密码政策知识问答
76
76.问:建设商用密码检测认证体系的意义是什么?
答:商用密码检测认证是商用密码治理体系的重要基础,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设,这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时《密码法》第二十五条还明确了在商用密码检测认证中,自愿检测认证是主要方式。
77
77.问:我国商用密码检测机构和认证机构现状如何?
答:截至年12月,通过审批的商用密码产品检测机构共有3家,开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCI-E密码卡、IPSecVPN安全网关、SSLVPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统、电子文件密码应用系统、可信计算类密码产品等的检测工作,完成了近款产品的密码检测、数百个信息系统的安全性评估。
目前,商用密码领域已有1家专门认证机构。与此同时,有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制,加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流,联合金融领域检测认证机构开展金融系统密码测评和认证,共同推动商用密码检测认证能力提升。
78
78.问:商用密码检测、认证机构应取得什么资质?
答:《密码法》第二十五条规定:商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
按照“放管服”改革要求,《密码法》将商用密码检测、认证机构资质纳入《认证认可条例》规定的认证认可制度体系中,由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。商用密码检测、认证机构应当分别取得商用密码检测、认证机构资质。商用密码检测、认证机构依照《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系,有利于增强商用密码检测认证制度的权威性、统一性。
79
79.问:商用密码检测、认证机构是否应承担保密义务?
答:在从事商用密码检测、认证活动的过程中,由于工作需要,商用密码检测、认证机构能够深入到所检测认证的商用密码产品、服务及其相关产品生产单位、服务提供单位中去,有可能接触到有关商业秘密乃至国家秘密。虽然商用密码检测、认证机构知悉国家秘密和商业秘密的途径是合法的,是在依法或依约定进行检测认证活动的过程中获取的,但是如果将这些秘密泄露给他人,就会损害国家安全和利益,或者损害商业秘密权利人的利益。因此,参照《认证认可条例》的规定,《密码法》第二十五条规定:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
80
80.问:商用密码产品的概念与范围是什么?
答:商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
81
81.问:为什么要对特定商用密码产品实行强制性检测认证制度?
答:《密码法》第二十六条规定:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
对特定商用密码产品实行强制性检测认证,主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码产品是一种专业技术性很强的特殊产品,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,需要通过检测认证的方式对其质量与安全性进行技术把关,规范商用密码产品市场准入。
二是该制度与《网络安全法》规定的网络关键设备和网络安全专用产品强制性检测认证制度衔接一致。涉及国家安全、国计民生、社会公共利益的商用密码产品作为网络关键设备和网络安全专用产品的一部分,依法列入网络关键设备和网络安全专用产品目录,由国家密码管理局会同国家互联网信息办公室、国家认证认可监督管理委员会等部门共同制定目录,共同认定检测、认证机构,共同开展检测认证。
三是强制性检测认证实施范围有限。强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品,并通过制定产品目录明确界定管理范围,不会对市场和产业构成不必要的限制。
82
82.问:商用密码产品检测认证避免重复检测认证的做法有哪些?
答:为充分体现“放管服”改革精神,切实降低企业负担,节约检测认证资源,《密码法》第二十六条规定:商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。具体做法包括:一是制定并公布网络关键设备和网络安全专用产品目录,提高检测认证的透明度,避免适用检测认证制度的产品的重复。二是推动检测认证结果互认,减少某一类产品检测认证项目的重复。
83
83.问:商用密码服务的概念与范围是什么?
答:商用密码服务,是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。典型的商用密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全。密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能的系统的正常运行提供安全管理和维护。
84
84.问:为什么要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?
答:《密码法》第二十六条规定:商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度,主要有两个方面的考虑:一是该制度是维护国家安全和社会公共利益的需要。商用密码服务是一种专业技术性很强的特殊服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益。由于密码功能实现的特殊性,网络关键设备和网络安全专用产品本身合格,并不意味着使用这些产品的商用密码服务就一定是安全的,需要通过认证的方式对其质量与安全性进行技术把关,规范商用密码服务市场准入。二是强制性认证实施范围有限。强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。
85
85.问:关键信息基础设施必须使用商用密码进行保护吗?
