问:商用密码产品检测认证避免重复检测认证的做法有哪些?
答:为充分体现“放管服”改革精神,切实降低企业负担,节约检测认证资源,《密码法》第二十六条规定:商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。具体做法包括:一是制定并公布网络关键设备和网络安全专用产品目录,提高检测认证的透明度,避免适用检测认证制度的产品的重复。二是推动检测认证结果互认,减少某一类产品检测认证项目的重复。
问:商用密码服务的概念与范围是什么?
答:商用密码服务,是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。典型的商用密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全。密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能的系统的正常运行提供安全管理和维护。
问:为什么要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?
答:《密码法》第二十六条规定:商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度,主要有两个方面的考虑:一是该制度是维护国家安全和社会公共利益的需要。商用密码服务是一种专业技术性很强的特殊服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益。由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。二是强制性认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。
问:关键信息基础设施必须使用商用密码进行保护吗?
答:《密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。
《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。
关键信息基础设施的运营者如果不使用或者不合规正确有效使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。因此,《密码法》对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。
问:商用密码应用安全性评估的目的是什么?
答:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要作用。
商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人,《密码法》要求其履行相应的义务,按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。
原文始发于微信公众号(河南等级保护测评):来自国家密码管理局的密码政策问答(十二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论