FOCUS
今日施行!《关键信息基础设施商用密码使用管理规定》重点内容盘点
由国家密码管理局、国家互联网信息办公室、公安部联合发布的《关键信息基础设施商用密码使用管理规定》(以下简称《规定》),于8月1日正式施行,北京信安世纪科技股份有限公司(简称“信安世纪”,股票代码:688201)根据自身实践经验与理解,对《规定》的重点内容解读归纳如下:
一、《规定》制定的必要性
(一)制定《规定》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求
(二)制定《规定》是保护关键信息基础设施安全的重要举措
(三)制定《规定》是进一步满足关键信息基础设施安全保护需求的实践需要
二、《规定》核心内容概述
(一)规范使用
规范关键信息基础设施(简称“关基”)中商用密码的使用
(二)提升安全
提升网络与数据安全水平
(三)明确职责
明确各级政府部门、行业主管单位、运营者等在商用密码管理中的职责与义务
三、《规定》关键条文总结
(一)管理对象与适用范围
1.关键信息基础设施
适用于依法认定的关键信息基础设施
《中华人民共和国网络安全法》第31条:国家对在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,一旦发生破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统,实行重点保护,即为关键信息基础设施。
2.商用密码使用
适用于所有在此类基础设施中使用商用密码技术或产品的单位和人员
(二)职责划分
1.国家密码管理局 + 网信办 + 公安部
统一规划、监管、指导全国商用密码使用
2.地方主管部门(县级以上)
指导和监督本行政区域商用密码使用
3.行业主管部门(保护工作部门)
制定行业规划,监管本领域运营者,负责年度报告
(三)运营者主要责任
1.三同步要求
商用密码保障系统需与项目同步规划、同步建设、同步运行
2.定期报告机制
每年1月31日前,报告上一年度商用密码使用与安全性评估情况
3.建立制度
建立密码使用、应急、报告等制度
4.负责人总责制
运营单位主要负责人为密码管理第一责任人
5.专业人员配置
需配备合规的密钥管理员、操作员、安全审计员
6.培训与审查
专业人员需定期培训、安全背景审查
7.经费保障
商用密码经费需纳入预算统筹
(四)商用密码产品技术要求
1.通过检测认证
使用的产品需通过检测认证
2.国家审查通过
密码算法、协议、密钥机制需国家审查通过
3.保护核心数据
核心数据、重要数据和个人信息必须采用商用密码保护
(五)生命周期管理流程
1.规划阶段
编制商用密码应用方案并完成安全性评估
2.建设阶段
严格按已通过评估的方案实施,调整须重新评估
3.运行前
需完成安全性评估,未通过评估不得投运
4.运行后
每年至少开展一次安全性评估,不合格必须整改
(同信息系统密码应用及密评流程)
(六)监督机制与保密义务
1.全国统一监控
国家密码管理部门建立全国统一监控基础设施
2.定期检查
各保护工作部门定期检查本行业密码使用情况,检查不得强制购买特定产品或服务
3.保密义务
所有人员对接触的信息负有保密义务
四、法律责任与处罚规定
典型违法行为与处罚
1.未同步规划/建设/运行密码系统使用未经认证的密码产品或算法
处罚:警告;拒不改正或情节严重罚款10万~100万元+主管人员罚款1万~10万元
2.使用未审查/审查未通过的密码产品或服务
处罚:责令停止,采购金额1~10倍罚款 +主管人员罚款1万~10万元
3.拒不配合检查或整改
处罚:警告;拒不改正或情节严重罚款5万~50万元 +主管人员罚款1万~10万元 ,情节特别严重责令停业整顿
4.未报告上一年度情况/未建立相关制度/未配备专业人员或保障经费
处罚:责令改正
监督管理工作人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分
五、重要信息盘点
(一)重要信息分析
1.“三同步”作为硬性要求
运营者必须在项目各阶段同步规划、同步部署、同步评估密码系统,执行不力将被重罚
2.保障经费
将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排
3.商用密码贯穿全生命周期
包括设计、建设、运行和每年的评估,形成闭环管理
4.专业人才配置为刚需
必须配备取得专业资质的密码相关人员,并定期审查与培训
5.法规联动更紧密
与《中华人民共和国密码法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法规联动性强,不可孤立理解
(二)规定实施重点
1.对运营者
建立完善的商用密码使用机制、人才队伍与评估流程
2.对保护工作部门
制定规划、加强监督、按时报送年度报告
3.对产品服务商
严格完成产品认证、完善技术合规
4.对法务合规人员
研读条例内容,建立法律风险防控机制