密码法正式发布,密码安全性评估成为焦点
- 分类:行业动态
- 作者:
- 来源:
- 发布时间:2019-10-26
- 访问量:2013
密码法正式发布,密码安全性评估成为焦点
【概要描述】
10月26日,《中华人民共和国密码法》正式通过十三届全国人大常委会第十四次会议表决,将自2020年1月1日起施行。从2014年12月起草至今,五年间密码法多次面向社会公开征求意见,经过反复修改和调整,终于在今天下午正式发布。
那么,密码法的发布将会对企事业单位带来怎样的影响呢?
密码进行分类管理需主动进行密码安全评估
本次发布的密码法适用于密码技术的生产方、使用方以及监督主管方,覆盖密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动。
密码法中将密码分类为核心密码、普通密码与商用密码,并明确要求对这三类密码实行分类管理。其中“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两类密码的管理。对这两类密码,密码法要求实行密码“保密责任制”和“安全风险评估”机制。
而商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。
本次密码法发布对于非涉密的企事业单位来说,影响就是要主动进行“密码安全性评估”。根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。而对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。
密码安全性评估以GM/T0054标准为主要依据
当前,我国密码安全性评估主要依据是《GM∕T 0054-2018信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定,主要集中在密码算法、密码技术、密码产品和密码服务四个方面。
在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等;
在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对SSL相关应用,设计标准应遵循《GM/T 0024-2014 SSL VPN技术规范》;
在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书;
在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。
- 分类:行业动态
- 作者:
- 来源:
- 发布时间:2019-10-26
- 访问量:2013
10月26日,《中华人民共和国密码法》正式通过十三届全国人大常委会第十四次会议表决,将自2020年1月1日起施行。从2014年12月起草至今,五年间密码法多次面向社会公开征求意见,经过反复修改和调整,终于在今天下午正式发布。
那么,密码法的发布将会对企事业单位带来怎样的影响呢?
密码进行分类管理需主动进行密码安全评估
本次发布的密码法适用于密码技术的生产方、使用方以及监督主管方,覆盖密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动。
密码法中将密码分类为核心密码、普通密码与商用密码,并明确要求对这三类密码实行分类管理。其中“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两类密码的管理。对这两类密码,密码法要求实行密码“保密责任制”和“安全风险评估”机制。
而商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。
本次密码法发布对于非涉密的企事业单位来说,影响就是要主动进行“密码安全性评估”。根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。而对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。
密码安全性评估以GM/T0054标准为主要依据
当前,我国密码安全性评估主要依据是《GM∕T 0054-2018信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定,主要集中在密码算法、密码技术、密码产品和密码服务四个方面。
在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等;
在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对SSL相关应用,设计标准应遵循《GM/T 0024-2014 SSL VPN技术规范》;
在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书;
在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。