答:《密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。
《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。
关键信息基础设施的运营者如果不使用或者不合规正确有效使用商用密码进行保护,将严重威胁关键信息基础设施的安全稳定运行,威胁国家安全和社会公共利益。因此,《密码法》对关键信息基础设施使用商用密码提出明确要求,有效保障关键信息基础设施安全。
86
86.问:商用密码应用安全性评估的目的是什么?
答:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要作用。
商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人,《密码法》要求其履行相应的义务,按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。
87
87.问:商用密码应用安全性评估会造成重复评估、测评吗?
答:为降低关键信息基础设施运营者负担,节约评估、测评资源,《密码法》第二十七条规定:商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。商用密码应用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在内容上有所区分,在实施中统筹考虑、协调开展,相互衔接,避免重复评估、测评。
88.问:为什么对关键信息基础设施的运营者采购涉及商用密码的网络产品
88
88.问:为什么对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度?
答:《密码法》第二十七条规定:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度,主要有以下考虑:一是该制度是维护国家安全和社会公共利益的需要,符合世贸组织规则,也是国际通行做法。国家安全审查可以防止关键信息基础设施因使用的产品和服务存在安全缺陷或隐患而受到攻击、破坏,或者存储的数据资源被窃取、泄露,从而提高关键信息基础设施安全可控水平,有效保障关键信息基础设施安全。二是该制度是《国家安全法》《网络安全法》中明确规定的制度,与《网络安全法》关于网络安全审查制度的规定衔接一致。本条中的“国家安全审查”是网络安全审查的一部分,安全审查由国家互联网信息办公室会同国家密码管理局等有关部门共同组织开展,不存在制度交叉和重复审查问题。
89
89.问:《密码法》对商用密码进出口有哪些规定?
答:《密码法》第二十八条规定:国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
90
90.问:为什么要对商用密码实行进口许可和出口管制?
答:对商用密码实行进口许可和出口管制主要有三个方面的考虑:
一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把“双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,应当对其实行进口许可和出口管制,维护国家安全和社会公共利益。
二是该制度符合世贸组织规则,也是国际通行做法。商用密码是国际公认的两用物项,对其实行进口许可和出口管制,符合世贸组织“安全例外”原则和我国《对外贸易法》的规定,也是国际通行做法。
三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码,出口管制制度仅适用于涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。
91
91.问:大众消费类产品所采用的商用密码是否实行进口许可和出口管制?
答:《密码法》第二十八条规定:大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
大众消费类产品所采用的商用密码,是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。大众消费类产品所采用的商用密码对国家安全、社会公共利益带来的风险较小且可控,对大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,可最大限度减少对贸易的影响。这既是国际社会的通行做法,也符合我国现有商用密码进出口管理实践。
92
92.问:《密码法》中关于电子政务电子认证服务管理的规定是什么?
答:《密码法》第二十九条规定:国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,应当采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估,加强对建设、运维、应用和服务等各环节的行政监管和技术把关,确保其质量与安全性。《密码法》基于维护国家安全和社会公共利益的需要,设立了电子政务电子认证服务机构认定制度。
93
93.问:国家密码管理部门对政务活动中使用电子签名、数据电文的管理要求有哪些?
答:《密码法》第二十九条规定:国家密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。
《电子签名法》第三十五条也规定:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”目前,国家密码管理局依据该条的规定管理政务活动中电子签名、数据电文的使用,制定的GM/T—《数字证书认证系统密码协议规范》、GM/T—《安全电子签章密码检测规范》、GM/T.2—《SM9标识密码算法第2部分:数字签名算法》、GM/T—《安全电子签章密码应用技术规范》等商用密码行业标准,对使用电子签名、数字电文提出了管理要求。
94
94.问:《密码法》对商用密码领域的行业协会等组织作出了哪些规定?
