级保护的密码管理”章节,要求电力企业应当按照有关法律法规要求,开展商用密码应用安全性评估工作。
● 《“十四五”推动石化化工行业高质量发展的指导意见》
【发布时间】2022/3/28
【主要内容】实施石化行业工业互联网企业网络安全分类分级管理,推动商用密码应用,提升安全防护水平。
● 《关于促进钢铁工业高质量发展的指导意见》
【发布时间】2022/1/20
【主要内容】 落实网络安全主体责任,大力提高商用密码应用安全,提升工业控制系统安全防护水平,制定应急响应预案,积极应对新兴技术融合带来的安全挑战。
●《“十四五”原材料工业发展规划》
【发布时间】2021/12/21
【主要内容】深化实施原材料生产企业工业互联网网络安全分类分级管理,推动商用密码技术应用,提升重点行业企业工业互联网安全防护能力。
●《“十四五”智能制造发展规划》
【发布时间】2021/12/21
【主要内容】加强安全保障。加强智能制造安全风险研判,同步推进网 络安全、数据安全和功能安全,推动密码技术深入应用。
●《新能源汽车产业发展规划(2021—2035年)》
【发布时间】2020/10/20
【主要内容】打造网络安全保障体系。健全新能源汽车网络安全管理制度,构建统一的汽车身份认证和安全信任体系,推动密码技术深入应用。
●《建材工业智能制造数字转型行动计划(2021-2023年)》
【发布时间】2020/9/16
【主要内容】构建工业互联网密码支撑体系,加快商用密码在建材行业深度应用。
● 《“十四五”电子商务发展规划》
【发布时间】2021/10/9
【主要内容】探索建立电子商务平台网络安全防护和金融风险预警机制,支持电子商务相关企业研究多属性的安全认证技术,充分发挥密码在保障网络信息安全方面的作用。
●《知识产权公共服务“十四五”规划》
【发布时间】2021/12/31
【主要内容】加强对云计算、大数据、区块链、人工智能等新技术新应用的安全防护,确保其技术、产品、服务和供应链安全。积极推进国产密码技术和产品应用,提升使用密码技术保障网络与数据安全的水平。
●《关于推动物业服务企业加快发展线上线下生活服务的意见》
【发布时间】2020/12/4
【主要内容】严格落实网络和数据安全法律法规和政策标准,建立健全安全管理制度,采用国产密码技术,增强安全可控技术和产品应用,加强日常监测和安全演练,确保智慧物业管理服务平台网络和数据安全。
● 《国务院关于加强数字政府建设的指导意见》
【发布时间】2022/6/6
【主要内容】加强关键信息基础设施安全保护和网络安全等级保护,建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。
●《加快推进电子证照扩大应用领域和全国互通互认》
【发布时间】2022/1/20
【主要内容】 加强电子证照签发、归集、存储、使用等各环节安全管理,严格落实网络安全等级保护制度等要求,强化密码应用安全性评估。
●《全国一体化政务服务平台移动端建设指南》
【发布时间】2021/9/29
【主要内容】各地区和国务院有关部门要综合利用密码技术、安全审计等手段强化本地区本部门政务服务平台移动端安全保障和风险防控能力。
●《关于印发“十四五”全民健康信息化规划的通知》
【发布时间】2022/11/7
【主要内容】构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范,全面推广商用密码应用,完善卫生健康行业商用密码应用体系。
●《关于印发医疗卫生机构网络安全管理办法的通知》
【发布时间】2022/8/8
【主要内容】在网络建设过程中同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。
●《药品监管网络安全与信息化建设“十四五”规划》
【发布时间】2022/4/24
【主要内容】完善网络安全保障体系,健全网络安全管理制度,开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。
●《推进教育新型基础设施建设构建高质量教育支撑体系》
【发布时间】2021/7/1
【主要内容】利用国产商用密码技术推动数据传输和存储加密,提升数据保障能力。
●《教育部关于加强新时代教育管理信息化工作的通知》
【发布时间】2021/3/10
【主要内容】数字认证使用的密码技术和产品应符合国家密码管理部门要求。
●《工业和信息化领域数据安全管理办法(试行)》
【发布时间】2022/12/8
【主要内容】工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
●《“十四五”大数据产业发展规划》
【发布时间】2021/11/15
【主要内容】推动数据安全产业发展。支持重点行业开展数据安全技术手段建设,提升数据安全防护水平和应急处置能力。加强数据安全产品研发应用,推动大数据技术在数字基础设施安全防护中的应用。
●《加快推动区块链技术应用和产业发展的指导意见》
【发布时间】2021/5/27
【主要内容】构建底层平台。在分布式计算与存储、密码算法、共识机制、智能合约等重点领域加强技术攻关,构建区块链底层平台。
● 《商用密码应用安全性评估FAQ(第三版)》
【发布时间】2023/10
【主要内容】该文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答,以帮助相关人员更好开展商用密码应用与安全性评估工作。
● 《商用密码应用安全性评估发展研究报告(2023年)》
【发布时间】2023/8
【主要内容】本报告总结了密评相关政策法规要求及密评体系建设进展,分析了密评 行业发展情况,并对密评工作未来发展提出了建议,为密评相关工作者提供参考。
● 《商用密码应用安全性评估量化评估规则》
【发布时间】2023/7/17
【主要内容】本文件适用于规范信息系统密码应用安全性评估,以及指导相关信息系统的规划、建设 等工作。
● 《商用密码应用安全性评估报告模板(2023版)》
【发布时间】2023/1
● 《信息系统密码应用高风险判定指引》
【发布时间】2021/12
【主要内容】本文件给出了信息系统密码应用过程中可能存在的高风险安全问题。本文件适用于指导、规范信息系统密码应用的规划、建设、运行及测评。
● 《政务信息系统密码应用与安全性评估工作指南》
【发布时间】2020/9
【主要内容】依据《中华人民共和国密码法》及商用密码管理规定,用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。
声明:本文来自道普信息,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
