新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

《中华人民共和国密码法》及其解读
2019-10-28 15:44:05

国家主席习近平10月26日签署了第35号号主席令:《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,现予公布,自2020年1月1日起施行。


TIM截图20191028140821.png


《中华人民共和国密码法》围绕“怎么用密码,谁来管密码,怎么管密码”三方向,重点规范了5方面44条内容。


在我们的生活中每天都有海量信息产生,社会公众使用密码保护网络与信息安全的意识还不够强,网络诈骗、个人隐私泄露等问题频发,规范性和有效性不够的问题也比较突出,严重威胁国家网络与信息安全,企业商业秘密以及公民个人隐私保护。


这时候,就需要一部成文的法律来对这些“密码”进行约束和监管。制定密码法就是为了适应我国网络安全的新形势,提升密码工作的科学化、法治化和规范化水平,保障网络与信息安全。


那么,密码法的发布将会对企事业单位带来怎样的影响呢?


哪些涉及密码的活动将受到法律的约束?


➤密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动,适用本法。

➤密码法适用于密码技术的生产方、使用方以及监督主管方。


密码的分类与管理


➤密码法将密码分类为核心密码、普通密码与商用密码,并明确要求对这三类密码实行分类管理。

➤其中“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两类密码的管理。对这两类密码,《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。

➤而商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。


密码安全性评估成为必须


本次《密码法》发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。


根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。


并对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。


通过密码安全性评估需要关注哪些?


当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定:


在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等,


在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对SSL相关应用,设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。


在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书。


在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。 


  • 密码法
  • 密码安全
  • 密码法
  • 密码安全