首页 > 新闻动态> 密码法释义(八)商用密码使用要求和国家安全审查
密码法释义(八)商用密码使用要求和国家安全审查
2022-11-22

中华人民共和国密码法

——————————————————————————————————————————————————————————————————————

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。


关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。


——————————————————————————————————————————————————————————————————

释义:本条是关于关键信息基础设施商用密码使用要求和国家安全审查的规定。

——————————————————————————————————————————————————————————————————

1999年《商用密码管理条例》规定,任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品;境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须报经国家密码管理机构批准。《密码法》在商用密码领域深化“放管服”改革,根据经济社会发展实际以及社会各方面对商用密码的使用需求,取消了《商用密码管理条例》对商用密码使用设定的严格管理措施,规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,本法要求关键信息基础设施应当依法使用商用密码进行保护并开展商用密码应用安全性评估,要求关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家安全审查。


关键信息基础设施商用密码使用要求


01、关键信息基础设施应当使用商用密码进行保护

关键信息基础设施是《网络安全法》中的概念,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络和信息系统。关键信息基础设施的具体范围由国务院制定。


《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。这里的法律、行政法规和国家有关规定,是指《网络安全法》《商用密码管理条例》以及国家有关部门关于商用密码使用的相关管理规定。《网络安全法》第二十一条和第三十四条规定了关键信息基础设施的运营者应当对关键信息基础设施采取加密等措施,保护网络安全。关键信息基础设施的运营者如果不使用或者不合规正确有效使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。因此,《密码法》对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。


02、关键信息基础设施应当开展商用密码应用安全性评估

商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。


建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要作用。商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人,本条要求其履行相应的义务,按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。商用密码应用安全性评估的专业性很强,无论是自行评估的机构还是接受委托的商用密码检测机构,都应当具备商用密码应用安全性评估的专业能力,确保评估结果的科学性、准确性、真实性,并接收密码管理部门的监管。同时,根据《网络安全法》的规定,关键信息基础设施的网络安全保护和密码使用应当遵循持续改进的原则,贯穿关键信息基础设施的整个生命周期,需要根据安全需求、系统脆弱性、风险威胁程度、系统环境的变化以及对系统安全认识的深化等,及时检查、总结、调整现有的密码保护措施,不断提升关键信息基础设施的安全防护能力。


为降低关键信息基础设施运营者负担,节约评估、测评资源,本法规定了避免重复评估、测评的要求。商用密码应用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在内容上有所区分,在实施中统筹考虑、协调开展,相互衔接,避免重复评估、测评。


关键信息基础设施涉及商用密码的国家安全审查制度


本条第二款规定对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度,主要有以下考虑:一是该制度是维护国家安全和社会公共利益的需要,符合世贸组织规则,也是国际通行做法。国家安全审查可以防止关键信息基础设施因使用的产品和服务存在安全缺陷或隐患而受到攻击、破坏,或者存储的数据资源被窃取、泄露,从而提高关键信息基础设施安全可控水平,有效保障关键信息基础设施安全。二是该制度是《国家安全法》《网络安全法》中明确规定的制度,与《网络安全法》关于网络安全审查制度的规定衔接一致。本条中的“国家安全审查”是网络安全审查的一部分,安全审查由国家互联网信息办公室会同国家密码管理局等有关部门共同组织开展,不存在制度交叉和重复审查问题。


相关政策法规



2020年8月20日,国家密码管理局面向社会发布《商用密码管理条例(修订草案征求意见稿)》公开征求意见,修订草案征求意见稿第三十八条规定,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统(以下简称“三类系统”),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。同时要求三类系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。



内容来源:《中华人民共和国密码法释义》 童卫东 李兆宗主编



————————————————————————— 网安检测公司主营业务介绍 —————————————————————————

商用密码应用安全性评估服务:对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。


ISO27001体系建设咨询服务:基于ISO/IEC27001体系框架和标准,帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系,并协助通过ISO 27001认证。


网络安全等级保护测评服务:依据公安部关于网络安全等级保护的有关法律法规和要求,对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测,全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,出具《网络安全等级保护测评报告》。


信息系统审计服务:依据国家法律法规和行业监管,客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现,为高级管理层实施治理决策提供重要依据,满足监管合规要求。


ICP/EDI评测服务:包含符合性评测与风险评估。符合性评测根据相关规范的要求,针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测,查找差距,提出整改建议,促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估,评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性,指导用户方的信息安全保障建设,促进用户方安全管理水平和安全技术保护能力的提高,增强用户方的信息安全风险管理意识,降低用户方信息系统安全风险,确保信息系统的安全稳定运行。


APP个人信息安全合规评估服务在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,确保APP个人信息保护满足监管要求。


信息安全风险评估服务立足于全局观角度,根据行业与业务特点、信息系统生命周期过程,并融合多项安全标准规范,开展安全风险识别和安全能力评估,识别信息安全隐患、威胁以及所形成的安全风险,提出整改和优化建议,全面提高安全管理水平并落实监管要求。


安证云第三方电子数据保全服务提供面向重点行业(政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等)行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务,加强数据的属地化管理,帮助客户一站式解决诉讼前和诉讼中的“取证难,举证难,出证难”等问题。


安全培训:提供CISP攻防领域渗透测试⽅向PTE/PTS(注册信息专业⼈员渗透测试⼯程师/专家),应急响应⽅向IRE/IRS(注册信息安全专业⼈员应急响应⼯程师/专家)等培训服务。