信创与密码应用论坛（杭州）-俞紫锋《商用密码应用安全性评估政策法规解读》（13页）.pdf

《信创与密码应用论坛（杭州）-俞紫锋《商用密码应用安全性评估政策法规解读》（13页）.pdf》由会员分享，可在线阅读，更多相关《信创与密码应用论坛（杭州）-俞紫锋《商用密码应用安全性评估政策法规解读》（13页）.pdf（13页珍藏版）》请在三个皮匠报告上搜索。

1、商用密码应用安全性评估政策法规解读俞紫锋高级工程师东安检测 密评部副总监 为什么做密评 密码安全形势严峻-军事斗争制胜的关键因素，大国博弈的重要战场-关键核心技术和产品受制于人，国外产品有漏洞和后门 法律法规的要求-中华人民共和国密码法-中华人民共和国网络安全法-商用密码管理条例-商用密码应用安全性评估管理办法（试行）密码是保障网络和信息安全的核心技术-密码的“四性”“四防”商用密码应用安全性评估法律法规国务院办公厅关于印发国家政务信息化项目建设管理办法的通知国办发201957号中华人民共和国密码法国办发201957号2019年12月30日发布对国家政务信息系统的密码应用与安全性评估有了明确要

2、求密码法2019年10月26日正式发布2020年1月1日起施行规范密码应用和管理商用密码管理条例（修订草案征求意见稿）商用密码管理条例（修订草案征求意见稿）2020年8月20日公开征求意见界定商密管理范围，依法解决商密技术进步及其发展中出现的问题，规范商密应用和管理法律法规商用密码应用安全性评估法律法规中华人民共和国密码法总则-第一条、第七条为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。推广使用商用密码中华人

3、民共和国密码法国家鼓励和支持密码科学技术研究和应用、商用密码技术研发、交流和应用，推动参与商用密码的国际标准化活动，与标准之间的转化运用，采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系。建立以国产密码为核心的密码体系国家建立和完善商用密码标准体系；推进商用密码检测认证体系建设；商用密码产品的检测认证；关键信息基础设施由商用密码检测机构开展商用密码应用安全性评估；采用商用密码技术从事电子政务电子认证服务。商用密码应用安全性评估法律法规中华人民共和国密码法第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行

4、保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照中华人民共和国网络安全法的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。第三十七条l关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的

5、主管人员处一万元以上十万元以下罚款。l关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。中华人民共和国密码法商用密码应用安全性评估法律法规规划和审批管理-第九条除国家发展改革委审批或者核报国务院审批的外，其他有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括：等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估

6、报告等内容监督管理-第三十条国务院办公厅、国家发改委、财政部、中央网信办会同有关部门实施监督管理，包括密码应用、网络安全等；各部门应按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。国务院办公厅关于印发国家政务信息化项目建设管理办法的通知国办发201957号建设和资金管理-第十五、十六条、第二十八条第十五条：项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。第十六条：项目应当采用安全可靠的软硬件产品。项目密码应用和安全审查情况是项目验收的重要内容之一。第二十八条：对于不