商用密碼應用法律政策要求（上）

新時期，網(wǎng)絡環(huán)境日益復雜而深刻，密碼應用需求日益多樣化。推進商用密碼合規(guī)、正確、有效應用，是新時期商用密碼管理和創(chuàng)新發(fā)展的重中之重。

國家法律法規(guī)有關密碼應用的要求

面對國家安全的新形勢 ，我國已在多部法律法規(guī)中明確規(guī)定了密碼應用的要求，包括《密碼法》、《網(wǎng)絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例（征求意見稿）》、《網(wǎng)絡安全等級保護條例（征求意見稿）》等。

01《中華人民共和國密碼法》

02《中華人民共和國網(wǎng)絡安全法》

03《商用密碼管理條例》

1999年發(fā)布的《商用密碼管理條例》規(guī)定國家對商用密碼產品的研發(fā)、生產、銷售和使用實行專控管理。為落實《密碼法》有關立法精神，《商用密碼管理條例》修訂將充分體現(xiàn)國家“放管服”改革要求，取消對科研、生產、銷售單位等的行政許可事項，強化密碼應用要求，突出對關鍵信息基礎設施和網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)的密碼應用監(jiān)管，并實施商用密碼應用安全性評估和安全審查制度。

04《關鍵信息基礎設施安全保護條例(征求意見稿)》

《關鍵信息基礎設施安全保護條例（征求意見稿）》明確了在關鍵信息基礎設施保護工作中，依據(jù)密碼管理法律法規(guī)開展有關密碼管理工作，充分體現(xiàn)了密碼管理在國家網(wǎng)絡安全大局中的重要地位和作用。該《條例》明確了關鍵信息基礎設施的密碼應用要求，壓實了網(wǎng)絡安全運營者和主管部門有關密碼應用和密碼安全的主體責任，為密碼管理部門開展網(wǎng)絡空間密碼保護工作，尤其是網(wǎng)絡安全檢查和安全審查等工作提供了法律依據(jù)，同時也為開展密評工作提供了強有力的支撐。

05《網(wǎng)絡安全等級保護條例(征求意見稿)》

2018年6月27日，《網(wǎng)絡安全等級保護條例（征求意見稿）》向社會公開征求意見，其中設置了密碼管理專章，體現(xiàn)了密碼管理在網(wǎng)絡安全等級保護工作中的重要作用，明確了網(wǎng)絡安全等級保護密碼管理的主要思路、方式和手段，強調了網(wǎng)絡安全等級保護第三級及以上系統(tǒng)使用密碼進行保護的義務，突出了商用密碼應用安全性評估作為等級保護密碼管理主要抓手的地位和作用，強化了密碼管理部門在等級保護技術標準制定、監(jiān)督檢查、密碼應用安全性評估工作開展等方面的職權，明確規(guī)定了“國家密碼管理部門負責網(wǎng)絡安全等級保護工作中有關密碼管理工作的監(jiān)督管理”，還從網(wǎng)絡安全等級保護的事前備案審核、事中應用要求，以及事中事后監(jiān)管和法律責任各環(huán)節(jié)對密碼管理和應用進行了規(guī)定。

《網(wǎng)絡安全等級保護條例》頒布實施后，將替代現(xiàn)行的《信息安全等級保護管理辦法》，對我國的網(wǎng)絡安全等級保護進行規(guī)范和管理。屆時，國家密碼管理局將與公安部等部門密切配合，依法開展密評工作，并修訂《信息安全等級保護商用密碼管理辦法》等配套規(guī)章。

06《信息安全等級保護商用密碼管理辦法》

《信息安全等級保護商用密碼管理辦法》規(guī)定：“信息安全等級保護中使用的商用密碼產品，應當是國家密碼管理局準予銷售的產品”。

為配合《信息安全等級保護商用密碼管理辦法》的實施，進一步規(guī)范信息安全等級保護商用密碼工作，國家密碼管理局印發(fā)《信息安全等級保護商用密碼管理辦法實施意見》，規(guī)定“第三級及以上信息系統(tǒng)的商用密碼應用系統(tǒng)建設方案應當通過密碼管理部門組織的評審后方可實施”，“第三級及以上信息系統(tǒng)的商用密碼應用系統(tǒng)，應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行。密碼測評包括資料審查、系統(tǒng)分析、現(xiàn)場測評、綜合評估等”，這些制度均明確了信息安全等級保護第三級及以上信息系統(tǒng)的商用密碼應用要求。

07《電子認證服務密碼管理辦法》

《電子認證服務密碼管理辦法》主要規(guī)定面向社會公眾提供電子認證服務應當使用商用密碼，明確了申請電子認證服務使用密碼許可應當具備的基本條件和程序，對電子認證服務系統(tǒng)的運行和技術改造等做出了規(guī)定。同時，要求電子認證服務系統(tǒng)要由具有商用密碼產品生產和密碼服務能力的單位，按照GM T 0034-2014《基于SM2 密碼算法的證書認證系統(tǒng)密碼及其相關安全技術規(guī)范》的要求承建，并通過國家密碼管理局組織的安全性審查。

08《政務信息系統(tǒng)政府采購管理暫行辦法》

2017年12月26日，財政部印發(fā)的《政務信息系統(tǒng)政府采購管理暫行辦法》第八條規(guī)定：“采購需求應當落實國家密碼管理有關法律法規(guī)、政策和標準規(guī)范的要求，同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)并定期進行評估。”第十二條規(guī)定：“采購人應當按照國家有關規(guī)定組織政務信息系統(tǒng)項目驗收，根據(jù)項目特點制定完整的項目驗收方案。驗收方案應當包括項目所有功能的實現(xiàn)情況、密碼應用和安全審查情況、信息系統(tǒng)共享情況、維保服務等采購文件和采購合同規(guī)定的內容，必要時可以邀請行業(yè)專家、第三方機構或相關主管部門參與驗收。

09《國家政務信息化項目建設管理辦法》

2019年12月30 日，《國家政務信息化項目建設管理辦法》發(fā)布，對國家政務信息系統(tǒng)的規(guī)劃、審批、建設、共享和監(jiān)管做出規(guī)定，其中明確規(guī)定了多項密碼應用有關要求。

政務信息化項目建設單位，應同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)并定期進行評估；按要求向發(fā)改委備案的備案文件應當包括密碼應用方案和密碼應用安全性評估報告；項目的密碼應用和安全審查情況應當作為項目驗收的重要內容之一，密碼應用安全性評估報告應當作為提交驗收申請的必要材料；對于不符合密碼應用和網(wǎng)絡安全要求的政務信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)；國務院有關部門對密碼應用情況實施監(jiān)督管理，不符合要求的，視情予以通報批評、暫緩安排投資計劃、暫停項目建設直至終止項目；國務院各部門應當嚴格按要求采用密碼技術，并定期開展密碼應用安全性評估，確保政務信息系統(tǒng)運行安全和政務信息資源共享交換的數(shù)據(jù)安全。

——內容摘錄自《商用密碼應用與安全性評估》