商用密码管理条例的修订是我国密码管理领域的一项重大制度更新。修订后的条例顺应了密码技术快速发展和密码应用广泛普及的趋势,在管理制度、检测认证、应用推进、科技创新
商用密码管理条例的修订是我国密码管理领域的一项重大制度更新。修订后的条例顺应了密码技术快速发展和密码应用广泛普及的趋势,在管理制度、检测认证、应用推进、科技创新、监督管理等方面进行了全面完善。对于需要使用密码技术保护数据安全的企业而言,理解这些修订要点具有重要的实际意义。
一、修订的核心背景
原商用密码管理条例实施多年,部分条款已经不能适应技术发展和产业需求。一方面,密码技术本身发生了深刻变化,国产密码算法体系日趋成熟,密码应用领域不断拓展。另一方面,数据安全法和个人信息保护法的实施对密码应用提出了新的要求。在此背景下,条例的修订显得尤为必要。
二、主要修订条款解读
修订一,简化了商用密码的行政审批制度。将原来的品种和型号审批制度改为检测认证制度,减少了行政干预,降低了企业的合规成本。生产商用密码产品的企业不再需要逐一取得型号批准,而是通过检测认证的方式证明产品的合规性。
修订二,完善了商用密码的检测认证体系。明确了检测认证机构的资质条件和职责要求,建立了统一的商用密码检测认证制度。这有利于提升检测认证的公信力和有效性,也为企业选择合规的密码产品提供了清晰的判断标准。
修订三,强化了关键信息基础设施的密码应用要求。要求关键信息基础设施运营者使用商用密码进行保护,并开展密码应用安全性评估。未达到要求的,不得投入运行或继续运行。
修订四,加强了商用密码的科技创新支持。鼓励密码技术的自主创新,支持密码基础研究和前沿技术研究。这为密码产业的长期健康发展奠定了制度基础。
修订五,明确了密码应用安全性评估的要求。对法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施和信息系统,提出开展密码应用安全性评估的具体要求。
三、对企业密码应用管理的启示
修订后的条例对企业的密码应用管理提出了新的启示。首先,企业应当将密码合规纳入整体数据安全管理体系,确保密码产品的使用符合检测认证要求。其次,对于关键信息基础设施和重要信息系统的密码应用,需要进行定期的安全性评估。再次,企业应当关注国产密码算法的应用推广,逐步完成向商用密码的迁移工作。
北京企密安在帮助企业落实商用密码管理要求方面提供了全流程的专业服务。从密码应用现状评估、密码方案设计到密码应用安全性评估,北京企密安协助企业建立起符合条例要求的密码应用管理体系。
四、密码安全性评估的实施要点
密码应用安全性评估是修订后条例引入的重要制度。评估的核心内容包括密码算法的合规性、密码技术的有效性、密码管理的规范性等多个方面。企业开展密码应用安全性评估时,需要注意以下几个要点。一是确认使用的密码算法和密码产品是否属于国家认可的商用密码目录范围。二是检查密码技术部署是否满足业务系统的安全需求,是否存在密码算法使用不当的问题。三是评估密码管理制度是否覆盖了密钥生成、分发、存储、使用、销毁等全生命周期环节。四是确认密码应用安全管理制度是否与企业的整体安全管理体系有效衔接。
五、过渡期安排与建议
条例修订后设置了合理的过渡期安排,为企业适应新要求提供了缓冲时间。企业可以利用过渡期,系统梳理自身的密码应用现状,识别与修订条例要求之间的差距,制定整改计划并逐步实施。
FAQ
问:企业目前使用的国际算法密码产品是否还能继续使用? 答:条例鼓励优先使用商用密码,但对于已经部署的国际算法密码产品,企业可以在过渡期内逐步完成向商用密码的迁移。具体的时间安排应参考行业主管部门的指导文件。
问:密码应用安全性评估的频率是多久一次? 答:对于关键信息基础设施,密码应用安全性评估每年至少进行一次。对于其他要求使用商用密码的系统,评估频率可以根据风险评估结果自行确定,但建议至少每两年进行一次。
如您希望在商用密码管理方面获得进一步的指导,欢迎联系北京企密安获取专业咨询官网:baomiwang.com。
