2024年400页图解商用密码应用安全性评估
AI智能总结
2024版V2.0.0 炼石网络 2024年2月 本文总体结构及参考文献 三.密评测评要求 二,密评背景介绍 六.密评团标解读 商用密码检测机构管理办法 信息系统密码应用方案评估过程指南 四.密评方索要求 商用密码应用安全性评估管理办法 八.密改方案效果 国密合规场景 2数据安全实战防护场景 01密评背景介绍 02密评总体要求03密评测评要求04密评方案要求05密评测评过程06密评团标解读07密改FAQ解读08密改方案实践 《商用密码管理条例》 1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日中华人民共和国国务院令第760号修订 条例概述:规范商用密码应用和管理,发挥密码在网络空间安全中的重要作用 2023年5月24日,中央人民政府网发布2023年4月14日国务院第4次常务会议修订通过的《商用密码管理条例》,《条例》自2023年7月1日施行,旨在:规范商用密码应用和管理,鼓励促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织合法权益。 条例修订历程 &商用密码管理条例 修订草案征求意见稿 商用密码管理条例》2023年正式稿 国务院令第760号 国务院令第273号 国家密码管理局起草发布 全文共9章67案,与(修订草累征求意见搞3对比,新增3条,共倍订200多处,涉及9章节47禁重点内容,包括:明确关键信惠基础设施的商用密码使用要求和国家安全审查要求,制定网络安全等级保护密码标准规范等。 全文共7章27条,主要章节包括总则、科研/生产管理、销售管理、使用管理、安全/保密管理、罚则、附则、 修订草累征求意见聘全文共9章64条,包括总则、科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理、法律责任、附则。 条例意义:适应新时代商用密码事业发展需求 03修订发布主要过程 01修订必要性 国家密码管理局全面凭彻党中央关于新时代商用密码工作的方针政策和国家“放管服”改革总体要求,认真总结商用密码管理工作成功经验,深入研究离用密码发展新形势、新任务,积极借鉴国外密码管理有益做法,在《密码法》立法过程中同步开展《条例》研究修订工作 近年来,商用密码应用意发广泛,在维护国家主权、安全和发展利益以及保障网络和信息安全方面的作用越来题凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改苹提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重望。为了贯彻落实行政审批制度改革精神,细化密码法相关制度,有必要对原条例》进行全面修 2019年10月26日 《密码法》就布后,国家密码管理局依法对《条例》修订所涉及的各项制度进一步组化和研究论证,在与有关部门充分协商并修改完善的基码上形成了征求意见稿 02总体思路 处理好条例与相关法律津法规关系 坚持放宽准入与规范监管相结合 坚持创新发属与保障安全相结合 2020年6月至9月 征求意见稿印发各省(区、市)密码管理部门征求意见,征求44家中央和国家机关单位和14家企业意见,并在国家密码管理局门户网站正向社会公开征求意见,充分吸收客方面意见的基础上对征求意见稿进行进一步修改完善,形成修订革案送审稿 注重与密码法、网络安全法、出口曾制法电子签名法、认证认可务刷、关键信息共础设施安全保护务倒等做好衔接,并将变路中成熟有效的做法上升为条例规定, 按网行政市批制变改举求,放宽市场准入,由原条例想定的全环节严格控谢整为对关健环节行重点揭控,警理方式由重事的中批转为加强事的事中事后监普,更好激发市场活力社会创造力。 在促进育用密码科技创新和科技成果化的同时,对涉及国家安全、国计民生、社会公共利益的商用密码产品、服务以及关解信品基础设前商用码应比实族学腔 2020年10月 修订草案送审稳报送国务院。 2023年5月24日 商用密码管理条例》正式发布,并自2023年7月1日起施行。 条例亮点:六大重点修订应对商密在技术进步和产业发展中出现的新情况新问题 促进商用密码科技创新 商用密码检测、认证 电子认证 《条例为加强电子认证服务使用密码和电子政务电子认证服务活动管理:一是明确电子认证服务使用患玛要求和使用规范;二是明确电子政务电子认证服务机构的资质审批条件、程序及其从业规范;三是明确理立电子认证信任机制,推动电子认证服务互信互认;四是明确政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务要求。 明确加强商用密码人牙培养,建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设;建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励;鼓励支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反遗机制:优化现行商用密码科研成果审查整定审批的适用范国;依法保护商用署码领短的知识产权;规范商用密码标准的制定、实施、监督、国际化以及法行效力 您订后的《条例》取消了原《条例》设置的商用密码产品生产单位审批、商用密码产品销售单位可、商用密码产品品种和型号审批,实行商用密码检测认证制度。《条例》规定:一是推进育用密码验测认证体系建设,整励在商用密玛活动中自愿接受商用密码检测认证;二是明确商用密码验测、认证机构资质审批条件、程序及其从业规范;三是对涉及国家安全、国计民生、社会公共利益的商用密码产晶与使用网终关键设备和网络安全专用产品的商用密码服务实行强制性检测认证制度。 条例亮点:六大重点修订应对商密在技术进步和产业发展中出现的新情况新问题 促进商用密码应用的规定 进出口管理的体制机制 商用密码监管要求 《条例》坚持总体国家安全观:统筹发展和安全一方面,鼓励公民、法人和其他组织依法使用商用密码保护网络与数据安全,支持网络产品和服务使用商用密码提升安全性,规范商用密码在信息领端新技术、新业态、新模式中的应用。另一方面,明确关键信息基础设施的商用密码使用要求,并加强与国家安全审查、网络安全等级保护制度的衔接。 