密博士：密码法施行四周年！我国密码政策法规标准规范一览表

　　2019年10月26日，《中华人民共和国密码法》正式颁布，自2020年1月1日起正式施行。国家密集出台多项密码相关政策法规、密码应用及安全性评估标准等，各省市紧跟落实发布推动密码应用工作相关文件，要求关键信息基础设施、政务信息系统、网络安全等级保护第三级及以上信息系统等重要网络和信息系统应依照相关法律法规及标准等使用商用密码进行保护，并定期开展商用密码应用安全性评估。

　　以下为《中华人民共和国密码法》施行四年来，我国新出台的部分密码政策法规标准规范等汇总。

　　一、法律法规

　　（一）《中华人民共和国密码法》（自2020年1月1日起施行，详戳）

　　第二十七条（节选）　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

　　（二）《中华人民共和国数据安全法》（自2021年9月1日起施行，详戳）

　　第二十七条   开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

　　重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

　　（三）《中华人民共和国个人信息保护法》（自2021年11月1日起施行，详戳）

　　第五十一条（节选）　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的加密、去标识化等安全技术措施等，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

　　（四）《关键信息基础设施安全保护条例》（自2021年9月1日起施行，详戳）

　　第二条　本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

　　第六条　运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

　　（五）《商用密码管理条例》（新修订，自2023年7月1日起施行，详戳）

　　第三十八条   法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

　　前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

　　第四十一条　网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。

　　（六）此处补充《密码法》颁布前施行的《中华人民共和国网络安全法》（自2017年6月1日起施行，详戳）

　　第二十一条（节选）　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行采取数据分类、重要数据备份和加密等措施的安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

　　二、办法政策

　　（一）《国家政务信息化项目建设管理办法》（国办发〔2019〕57号，2020年2月1日起施行，详戳）

　　该办法涉及国家政务信息系统的规划、审批、建设、共享和监管，共三十六条，其中与密码应用相关的有七条。

　　第十五条　项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

　　第二十八条（节选） 加强国家政务信息化项目建设投资和运行维护经费协同联动，对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

　　（二）《商用密码应用安全性评估管理办法》（国家密码管理局令第3号，自2023年11月1日起施行，详戳）
　　第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估；第九条规定，重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。

　　（三）《商用密码检测机构管理办法》（国家密码管理局令第2号，自2023年11月1日起施行，详戳）
　　第一条　为了加强商用密码检测机构管理，规范商用密码检测活动，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。

　　第二条　商用密码检测机构的资质认定和监督管理适用本办法。

　　第三条　从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

　　（四）《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号，2020年7月22日印发，详戳）

　　其中第二大点“深入贯彻实施国家网络安全等级保护制度”第六小点明确“落实密码安全防护要求”，要求网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范；第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务；第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。

　　（五）金融和重要领域部分密码新政策办法

　　《密码法》颁布施行四年来，密码应用在金融、公安、社保、交通、能源、水利、教育、广电、税务等领域不断向纵深拓展；同时，5G、物联网、云计算、大数据、人工智能、区块链、量子通信、数字经济等新技术新业态正与密码紧密融合。

　　点击查看《密码法》施行四年来，金融和重要领域部分密码新政策办法

　　三、标准规范

　　（一）密码应用国家标准

　　1.GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》（自2021年10月1日正式实施）
　　该标准为密码应用国家标准，包括从信息系统中使用的密码算法、密码技术、密码产品、密码服务等提出了密码应用通用要求，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求，以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。

　　2.GB/T 43206—2023 《信息安全技术 信息系统密码应用测评要求》（自2024年4月1日正式实施）
　　该标准为密码应用国家标准，规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求，并给出了整体测评要求、风险分析和评价、测评结论的要求，适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。

　　3.GB/T 43207—2023《信息安全技术 信息系统密码应用设计指南》（自2024年4月1日正式实施）
　　该标准为密码应用国家标准，包括信息系统密码应用框架、密码应用方案设计原则、密码应用方案设计过程、密码应用方案设计指南，适用于指导信息系统密码应用方案的设计，也可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门密码应用安全性评估备案工作的参考。

　　点击查看我国密码国家标准和行业标准一览表

　　（二）密码规范指导性文件
　　依据《中华人民共和国密码法》等法律法规，中国密码学会密评联委会修订形成了《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板（2023版）》《政务信息系统密码应用与安全性评估工作指南》（2020版）等密码应用与安全性评估指导性文件，并更新发布了商用密码应用安全性评估FAQ（第三版），对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答，以帮助相关人员更好开展商用密码应用与安全性评估工作。

　　点击查看下载文件