答:《密码法》第三十条规定:商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
95
95.问:建立发展商用密码领域的行业协会等组织有什么意义?
答:《密码法》结合商用密码发展实际,深化商用密码领域“放管服”改革,构建起现代化商用密码治理体系。商用密码治理体系作为一个有机整体,除了各有关管理部门要加强服务和管理外,还需要从业单位、社会组织、公民等各方面共同努力,参与商用密码社会共治。行业协会等组织作为介于密码管理部门和商用密码从业单位之间的社会组织,既是沟通管理部门和从业单位的桥梁与纽带,又是社会多元利益的协调机构,也是实现行业自律、规范行业行为、开展行业服务、保障公平竞争的社会组织,在社会管理、行业治理、行业自律中发挥了重要作用,既大大减少了政府的管理成本,又促进了行业自身的发展,显示了巨大的社会效益。
96
96.问:商用密码领域的行业协会等组织的宗旨是什么?
答:商用密码行业协会等组织代表本行业从业单位的利益,切实为从业单位服务。商用密码行业协会等组织根据授权进行行业统计,掌握国内外行业发展动态,收集、发布行业信息;依照有关规定创办刊物和网站,开展法律、政策、技术、管理、市场等咨询服务;参与行业资质认证、新技术和新产品鉴定及推广等相关工作;组织人才、技术、管理、法规等培训,帮助会员企业提高素质、增强创新能力、改善经营管理;受管理部门委托承办或根据市场和行业发展需要举办交易会、展览会等,为企业开拓市场创造条件。
97
97.问:商用密码领域的行业协会等组织如何发挥桥梁纽带作用?
答:通过积极向密码管理部门反映行业、会员诉求,提出商用密码行业发展和立法等方面的意见和建议,积极参与相关法律法规、宏观调控和产业政策的研究、制定,参与制定修订商用密码国家标准、行业标准和行业发展规划、行业准入条件,完善行业管理,促进行业发展。
98
98.问:目前我国商用密码领域的行业协会等组织发展情况如何?
答:随着我国商用密码的快速发展,商用密码领域的行业协会等组织也在不断发展壮大。截至年12月,北京、天津、上海、江苏、福建、江西、山东、广东、重庆、四川、陕西、深圳等地已经成立了区域性商用密码行业协会。此外,全国性和一些地方性商用密码领域的行业协会等组织也在抓紧建立。这些组织在服务商用密码从业单位、加强行业自律、推动诚信建设、促进产业发展方面发挥了重要的作用。
99
99.问:商用密码行业协会等组织的行业自律职能主要是什么?
答:行业自律是商用密码从业单位为维护共同利益、促进共同发展而开展的订立行业规范、规范行业行为、协调利益关系、维护公平竞争的自我管理、自我约束行为。商用密码行业自律的主要内容是围绕规范商用密码市场秩序,健全各项自律性管理制度,制定并组织实施行业职业道德准则,大力推动行业诚信建设,建立完善行业自律性管理约束机制,规范会员行为,协调会员关系,维护公平竞争的市场环境。
.问:《密码法》关于商用密码事中事后监管制度的要求是什么?
答:《密码法》第三十一条规定:密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度。
《密码法》在商用密码领域深化“放管服”改革,坚持放管结合,在取消一批商用密码行政许可事项的基础上,把更多行政资源从事前审批转到事中事后监管上来,着力构建权责明确、公平公正、公开透明、简约高效的商用密码事中事后监管体系,确保监管“不缺位、不错位、不越位”。
商用密码事中事后监管的实施主体,是密码管理部门和其他涉及商用密码监督管理的有关部门,主要包括市场监管、网信、商务、海关等部门。密码管理部门和有关部门依法开展商用密码事中事后监管,对涉及多个部门的商用密码监管事项,主责部门发挥牵头作用,相关部门协同配合。
原标题:《全民国家安全教育日
密码政策问答(四)》
联系电话: