新闻中心

密博士:《商用密码应用安全性评估管理办法》11月1日起施行,重要网络和信息系统每年至少开展一次密评

时间:2023-11-01 来源:云上密码·密博士

  为贯彻落实《中华人民共和国密码法》、新修订的《商用密码管理条例》等规定,2023年9月26日,国家密码管理局公布《商用密码应用安全性评估管理办法》(国家密码管理局令第3号,以下简称《密评管理办法》,点击查看全文),统筹细化商用密码应用安全性评估(以下简称密评)对象范围、责任主体、工作原则、程序内容、实施规范等规定,依法规范密评工作,自2023年11月1日起施行。

  《密评管理办法》第六条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估;第九条规定,重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。

  值得注意的是,该办法只规定怎么做密评,哪些网络系统应该密评由其他法律、法规和国家有关规定确定。

  不少朋友有疑问,“重要网络与信息系统”到底指的是哪些呢?依据目前的法律、行政法规和国家有关规定,密博士帮您梳理。

  “重要网络与信息系统”主要包括关键信息基础设施、政务信息化系统、网络安全等级保护制度明确要求使用商用密码保护的网络与信息系统等。

  一、关键信息基础设施

  《中华人民共和国密码法》(以下简称《密码法》,点击查看全文)、新修订的《商用密码管理条例》(以下简称《条例》,点击查看全文)均明确规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码并开展密评。

  ——《密码法》(自2020年1月1日起施行)第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

  ——《条例》(自2023年7月1日起施行)第三十八条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估。

  根据《关键信息基础设施安全保护条例》(自2021年9月1日起施行,点击查看全文)规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

  二、政务信息化系统

  《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号,以下简称《办法》,自2020年2月1日起施行,点击查看全文)规定,对国家政务信息系统的规划、审批、建设、共享和监管提出多项密码应用要求,其中明确政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

  《办法》适用的国家政务信息系统主要包括国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施(数据中心、机房等)、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统;国务院有关部门可以根据本办法的规定及职责分工,制定本部门的具体管理办法;各省、自治区、直辖市人民政府可以参照本办法制定本地区的管理办法。

  例如,江西等陆续发布了相应的管理办法。

  《江西省人民政府办公厅关于印发江西省数字化项目建设管理办法的通知》(赣府厅发〔2023〕12号,以下简称《江西管理办法》,点击查看全文)于2023年9月26日发布并施行,之前的《江西省人民政府办公厅关于印发江西省政务信息化项目建设管理办法的通知》(赣府厅字〔2020〕68号)同时废止。

  《江西管理办法》涉及密码应用十项要求(点击查看十项要求),其中包括项目单位按照国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估。

  《江西管理办法》适用于全省各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维的数字化项目,主要包括电子政务网络平台、重点业务数字化系统、数据资源库、信息安全基础设施、电子政务基础设施(政务云、数据中心等)、数字政府标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》(GB/T 40692-2021)规定的项目;各设区市参照省级做法负责本市(含县区、开发区)数字化项目管理;各级党的机关、人大机关、政协机关、监察机关、审判机关、检察机关、群团使用财政性资金的数字化项目参照本办法执行;使用财政性资金的其他建设项目中包含数字化项目的,参照本办法执行。

  三、网络安全等级保护制度明确要求使用商用密码保护的网络与信息系统

  新修订的《商用密码管理条例》(自2023年7月1日起施行)第四十一条规定,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全;国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。

  关于网络安全等级保护制度,《中华人民共和国网络安全法》(自2017年6月1日起施行,点击查看全文)第二十一条规定,国家实行网络安全等级保护制度;网络运营者应当按照网络安全等级保护制度的要求,履行采取数据分类、重要数据备份和加密等安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

  同时,2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称《保护条例》,截至目前暂未发布正式稿)。作为《中华人民共和国网络安全法》的重要配套法规,《保护条例》设置单独一章“第五章 密码管理”,其中

  ——第四十五条规定“确定密码要求”:国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范;

  ——第四十七条规定“非涉密网络密码保护”:非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务;第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务;第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估;网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估;密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。

  另外,2020年7月22日,《公安部关于印送<贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见>的函》(公网安〔2020〕1960号,点击查看全文)发布,其中第二章“深入贯彻实施国家网络安全等级保护制度”第六条中要求落实密码安全防护要求:网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范;第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务;第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。

  整理:密博士

  编辑:邹紫凯

  核校:叶凯灵

  审签:谢飞飞