【政策】重要行业密码应用及密评政策

微信扫码，打开到小程序

重要行业密码应用及密评政策 重要行业密码应用及密评政策 近年来，信息化、网络化、数字化程度不断加深，密码技术已经渗透到了社会生产 生活各个方面，重要网络和信息系统、关键信息基础设施、数字化平台都离不开密 码的保护。我国已在多部法律法规中明确规定了密码应用的要求，包括《密码法》 《网络安全法》《商用密码管理条例(修订草案征求意见稿)》《关键信息基础设施 安全保护条例》《网络安全等级保护条例（征求意见稿）》等。 许多行业主管部门近年也出台了一系列政策文件，对密码应用及商用密码应用安全 性评估提出了明确的要求。特别是 2022 年国务院发布《“十四五”数字经济发展规 划》，各行业进一步加强密码应用工作在行业的落地，切实防范重要信息系统安全 风险，助力网络强国建设。 “十四五”数字经济发展规划 【发布日期】2022 年 1 月 12 日 【发布单位】国务院 摘要：增强网络安全防护能力。强化落实网络安全技术措施同步规划、同 步建设、同步使用的要求，确保重要系统和设施安全有序运行。加强网络 安全基础设施建设，强化跨领域网络安全信息共享和工作协同，健全完善 网络安全应急事件预警通报机制，提升网络安全态势感知、威胁发现、应 急指挥、协同处置和攻击溯源能力。提升网络安全应急处置能力，加强电 信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络 安全防护能力，支持开展常态化安全风险评估，加强网络安全等级保护和 密码应用安全性评估。支持网络安全保护技术和产品研发应用，推广使用 安全可靠的信息产品、服务和解决方案。强化针对新技术、新应用的安全 研究管理，为新产业新业态新模式健康发展提供保障。加快发展网络安全 产业体系，促进拟态防御、数据加密等网络安全技术应用。加强网络安全 宣传教育和人才培养，支持发展社会化网络安全服务。 政务 “十四五”推进国家政务信息化规划 【发布日期】2022 年 1 月 6 日 【发布单位】国家发展改革委 摘要：《规划》作为“十四五”期间统筹安排国家政务信息化工作、规范和指导我国 政务信息化工程建设的纲领性文件，基本原则中提到要坚持网络安全底线思维，强 化网络安全和数据安全，严格保护商业秘密和个人隐私，落实信息安全和信息系统 等级分级保护制度，全面提升政务信息化基础设施、重大平台、业务系统和数据资 源的安全保障能力。 加强网络安全保障。加强数字政府网络安全体系顶层设计，推进国产密码应用，严 格落实等级保护和分级保护制度。强化政务数据安全管理，避免政务数据被违规截 留和商业化使用，建立健全政务信息化工程全过程安全监督机制，明确安全责任边 界，落实网络安全工作责任制，形成跨部门、跨地区条块融合的安全保障工作联动 机制。健全完善政务云服务评估制度，强化政务数据安全保障。 金融 中国人民银行关于推进金融 IC 卡应用工作的意见 【发布日期】2011 年 3 月 11 日 【发文单位】中国人民银行 摘要：中国人民银行对银行机构使用的密码基础设施、金融 IC 卡、网上银行、移 动支付、关键信息系统提出了密码应用要求，要求采用符合国家密码法律法规和标 准要求的密码算法和密码产品，构建安全可控的密码保障体系。2016 年，中国人 民银行会同原中国银行业监督管理委员会发布《银行卡清算机构管理办法》，要求 银行卡清算业务基础设施应满足国家信息安全等级保护要求，使用经国家密码管理 部门认可的商用密码产品。 关于修改〈银行卡清算机构管理办法〉的决定（征求意见稿） 【发布日期】2019 年 12 月 30 日 【发布单位】中国人民银行 中国银行保险监督管理委员会 中国证券监督管理委员会明确提出逐步在网上证券、网上期货、网上基金等业务中 规范密码应用，按照国家法律法规和标准的要求，推广使用合规有效的密码算法和 密码产品。 交通 车联网网络安全和数据安全标准体系建设指南 【发布日期】2022 年 2 月 25 日 【发布单位】工业和信息化部 摘要：总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导 性标准，包括术语和定义、总体架构、密码应用等 3 类标准。 密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应 用、设备密码应用等要求。 交通领域科技创新中长期发展规划纲要（2021—2035 年） 【发布日期】2022 年 3 月 25 日 【发布单位】交通运输部 科技技术部 摘要：围绕全面提升智慧交通发展水平，集中攻克交通运输专业软件和专用系统， 加快移动互联网、人工智能、区块链、云计算、大数据等新一代信息技术及空天信 息技术与交通运输融合创新应用，推动交通运输领域商用密码创新应用，加快发展 交通运输新型基础设施。 