作者: 赣密红整理发布时间: 2024-06-17点击量: 364来源: 江西省商用密码应用协会
一、法律法规
(一)中华人民共和国网络安全法(自2017年6月1日起施行,点击查看)
第二十一条(节选) 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(四)采取数据分类、重要数据备份和加密等措施;
……
(二)中华人民共和国密码法(自2020年1月1日起施行,点击查看)
第二十七条(节选) 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
(三)中华人民共和国数据安全法(自2021年9月1日起施行,点击查看)
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
(四)中华人民共和国个人信息保护法(自2021年11月1日起施行,点击查看)
第五十一条(节选) 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
……
(三)采取相应的加密、去标识化等安全技术措施;
……
(五)关键信息基础设施安全保护条例(自2021年9月1日起施行,点击查看)
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
(六)商用密码管理条例(新修订,自2023年7月1日起施行,点击查看)
第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
第四十一条 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
二、办法政策
(一)国家政务信息化项目建设管理办法(国办发〔2019〕57号,2020年2月1日起施行,点击查看)
该办法涉及国家政务信息系统的规划、审批、建设、共享和监管,共三十六条,其中与密码应用相关的有七条。
第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
第二十八条(节选)加强国家政务信息化项目建设投资和运行维护经费协同联动,……
(三)对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
(二)商用密码应用安全性评估管理办法(国家密码管理局令第3号,自2023年11月1日起施行,点击查看)
第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估;第九条规定,重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。
(三)商用密码检测机构管理办法(国家密码管理局令第2号,自2023年11月1日起施行,点击查看)
第一条 为了加强商用密码检测机构管理,规范商用密码检测活动,根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本办法。
第二条 商用密码检测机构的资质认定和监督管理适用本办法。
第三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
(四)贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安〔2020〕1960号,2020年7月22日印发,点击查看)
二、深入贯彻实施国家网络安全等级保护制度
……
(六)落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
(五)金融和重要领域密码新政策办法
《密码法》颁布施行四年来,密码应用在金融、公安、社保、交通、能源、水利、教育、广电、税务等领域不断向纵深拓展;同时,5G、物联网、云计算、大数据、人工智能、区块链、量子通信、数字经济等新技术新业态正与密码紧密融合。点击查看合集
三、标准规范
(一)密码应用国家标准
1.GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》(自2021年10月1日正式实施,点击查看)
该标准为密码应用国家标准,包括从信息系统中使用的密码算法、密码技术、密码产品、密码服务等提出了密码应用通用要求,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。
2.GB/T 43206—2023 《信息安全技术 信息系统密码应用测评要求》(自2024年4月1日正式实施,点击查看)
该标准为密码应用国家标准,规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求,并给出了整体测评要求、风险分析和评价、测评结论的要求,适用于指导、规范信息系统密码应用安全性评估工作中的测评活动。
