11月15日,国家密码管理局发布《关键信息基础设施商用密码使用管理规定(征求意见稿)》(以下简称“《规定》”),公开征求意见。
《规定》 旨在规范关键信息基础设施商用密码的使用,确保其安全性和有效性,该规定的目的是加强关键信息基础设施的安全保护,确保商用密码的有效应用,从而维护国家安全和公共利益。通过明确商用密码的使用和管理要求,为关键信息基础设施的运营者提供法律和技术指导,减少安全风险。
征求意见稿共26条。第1条至第4条规定了起草目的依据、适用范围,管理部门和保护工作部门的职责。第5条至第8条强化运营者责任,包括运营者总体责任以及制度保障、人员保障、经费保障。
第9条至第15条明确了商用密码使用具体要求,包括商用密码技术、产品、服务使用要求,数据安全保护、个人信息保护要求,规划、建设、运行等阶段要求以及过渡安排,商用密码应用安全性评估要求。
第16条至第23条为监督检查和法律责任,包括运行安全管理、监督检查、保密义务,以及相关违法情形与法律责任。第24条至第26条规定了激励措施、制度衔接和施行日期。
(一)制定《规定》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。《中华人民共和国密码法》提出了“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”的要求。《商用密码管理条例》进一步明确关键信息基础设施“同步规划、同步建设、同步运行商用密码保障系统”,以及依法依规使用商用密码技术、产品、服务等要求。《关键信息基础设施安全保护条例》明确“关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定”。有必要制定《规定》,按照商用密码依法管理要求,细化关键信息基础设施商用密码使用管理要求。
(二)制定《规定》是保护关键信息基础设施安全的重要举措。目前,关键信息基础设施运营者已经开始开展商用密码相关建设,但由于缺乏管理法规制度的具体指导和约束,部分网络与信息系统建设未深入分析商用密码使用需求并体系化加以解决,机械堆叠商用密码产品,或者简单实施外挂式、补丁式改造,商用密码应用的合规性、正确性、有效性难以保证;个别网络与信息系统仍然使用未经检测认证合格的商用密码产品、服务或者未经审查鉴定的商用密码技术,存在较大安全隐患。有必要制定《规定》,规范关键信息基础设施商用密码使用,保护关键信息基础设施安全。
(三)制定《规定》是进一步满足关键信息基础设施安全保护需求的实践需要。关键信息基础设施保护工作部门指导关键信息基础设施运营者按照密码管理相关法律法规要求开展商用密码使用工作的过程中,结合实践提出了一系列意见建议,包括进一步明确制度、人员、经费保障等方面的依据,规划、建设、运行等各阶段的要求,运行安全管理、监督检查等职责,与网络安全等级保护、关键信息基础设施安全保护、数据安全保护、个人信息保护等工作的关系等。有必要制定《规定》,明确法规依据、细化制度规定,推进有关工作要求更加精准落地实施。
点击阅读原文可下载《关键信息基础设施商用密码使用管理规定(征求意见稿)》全文
https://www.oscca.gov.cn/sca/hdjl/2024-11/15/content_1061217.shtml