商用密碼應(yīng)用法律政策要求（上）

新時(shí)期，網(wǎng)絡(luò)環(huán)境日益復(fù)雜而深刻，密碼應(yīng)用需求日益多樣化。推進(jìn)商用密碼合規(guī)、正確、有效應(yīng)用，是新時(shí)期商用密碼管理和創(chuàng)新發(fā)展的重中之重。

國(guó)家法律法規(guī)有關(guān)密碼應(yīng)用的要求

面對(duì)國(guó)家安全的新形勢(shì) ，我國(guó)已在多部法律法規(guī)中明確規(guī)定了密碼應(yīng)用的要求，包括《密碼法》、《網(wǎng)絡(luò)安全法》、《商用密碼管理?xiàng)l例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》等。

01《中華人民共和國(guó)密碼法》

02《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

03《商用密碼管理?xiàng)l例》

1999年發(fā)布的《商用密碼管理?xiàng)l例》規(guī)定國(guó)家對(duì)商用密碼產(chǎn)品的研發(fā)、生產(chǎn)、銷售和使用實(shí)行?？毓芾?。為落實(shí)《密碼法》有關(guān)立法精神，《商用密碼管理?xiàng)l例》修訂將充分體現(xiàn)國(guó)家“放管服”改革要求，取消對(duì)科研、生產(chǎn)、銷售單位等的行政許可事項(xiàng)，強(qiáng)化密碼應(yīng)用要求，突出對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)的密碼應(yīng)用監(jiān)管，并實(shí)施商用密碼應(yīng)用安全性評(píng)估和安全審查制度。

04《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》明確了在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作中，依據(jù)密碼管理法律法規(guī)開(kāi)展有關(guān)密碼管理工作，充分體現(xiàn)了密碼管理在國(guó)家網(wǎng)絡(luò)安全大局中的重要地位和作用。該《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求，壓實(shí)了網(wǎng)絡(luò)安全運(yùn)營(yíng)者和主管部門(mén)有關(guān)密碼應(yīng)用和密碼安全的主體責(zé)任，為密碼管理部門(mén)開(kāi)展網(wǎng)絡(luò)空間密碼保護(hù)工作，尤其是網(wǎng)絡(luò)安全檢查和安全審查等工作提供了法律依據(jù)，同時(shí)也為開(kāi)展密評(píng)工作提供了強(qiáng)有力的支撐。

05《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》

2018年6月27日，《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》向社會(huì)公開(kāi)征求意見(jiàn)，其中設(shè)置了密碼管理專章，體現(xiàn)了密碼管理在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的重要作用，明確了網(wǎng)絡(luò)安全等級(jí)保護(hù)密碼管理的主要思路、方式和手段，強(qiáng)調(diào)了網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上系統(tǒng)使用密碼進(jìn)行保護(hù)的義務(wù)，突出了商用密碼應(yīng)用安全性評(píng)估作為等級(jí)保護(hù)密碼管理主要抓手的地位和作用，強(qiáng)化了密碼管理部門(mén)在等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)制定、監(jiān)督檢查、密碼應(yīng)用安全性評(píng)估工作開(kāi)展等方面的職權(quán)，明確規(guī)定了“國(guó)家密碼管理部門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中有關(guān)密碼管理工作的監(jiān)督管理”，還從網(wǎng)絡(luò)安全等級(jí)保護(hù)的事前備案審核、事中應(yīng)用要求，以及事中事后監(jiān)管和法律責(zé)任各環(huán)節(jié)對(duì)密碼管理和應(yīng)用進(jìn)行了規(guī)定。

《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》頒布實(shí)施后，將替代現(xiàn)行的《信息安全等級(jí)保護(hù)管理辦法》，對(duì)我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)行規(guī)范和管理。屆時(shí)，國(guó)家密碼管理局將與公安部等部門(mén)密切配合，依法開(kāi)展密評(píng)工作，并修訂《信息安全等級(jí)保護(hù)商用密碼管理辦法》等配套規(guī)章。

06《信息安全等級(jí)保護(hù)商用密碼管理辦法》

《信息安全等級(jí)保護(hù)商用密碼管理辦法》規(guī)定：“信息安全等級(jí)保護(hù)中使用的商用密碼產(chǎn)品，應(yīng)當(dāng)是國(guó)家密碼管理局準(zhǔn)予銷售的產(chǎn)品”。