3.GB/T 43207—2023《信息安全技术 信息系统密码应用设计指南》(自2024年4月1日正式实施)
该标准为密码应用国家标准,包括信息系统密码应用框架、密码应用方案设计原则、密码应用方案设计过程、密码应用方案设计指南,适用于指导信息系统密码应用方案的设计,也可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门密码应用安全性评估备案工作的参考。
(二)密码规范指导性文件
依据《密码法》等法律法规,中国密码学会密评联委会修订形成了《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板(2023版)》《政务信息系统密码应用与安全性评估工作指南》(2020版)等密码应用与安全性评估指导性文件,并更新发布了商用密码应用安全性评估FAQ(第三版),对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答,以帮助相关人员更好开展商用密码应用与安全性评估工作。点击查看下载文件
四、江西政策
(一)省级
1.江西省公共数据管理办法(2022年1月12日江西省政府令第254号公布 自2022年3月1日起施行,点击查看)
第三十五条 公共数据平台运行维护单位应当建立安全管理制度,履行下列职责,保障公共数据平台安全可靠运行:
……
(二)落实网络安全等级保护制度,健全密码保障体系,完善身份认证、访问控制和数据日志安全审计等安全防护措施;
……
2.江西省人民政府办公厅关于印发江西省电子印章管理暂行办法的通知(赣府厅字〔2021〕61号,自2021年10月1日起施行,点击查看)
第二十七条 系统安全要求
江西省统一电子印章系统建设应当符合以下标准规范:
(一)采用具有商用密码产品认证证书的产品,支持国产密码算法和文档格式标准;
(二)符合《安全电子签章密码应用技术规范》(GB/T0031-2014)、《信息安全技术安全电子签章密码技术规范》(GB/T38540-2020)、《党政机关电子印章应用规范》(GB/T33481-2016)、《国家政务服务平台统一电子印章总体技术架构》(C0118-2019)、《国家政务服务平台统一电子印章签章技术要求》(C0119-2019)、《国家政务服务平台统一电子印章印章技术要求》(C0120-2019)、《国家政务服务平台统一电子印章接入测试方法》(C0121-2019)、《国家政务服务平台统一电子印章系统接口要求》(C0122-2019)等的规定;
(三)具备完善的信息安全防护措施,通过商用密码应用安全性评估,至少符合信息系统安全保护等级三级要求。
3.中共江西省委、省政府印发《关于深入推进数字经济做优做强“一号发展工程”的意见》(赣发〔2022〕4号,点击查看)
三、创新制度供给,营造数字经济发展一流生态
(一)改革创新政策
……
4.强化安全保障。强化数据安全管理,做好数据备份。加强数据处理活动的风险监测评估,强化利用公民个人信息从事商业活动的监督和约束,加强对违法违规收集使用公民个人信息行为的打击治理。推广应用区块链、数据安全沙盒、隐私计算等技术,保障数据隐私和数据安全。健全网络安全保障工作机制,强化网络完全主体责任,落实网络安全等级保护2.0、关键信息基础设施安全保护、涉密网络分级保护、商用密码应用安全评估等要求。
4.江西省人民政府办公厅关于印发江西省数字化项目建设管理办法的通知(赣府厅发〔2023〕12号,点击查看)
第二十五条 项目单位应当按照法律法规及党政机关安全管理等有关规定,建立安全管理制度,采取相应措施,加强数字化系统与数据资源的安全保密设施建设,定期开展安全检测、保密检测、风险评估、等级保护测评,保障数字化系统安全稳定运行。按照国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估。涉及国家安全或涉密事项等数字化系统的,按安全保密有关法律法规规定执行。
5.江西省人民政府关于印发江西省数字政府建设总体方案的通知(赣府发〔2023〕8号,点击查看)
四、主要任务
……
(二)构建数字政府全方位安全保障体系。
……
2.落实安全管理制度。
建立健全数据分类分级保护、风险评估、检测认证等制度,加强数据全生命周期安全管理和技术防护。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度,完善相应问责机制,依法加强重要数据出境安全管理。加强网络安全等级保护和密码保护,完善全省政务外网安全管理制度,支撑网络系统定级备案管理、网络安全等级保护、密码测评管理、建设整改管理、资产管理、机构和人员管理等业务。建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。
3.提升安全保障能力。
