密碼法正式發布，密碼安全性評估成為焦點

分類：行業動態
作者：
來源：
發布時間：2019-10-26
訪問量：2782





密碼法正式發布，密碼安全性評估成為焦點

【概要描述】

　　10月26日，《中華人民共和國密碼法》正式通過十三屆全國人大常委會第十四次會議表決，將自2020年1月1日起施行。從2014年12月起草至今，五年間密碼法多次面向社會公開征求意見，經過反復修改和調整，終于在今天下午正式發布。

　　那么，密碼法的發布將會對企事業單位帶來怎樣的影響呢?

　　密碼進行分類管理需主動進行密碼安全評估

　　本次發布的密碼法適用于密碼技術的生產方、使用方以及監督主管方，覆蓋密碼的科研、生產、經營、進出口、檢測、認證、使用和監督管理等活動。

　　密碼法中將密碼分類為核心密碼、普通密碼與商用密碼，并明確要求對這三類密碼實行分類管理。其中“核心密碼”與“普通密碼”被用來保護國家秘密信息，涉密單位應重點關注對于這兩類密碼的管理。對這兩類密碼，密碼法要求實行密碼“保密責任制”和“安全風險評估”機制。

　　而商用密碼被用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。一般來說非涉密單位接觸到的密碼應用，都屬于商用密碼，應遵循國家密碼局商用密碼管理有關條例規定。

　　本次密碼法發布對于非涉密的企事業單位來說，影響就是要主動進行“密碼安全性評估”。根據《密碼法》要求，商用密碼產品及服務使用方應按照國家密碼管理局有關規定，對商用密碼產品、密碼服務、密碼技術進行安全性以及合規性認證。而對關鍵信息基礎設施，應采用商用密碼進行保護，并進行密碼安全性評估，同時與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度密碼相關要求相銜接。

　　密碼安全性評估以GM/T0054標準為主要依據

　　當前，我國密碼安全性評估主要依據是《GM∕T 0054-2018信息系統密碼應用基本要求》，其對信息系統的規劃、建設、運行三個階段的密碼應用情況安全性評估進行了詳細的規定，主要集中在密碼算法、密碼技術、密碼產品和密碼服務四個方面。

　　在密碼算法方面，信息系統中使用的密碼算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。如使用國家批準的商用密碼算法SM2、SM3、SM4等;

　　在密碼技術方面，密碼技術中涉及的標準密碼協議應符合國內相關密碼標準，如果是自定義的密碼協議，設計要安全合理，同時遵循相關密碼標準。如針對SSL相關應用，設計標準應遵循《GM/T 0024-2014 SSL VPN技術規范》;

　　在密碼產品方面，信息系統中使用的密碼產品與密碼模塊應通過國家密碼管理部門核準。如信息系統中使用的密碼模塊應具備商密型號證書;

　　在密碼服務方面，信息系統中使用的密碼服務應通過國家密碼管理部門的許可。