由國家密碼管理局��、國家互聯(lián)網(wǎng)信息辦公室�����、公安部聯(lián)合發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》(以下簡稱《規(guī)定》)�����,于8月1日正式施行���,北京信安世紀(jì)科技股份有限公司(簡稱“信安世紀(jì)”�����,股票代碼:688201)根據(jù)自身實踐經(jīng)驗與理解,對《規(guī)定》的重點內(nèi)容解讀歸納如下:
一、《規(guī)定》制定的必要性
(一)制定《規(guī)定》是貫徹落實黨中央、國務(wù)院關(guān)于商用密碼管理決策部署的必然要求
(二)制定《規(guī)定》是保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要舉措
(三)制定《規(guī)定》是進(jìn)一步滿足關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)需求的實踐需要
二���、《規(guī)定》核心內(nèi)容概述
(一)規(guī)范使用
規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施(簡稱“關(guān)基”)中商用密碼的使用
(二)提升安全
提升網(wǎng)絡(luò)與數(shù)據(jù)安全水平
(三)明確職責(zé)
明確各級政府部門、行業(yè)主管單位、運營者等在商用密碼管理中的職責(zé)與義務(wù)
三��、《規(guī)定》關(guān)鍵條文總結(jié)
(一)管理對象與適用范圍
1.關(guān)鍵信息基礎(chǔ)設(shè)施
適用于依法認(rèn)定的關(guān)鍵信息基礎(chǔ)設(shè)施
《中華人民共和國網(wǎng)絡(luò)安全法》第31條:國家對在公共通信和信息服務(wù)��、能源�����、交通��、水利���、金融��、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域���,一旦發(fā)生破壞、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全、國計民生���、公共利益的重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)�����,實行重點保護(hù),即為關(guān)鍵信息基礎(chǔ)設(shè)施。
2.商用密碼使用
適用于所有在此類基礎(chǔ)設(shè)施中使用商用密碼技術(shù)或產(chǎn)品的單位和人員
(二)職責(zé)劃分
1.國家密碼管理局 + 網(wǎng)信辦 + 公安部
統(tǒng)一規(guī)劃、監(jiān)管、指導(dǎo)全國商用密碼使用
2.地方主管部門(縣級以上)
指導(dǎo)和監(jiān)督本行政區(qū)域商用密碼使用
3.行業(yè)主管部門(保護(hù)工作部門)
制定行業(yè)規(guī)劃,監(jiān)管本領(lǐng)域運營者�����,負(fù)責(zé)年度報告
(三)運營者主要責(zé)任
1.三同步要求
商用密碼保障系統(tǒng)需與項目同步規(guī)劃��、同步建設(shè)��、同步運行
2.定期報告機(jī)制
每年1月31日前,報告上一年度商用密碼使用與安全性評估情況
3.建立制度
建立密碼使用、應(yīng)急���、報告等制度
4.負(fù)責(zé)人總責(zé)制
運營單位主要負(fù)責(zé)人為密碼管理第一責(zé)任人
5.專業(yè)人員配置
需配備合規(guī)的密鑰管理員、操作員、安全審計員
6.培訓(xùn)與審查
專業(yè)人員需定期培訓(xùn)�����、安全背景審查
7.經(jīng)費保障
商用密碼經(jīng)費需納入預(yù)算統(tǒng)籌
(四)商用密碼產(chǎn)品技術(shù)要求
1.通過檢測認(rèn)證
使用的產(chǎn)品需通過檢測認(rèn)證
2.國家審查通過
密碼算法�����、協(xié)議、密鑰機(jī)制需國家審查通過
3.保護(hù)核心數(shù)據(jù)
核心數(shù)據(jù)�����、重要數(shù)據(jù)和個人信息必須采用商用密碼保護(hù)
(五)生命周期管理流程
1.規(guī)劃階段
編制商用密碼應(yīng)用方案并完成安全性評估
2.建設(shè)階段
嚴(yán)格按已通過評估的方案實施�����,調(diào)整須重新評估
3.運行前
需完成安全性評估��,未通過評估不得投運
4.運行后
每年至少開展一次安全性評估,不合格必須整改
(同信息系統(tǒng)密碼應(yīng)用及密評流程)
(六)監(jiān)督機(jī)制與保密義務(wù)
1.全國統(tǒng)一監(jiān)控
國家密碼管理部門建立全國統(tǒng)一監(jiān)控基礎(chǔ)設(shè)施
2.定期檢查
各保護(hù)工作部門定期檢查本行業(yè)密碼使用情況���,檢查不得強(qiáng)制購買特定產(chǎn)品或服務(wù)
3.保密義務(wù)
所有人員對接觸的信息負(fù)有保密義務(wù)
四、法律責(zé)任與處罰規(guī)定
典型違法行為與處罰
1.未同步規(guī)劃/建設(shè)/運行密碼系統(tǒng)使用未經(jīng)認(rèn)證的密碼產(chǎn)品或算法
處罰:警告�����;拒不改正或情節(jié)嚴(yán)重罰款10萬~100萬元+主管人員罰款1萬~10萬元
2.使用未審查/審查未通過的密碼產(chǎn)品或服務(wù)
處罰:責(zé)令停止��,采購金額1~10倍罰款 +主管人員罰款1萬~10萬元
3.拒不配合檢查或整改
處罰:警告�����;拒不改正或情節(jié)嚴(yán)重罰款5萬~50萬元 +主管人員罰款1萬~10萬元 ,情節(jié)特別嚴(yán)重責(zé)令停業(yè)整頓
4.未報告上一年度情況/未建立相關(guān)制度/未配備專業(yè)人員或保障經(jīng)費
處罰:責(zé)令改正
監(jiān)督管理工作人員濫用職權(quán)�����、玩忽職守���、徇私舞弊�����,或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個人隱私���、舉報人信息的,依法給予處分
五、重要信息盤點
(一)重要信息分析
1.“三同步”作為硬性要求
運營者必須在項目各階段同步規(guī)劃���、同步部署、同步評估密碼系統(tǒng),執(zhí)行不力將被重罰
2.保障經(jīng)費
將商用密碼使用和應(yīng)用安全性評估經(jīng)費納入網(wǎng)絡(luò)安全和信息化經(jīng)費安排
3.商用密碼貫穿全生命周期
包括設(shè)計�����、建設(shè)���、運行和每年的評估�����,形成閉環(huán)管理
4.專業(yè)人才配置為剛需
必須配備取得專業(yè)資質(zhì)的密碼相關(guān)人員���,并定期審查與培訓(xùn)
5.法規(guī)聯(lián)動更緊密
與《中華人民共和國密碼法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法規(guī)聯(lián)動性強(qiáng)�����,不可孤立理解
(二)規(guī)定實施重點
1.對運營者
建立完善的商用密碼使用機(jī)制��、人才隊伍與評估流程
2.對保護(hù)工作部門
制定規(guī)劃、加強(qiáng)監(jiān)督��、按時報送年度報告
3.對產(chǎn)品服務(wù)商
嚴(yán)格完成產(chǎn)品認(rèn)證��、完善技術(shù)合規(guī)
4.對法務(wù)合規(guī)人員
研讀條例內(nèi)容�����,建立法律風(fēng)險防控機(jī)制