建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系,在升级全省政务外网安全监测平台的基础上构建数字政府一体化安全管理平台,为基础设施安全、应用安全及数据安全提供安全保障支撑。升级全省政务外网安全监测平台,拓展网络安全态势感知监测范围,加强网络安全事件和网络泄密事件的监测、预警和发现能力。提升安全运营中心服务能力,统一组织开展安全监测、风险评估、通报预警等工作。优化升级省政务云密码服务支撑平台,提供数字政府应用系统商用密码服务,保障物理和环境、网络和通信、设备和计算、应用和数据等层面的机密性和完整性。
6.江西省人民政府关于印发江西省未来产业发展中长期规划(2023—2035年)(赣府发〔2023〕2号,点击查看)
第三章“主要任务”中指出:在工业互联网方面,要求统筹工业互联网发展和安全,深化商用密码应用,增强安全保障能力;在量子科技方面,要求以南昌、九江等为重点,依托量子通信网络及量子可信云等新型基础设施,开展量子保密通信等未来网络设施建设,加强与中科院量子领域科研团队合作,推动量子计算与量子密码、量子机器学习算法、光量子器件基础理论、量子精密测量与量子导引、量子照明等量子科学与技术前沿问题研究。
7.江西省人民政府关于印发江西省“十四五”数字经济发展规划的通知(赣府发〔2022〕11号,点击查看)
第九章第四小点提出:健全网络安全保障体系。贯彻《中华人民共和国网络安全法》《中华人民共和国密码法》,落实等级保护、安全测评、电子认证、应急管理、国产密码应用等制度。强化落实网络安全技术措施同步规划、同步建设、同步使用的要求,确保重要系统和设施安全有序运行。加强网络安全基础设施建设,加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力。健全网络安全保障工作体系,落实网络安全等级保护2.0、涉密网络分级保护、商用密码应用安全评估等工作。加快建设省网络安全应急指挥平台,提升网络安全监测预警、应急处置能力。加快发展网络安全产业,促进拟态防御、数据加密等网络安全技术应用。加强防范、严厉打击各类新型网络违法犯罪。
8.江西省人民政府办公厅关于加强政务服务信息安全管理的通知》(赣府厅字〔2018〕68号,点击查看)
第二大点“加强安全管理”指出:政务服务部门要“加强技术防范。要强化有关信息数据的脱敏处理、加密传输、加密存储,通过技术手段堵塞系统漏洞……确保信息在收集、传输、加工、保存、使用等环节中不被泄露或篡改”。
9.我省金融和重要领域“十四五”规划中的密码要求(点击查看)
江西省委省政府高度重视密码工作。《江西省国民经济和社会发展第十四个五年规划和二〇三五年远景目标纲要》以及全省金融、公安、社保、交通、能源、水利、教育等领域“十四五”规划中,涉及密码应用和安全性评估等相关安全要求。密码持续渗透到我省社会生产生活各方面。
(二)地市及赣江新区政策
1.南昌
南昌市人民政府办公厅关于印发南昌市政务信息化项目集约化建设管理办法的通知(洪府厅发〔2020〕126号,点击查看)
第三十四条 项目建设(业主)单位应按照《中华人民共和国网络安全法》《中华人民共和国密码法》以及党政机关安全管理有关规定,建立健全网络安全管理制度,加强政务信息系统安全保密设施建设,落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行,构建全方位、多层次、一致性的防护体系,定期开展安全性检测和评估,保障政务信息系统运行安全稳定和共享交换数据实时安全。
2.九江
九江市人民政府办公室关于印发九江市数字化项目建设管理办法(试行)的通知(九府办发〔2024〕8号,点击查看)
第三十七条 加强数字化项目运维经费管理,原则上有下列情形之一的,不安排运维经费:
(一)未按要求共享数据资源或者重复采集数据的数字化系统;
(二)不符合密码应用和网络安全要求,或者存在重大安全隐患的数字化系统;
(三)未依托政务外网和政务云承载的非涉密数字化系统;
(四)使用频率极低、长期闲置未使用的数字化系统。
3.景德镇
景德镇市人民政府关于印发《景德镇市数字政府建设总体方案》的通知(景府发〔2023〕13号,点击查看)
22.提升安全保障能力
建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。建设全市政务外网安全监测平台,拓展网络安全态势感知监测范围,加强网络安全事件和网络泄密事件的监测、预警和发现能力。优化升级密码服务支撑平台,提供数字政府应用系统商用密码服务,保障物理和环境、网络和通信、设备和计算、应用和数据等层面的机密性和完整性。
4.萍乡
萍乡市人民政府关于印发萍乡市数字政府建设总体方案的通知(萍府发〔2023〕21号,点击查看)
