密码法、密码与密评

密码法

《中华人民共和国密码法》 于2019年10月26日正式发布， 2020年1月1日起施行。密码法旨在通过立法提升密码管理科学化、规范化、法治化水平，促进我国密码事业的稳步健康发展。

密码

密评

• 党和国家历来高度重视密码工作，始终将其作为维护国家安全和根本利益的一项基础性工作。

• 面对国家安全的新形势，为了切实发挥密码在保障网络和信息系统安全中的核心支撑作用，我国已在多部法律法规中明确规定了密码应用的要求。

• 第二条 本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

• 第四条：坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导。

• 第五条：国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

• 第六条：国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。

• 第七条：核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

• 第八条：商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

• 第二十六条：涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。

• 第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

• 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

• 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

• 关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或服务的，由有关主管部门责令停止使用产品或服务，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

• 第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

• 前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

• 第九条重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

分享网络安全知识 强化网络安全意识

欢迎关注《网络安全和等保测评》微信公众号⬇️

                           关注我们

联系我们

• 网络安全等级保护在沪测评机构自律委员会名单

• 公安部第三研究所和等保测评机构的联系

• 公安部网络安全等级保护评估中心介绍

• CMA 和CNAS、ILAC-MRA标识介绍

• 等级保护测评 & 法律依据汇总

• 安徽省某单位遭网络攻击3.54亿条个人信息被盗，公检联合督促整改

• 为什么要做等保测评？不做会怎样？怎么通过等保测评？2024最新攻略来了！

• 等保、分保、关保、密评——3保1评之间的联系与区别

• 全国首起对虚假撤销等级保护测评备案作出处罚的行政案例

• 国密局对通过材料审查174家密评机构公示

• 近期不履行网络安全保护义务处罚案例汇总

• 商用密码应用安全性评估试点机构目录（共48家）

• 等保测评具体是测什么？二级和三级有何区别？

  网络安全  &  攻防演练

原文始发于微信公众号（网络安全和等保测评）：商用密码应用安全性评估工作概述