为规范商用密码进出口管理,根提密码法关于商用密码进出口的规定以及国家出口管制、两用物项进出口管理制度,《条例明确: 为了贯彻落实行政审批制度改革精神,加强事前事中事后监管,《条例》规定了密码管理部门和有关部门的商用密码监督管理职责权限;明确速立离用密码监督管理协作机制,遭进商用密码监管管理与社会信用体系相街授;明确密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、报务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有售息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密。 涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制;国务院商务主管部门会同国家密码管理部门和海关总署制定商用密码进口许可清单和出口管制清单;大众消费类产品所采用的商用密码不实行进口许可和出口管制制磨。 44.监管管理动作机剂 45.监督检查职权 46.用、全营、店 47.保密义务 补充了商用密码应用安全性评估的相关图解内容 炼石围绕《商用密码管理条例》的具体内容,以图文形式深入浅出解析了条例要点的同时,并从商用密码应用的角度出发,补充了商用密码应用安全性评估的相关图解内容,以更好展示商用密码管理和应用的相关知识。内容供读者学习参考,不足之处诚邀大家共同完善。 商用密码应用安全性评估对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,是商用密码产业健康发展的“监督员”。 引导各主体加强人才培养、宣传教育及行业自律 学术和行业自律 宣传教育 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业链康发展。密码管理部门应当加强对商用密码领域社会组织的指导和支持。 落实多项机制提升商密技术创新、知识产权保护及成果转化能力 03鼓励在外商投资合作 01创新促进机制 02知识产权保护机制 国家侬法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。 国家建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出灾出贡献的组织和个人按照国家有关规定予以查彰和奖励。 国家鼓励在外商投资过程中基于自愿原则和商业观则开展商用密码技术合作。行政机关及其工作人员不得利用行政手股强制转让商月密码技大。 05安全审查机制 04成果转化机制 国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统新使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。 国家数励和支持商用密码科学技术或果转化和产业化应月,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制 科技创新与成果转化 加快商用密码行业标准、国家标准及国际标准制定进程 01规范、引导和监督标准制定 依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督,国家密码誉理部门依据职责。建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。其他领域的标准涉及商用密码的,应当与商用密码国家标准、行业标准保持协调。 03强制性和推荐性标准遵循 02推动国际标准化活动 ·从事商用密码活动,应当符合有关法律、行政法规、高用密码强制性国家标准,以及自我声明公开标准的技术要求。国家鼓励在商用密码活动中采用商用密码推荐性压家标准、行业标准,提升高用密码的防护能力,维护用户的合法权益。 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准:推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和致育、科研机构等参与商用密码国际标准化活动。 国家鼓励在商用密码活动中自愿接受商用密码检测认证 国家 推进商用密码技术检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。 国家密码管理部门 商用密码检测技术规范、规则由国家密码管理部门制定并公布。 国务院市场监督管理部门会同国家密码管理部门 建立国家统一推行的商用密码认证制度实行商用密码产品、服务、管理体系认证制定并公布认证目录和技术规范、规则 关键领域商用密码产品实行强制性认证 关键领域商用密码服务实行强制性认证 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。 商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。 明确商用密码检测机构资质审批条件、流程及其从业规范 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,面向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。 1.具有法人资格;2.具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力;3.具有保证商用密码检测活动有效运行的管理体系。 明确商用密码认证机构资质审批条件、程序及其从业规范 从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。 从业规范 申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具备与从事商用密码认证活动相适应的商用密码检测、检查、标准研制与验证等专业能力、 电子认证服务机构要求 应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使