3.提升安全保障能力。强化安全运营、监测预警、安全检查、应急保障、协同处置等能力。建立健全动态监控、协同响应的数字政府安全技术保障体系,努力构建数字政府一体化安全管理平台,为基础设施安全、应用安全及数据安全提供安全保障支撑。提升安全运营中心服务能力,统一组织开展安全监测、风险评估、通报预警等工作。优化升级市政务云密码服务支撑平台,提供数字政府应用系统商用密码服务,保障物理和环境、网络和通信、设备和计算、应用和数据等层面的机密性和完整性。
5.新余
新余市人民政府办公室关于印发新余市政务云计算大数据中心暂行管理办法的通知(余府办发〔2019〕6号,点击查看)
第二十五条 政务云服务提供商作为政务云中心信息安全主要责任人,负责政务云中心的统一保护,根据政务云中心现状和各业务单位需求,及时完善信息安全设施,加强安全防御,监控网络行为,阻断网络攻击,做好数据备份,健全管理制度,每月发布安全公告。政务云中心应该严格执行国家信息系统安全等级保护三级标准,使用国产密码算法多方面保护数据安全,确保政务云中心安全可靠运行。
6.鹰潭
鹰潭市人民政府办公室关于印发鹰潭市信息化项目建设管理办法的通知(鹰府办发〔2021〕7号,点击查看)
第十六条 项目建设单位应当按照《中华人民共和国网络安全法》《中华人民共和国密码法》等法律法规以及党政机关安全管理等有关规定,建立网络安全和密码安全等管理制度,同步规划、同步建设、同步运行网络安全技术措施和密码保障系统,定期开展网络安全检测与风险评估,保障信息系统安全稳定运行。
7.赣州
赣州市人民政府办公室关于印发赣州市数字化项目建设管理实施细则的通知(赣市府发〔2023〕14 号,点击查看)
第二十三条 项目单位应当按照法律法规及党政机关安全管理等有关规定,建立安全管理制度,采取相应措施,加强数字化系统与数据资源的安全保密设施建设,定期开展安全检测、保密检测、风险评估、等级保护测评,保障数字化系统安全稳定运行。按照国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估。涉及国家安全或涉密事项等数字化系统的,按安全保密有关法律法规规定执行。
8.宜春
宜春市人民政府办公室关于印发宜春市信息化项目管理暂行办法的通知(宜府办发〔2019〕10号,点击查看)
第四条(节选) 信息化项目必须符合《“云上宜春”新型智慧城市顶层设计》和国家、省、市及行业规定的强制标准,必须遵守国家有关安全、保密规定,遵循“统一、规范、集约、共享、安全”的原则。信息安全保障系统应当与信息化项目同步规划、同步建设、同步验收、同步运行。
9.上饶
上饶市人民政府办公室关于印发上饶市数字化项目建设管理办法(暂行)的通知(饶府办字〔2024〕26 号,点击查看)
第四十条 加强数字化项目运维经费管理,原则上有下列情形之一的,不安排运维经费:
(一)未按要求共享数据资源或者重复采集数据的数字化系统;
(二)不符合密码应用和网络安全要求,或者存在重大安全隐患的数字化系统;
(三)未依托政务外网和政务云承载的非涉密数字化系统。
10.吉安
吉安市人民政府关于印发《吉安市数字政府建设实施方案》的通知(吉府字〔2023〕56 号,点击查看)
31.落实落细安全管理要求(节选)
贯彻落实《网络安全法》《数据安全法》等法律法规要求,建立健全数据分类分级保护、风险评估、检测认证等制度,加强数据采集、传输、存储、处理、使用、交换、销毁等数据全生命周期安全管理和技术防护。……加强网络安全等级保护和密码保护,定期开展业务培训、评估检查和安全演练,提升数字政府领域关键基础设施和数据资源保护水平。
11.抚州
抚州市人民政府关于印发《抚州市数字政府建设三年行动计划(2023-2025年)》的通知(抚府发〔2023〕8号,点击查看)
2.提升数字政府安全防护能力(节选)
贯彻国家网络、数据、密码等领域安全法律法规,落实网络安全等级保护、关键信息基础设施安全保护、数据分类分级保护、密码应用管理等制度要求。……强化网络安全技术措施同步规划、同步建设、同步使用要求,确保重要系统和设施安全有序运行。建设云密码服务平台,为数字政府应用系统提供商用密码服务,保障包括物理和环境、网络和通信、设备和计算、应用和数据等各个环节的机密性和完整性。
12.赣江新区
赣江新区管委会关于印发赣江新区“十四五”规划和二〇三五年远景目标纲要的通知(赣新管发〔2021〕9号,点击查看)
十一、统筹发展与安全,提升社会治理水平
全面贯彻落实总体国家安全观,切实把安全发展贯穿于发展各领域全过程,加强和改进新区社会治理,防范和化解影响现代化进程的各种风险,打造全省社会治理现代化标杆样板。
(一)健全公共安全体制
坚决捍卫政治安全。……坚定维护国家政权安全、制度安全、意识形 态安全,全面加强网络安全、信息安全、数据安全保障体系和能力建设。
如有错漏,请联系0791-88861783告知我们,我们将及时更新。
地址:江西省南昌市东湖区豫章路70号(老省委院内)
邮箱:512638343@qq.com