為配合《信息安全等級(jí)保護(hù)商用密碼管理辦法》的實(shí)施，進(jìn)一步規(guī)范信息安全等級(jí)保護(hù)商用密碼工作，國(guó)家密碼管理局印發(fā)《信息安全等級(jí)保護(hù)商用密碼管理辦法實(shí)施意見(jiàn)》，規(guī)定“第三級(jí)及以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)建設(shè)方案應(yīng)當(dāng)通過(guò)密碼管理部門(mén)組織的評(píng)審后方可實(shí)施”，“第三級(jí)及以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)，應(yīng)當(dāng)通過(guò)國(guó)家密碼管理部門(mén)指定測(cè)評(píng)機(jī)構(gòu)的密碼測(cè)評(píng)后方可投入運(yùn)行。密碼測(cè)評(píng)包括資料審查、系統(tǒng)分析、現(xiàn)場(chǎng)測(cè)評(píng)、綜合評(píng)估等”，這些制度均明確了信息安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)的商用密碼應(yīng)用要求。

07《電子認(rèn)證服務(wù)密碼管理辦法》

《電子認(rèn)證服務(wù)密碼管理辦法》主要規(guī)定面向社會(huì)公眾提供電子認(rèn)證服務(wù)應(yīng)當(dāng)使用商用密碼，明確了申請(qǐng)電子認(rèn)證服務(wù)使用密碼許可應(yīng)當(dāng)具備的基本條件和程序，對(duì)電子認(rèn)證服務(wù)系統(tǒng)的運(yùn)行和技術(shù)改造等做出了規(guī)定。同時(shí)，要求電子認(rèn)證服務(wù)系統(tǒng)要由具有商用密碼產(chǎn)品生產(chǎn)和密碼服務(wù)能力的單位，按照GM T 0034-2014《基于SM2 密碼算法的證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》的要求承建，并通過(guò)國(guó)家密碼管理局組織的安全性審查。

08《政務(wù)信息系統(tǒng)政府采購(gòu)管理暫行辦法》

2017年12月26日，財(cái)政部印發(fā)的《政務(wù)信息系統(tǒng)政府采購(gòu)管理暫行辦法》第八條規(guī)定：“采購(gòu)需求應(yīng)當(dāng)落實(shí)國(guó)家密碼管理有關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估?！钡谑l規(guī)定：“采購(gòu)人應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定組織政務(wù)信息系統(tǒng)項(xiàng)目驗(yàn)收，根據(jù)項(xiàng)目特點(diǎn)制定完整的項(xiàng)目驗(yàn)收方案。驗(yàn)收方案應(yīng)當(dāng)包括項(xiàng)目所有功能的實(shí)現(xiàn)情況、密碼應(yīng)用和安全審查情況、信息系統(tǒng)共享情況、維保服務(wù)等采購(gòu)文件和采購(gòu)合同規(guī)定的內(nèi)容，必要時(shí)可以邀請(qǐng)行業(yè)專家、第三方機(jī)構(gòu)或相關(guān)主管部門(mén)參與驗(yàn)收。

09《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

2019年12月30 日，《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》發(fā)布，對(duì)國(guó)家政務(wù)信息系統(tǒng)的規(guī)劃、審批、建設(shè)、共享和監(jiān)管做出規(guī)定，其中明確規(guī)定了多項(xiàng)密碼應(yīng)用有關(guān)要求。

政務(wù)信息化項(xiàng)目建設(shè)單位，應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估；按要求向發(fā)改委備案的備案文件應(yīng)當(dāng)包括密碼應(yīng)用方案和密碼應(yīng)用安全性評(píng)估報(bào)告；項(xiàng)目的密碼應(yīng)用和安全審查情況應(yīng)當(dāng)作為項(xiàng)目驗(yàn)收的重要內(nèi)容之一，密碼應(yīng)用安全性評(píng)估報(bào)告應(yīng)當(dāng)作為提交驗(yàn)收申請(qǐng)的必要材料；對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)；國(guó)務(wù)院有關(guān)部門(mén)對(duì)密碼應(yīng)用情況實(shí)施監(jiān)督管理，不符合要求的，視情予以通報(bào)批評(píng)、暫緩安排投資計(jì)劃、暫停項(xiàng)目建設(shè)直至終止項(xiàng)目；國(guó)務(wù)院各部門(mén)應(yīng)當(dāng)嚴(yán)格按要求采用密碼技術(shù)，并定期開(kāi)展密碼應(yīng)用安全性評(píng)估，確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。

——內(nèi)容摘錄自《商用密碼應(yīng)用與安全性評(píng)估》