![未正确落实商用密码工作处罚10万起,责任人1万起]( "未正确落实商用密码工作处罚10万起,责任人1万起")
文章来源:等级保护测评
![未正确落实商用密码工作处罚10万起,责任人1万起]( "未正确落实商用密码工作处罚10万起,责任人1万起")
8月20日,国家密码管理局发布了关于《商用密码管理条例(修订草案征求意见稿)》公开征求意见的通知,公众可在2020年9月19日前及时反馈提出自己的意见。在此,我们整理了条例中部分重要条款供大家学习。
第三十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列网络与信息系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。
商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。
非涉密的关键信息基础设施、等保三级以上网络、国家政务信息系统等网络与信息系统(以下简称:三类网络与系统)的运营者应当使用商用密码对这些网络及系统进行保护,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。注意了:这三类网络及系统必须在通过商用密码应用安全性评估后方可投入运行,运行后每年至少进行一次密码应用安全性评估。
第三十九条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,应当使用经检测认证合格的商用密码产品、服务,使用列入商用密码技术指导目录的商用密码技术。
第四十条关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
对以上三类网络及系统需要使用经检测认证合格的商用密码产品、服务,使用列入商用密码技术指导目录的商用密码技术。对可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。就是得按照国家要求来使用相关商用密码技术及产品等,不能随意私自使用不合规的相关密码技术及产品。
第五十八条 非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统的运营者,违反本条例第三十八条、第三十九条规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第五十九条 关键信息基础设施的运营者违反本条例第四十条规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
对于在这三类网络及系统中未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《中华人民共和国密码法》已于2020年1月1日起正式施行,虽然《商用密码管理条例》目前是征求意见稿阶段,但是条例中相关条款已在密码法中明确有要求,所以各三类网络及系统运营者应当及时申请相关经费开展相关工作,今年没准备的或准备不足的,明年一定要按要求使用商用密码,自行或者委托商用密码检测机构开展商用密码应用安全性评估。做一名合法的网络安全人,保护好相关网络及系统的安全。
《中华人民共和国密码法》第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
联系/合作/投稿邮箱:[email protected]
![未正确落实商用密码工作处罚10万起,责任人1万起]( "未正确落实商用密码工作处罚10万起,责任人1万起")
评论