和利时信息安全研究院：商用密码安全考栏商用密码法律法规及标准体系解读（35页）.pdf

1、工控安全+安全工控商用密码法律法规及标准体系解读商用密码法律法规及标准体系解读商用密码安全专栏和利时信息安全研究院2工控安全+安全工控PART01PART01商用密码相关法律法规解读和利时信息安全研究院3商用密码法律标准已实现自上而下的体系化发展，尤其是密码法颁布以来，商用密码检测认证体系建立完善、商用密码应用安全性评估、商用密码进出口管理得以进一步规范和完善，为拓宽密码应用市场提供了有力保障。实施时间实施时间文件文件具体内容具体内容2020年1月1日中华人民共和国密码法第二十七条：运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估运营者应当自行或者委托商用密码检测机构开展商用密

2、码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等保测评制度相衔接，避免重复评估、测评。2020年7月22日贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见（公网安20201960号)第二部分第六点：落实密码安全防护要求。网络运营者应贯彻落实密码法等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估第三级以上网络运营者应在网络规划

3、、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。2021年9月1日关键信息基础设施安全保护条例第十二条：安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。第五十条：关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。2023年7月1日商用密码管理条例第二十条：涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证

4、机构检测认证合格后，方可销售或者提供由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。第二十一条：商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。第三十八条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。2023年11月1日商用密码应用安全性评估管理办法第六条：法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与

5、信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估并定期开展商用密码应用安全性评估。商用密码法律体系日趋完善和利时信息安全研究院4密码法2020年1月1日起实施中华人民共和国密码法密码法以法律的形式明确了党管密码的根本原则，是密码领域的综合性、基础性法律，也是一部技术性、专业性较强的专门法律。密码分类核心密码、普通密码核心密码、普通密码用于保护国家秘密信息核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密

6、级商用密码商用密码用于保护不属于国家秘密的信息可依法使用商用密码保护网络与信息安全密码管理体制国家密码管理部门负责管理全国的密码工作县级以上地方各级密码管理部门负责管理本行政区域的密码工作国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。和利时信息安全研究院5公安部1960号文2020年7月22日公安部印发贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见以贯彻落实网络安全等级