能源 “十四五”现代能源体系规划 【发布日期】2022 年 1 月 29 日 【发布单位】国家能源局 网络安全管控。加快推进电力监控系统安全防护体系完善工程、电力信息系统密码 基础设施建设工程、北斗时空基础设施应用及智能化运营体系工程建设，开展北斗 时频网建设，推进重点企业电力北斗综合服务平台建设和终端应用试点。建成电力 行业网络安全态势感知平台和全业务、分布式、高仿真的电力行业网络安全仿真验 证环境。 电力行业网络安全管理办法（修订征求意见稿） 【发布日期】2022 年 6 月 12 日 【发布单位】国家能源局 摘要：电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全 等级保护测评、关键信息基础设施安全检测和风险评估、商用密码应用安全性评估 和网络安全审查等工作，未达到要求的应当及时进行整改。 电力行业网络安全等级保护管理办法（修订征求意见稿） 【发布日期】2022 年 4 月 16 日 【发布单位】国家能源局 摘要：电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、 关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接，避免 重复测评。 工业 工业和信息化领域数据安全管理办法（试行）（征求意见稿） 【发布日期】2022 年 2 月 10 日 【发布单位】工业和信息化部 【数据存储】工业和电信数据处理者应当依据法律规定或者与用户约定的方式和期 限存储数据。存储重要数据的，还应当采用校验技术、密码技术等措施进行安全存 储，不得直接提供存储系统的公共信息网络访问，并实施数据容灾备份和存储介质 安全管理。存储核心数据的，还应当实施异地容灾备份。 水利 “十四五”水利科技创新规划 【发布日期】2021 年 12 月 31 日 【发布单位】水利部 水利关键信息基础设施网络安全技术。开展水利关键信息基础设施网络安全防护体 系研究,构建网络安全监控平台,研制安全可控的水利关键信息基础设施核心装备,并 基于国产密码技术开展数据安全防护研究。研究建立水利关键信息基础设施网络安 全防护体系架构,构建网络空间安全挂图作战一体化监控平台,研制国内领先的水利 关键信息基础设施核心装备,创新发展基于风险管控的数据安全治理方法,提升水利 关键信息基础设施安全防护能力。 医疗 药品监管网络安全与信息化建设“十四五”规划 【发布日期】2022 年 4 月 24 日 【发布单位】国家药监局 摘要：加强网络安全保障管理。完善网络安全保障体系，健全网络安全管理制度， 开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全 保护、密码应用安全性评估等工作。依据《网络安全法》《密码法》等法规，落实 《关键信息基础设施安全保护条例》，贯彻网络安全工作责任制，进一步完善大安 全体系。 重要行业其他密码应用及密评政策要求 教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门，均 制定了本领域密码应用总体规划或工作方案，明确要求使用符合国家密码法律 法规和标准规范的密码算法和密码产品，实现密码在本领域的全面应用。 教育部要求，在教育和科研计算机网、教育管理、教育资源、电子校务、教育 基础数据、教育卡等信息系统，以及面向社会服务的教育政务系统中加强密码 应用。 公安部要求，在信息安全等级保护第三级及以上的网络信息系统、国家级信息 化项目、全国或跨地区联网的网络与信息系统、公安信息网基础设施、面向社 会服务的政务信息系统中加强密码应用。 财政部印发《政务信息系统政府采购管理暂行办法》，要求采购需求应当落实 国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、 同步运行密码保障系统并定期进行评估。 住房和城乡建设部要求，在城市基础设施信息系统、面向社会服务的政务信息 系统、行业性业务系统和办公系统中加强密码应用。 交通运输部要求，在高速公路不停车电子收费系统（ETC）、交通一卡通系统、 联网售票系统、出行服务系统、运政管理系统、地理信息系统等领域加强密码 应用。中国铁路总公司要求，在铁路基础网络、重要信息系统、公众服务平台 等领域加强密码应用。 水利部要求，在重要水利枢纽、重要水文水利系统中加强密码应用。国务院三 峡办要求，在三峡水利枢纽工业控制系统中加强密码应用。 原国家卫生计生委要求，建设卫生计生行业密码应用基础设施，在人口健康信 息平台、卫生计生行业重要信息系统中加强密码应用。 原国家工商总局要求，在工商部门面向社会服务的信息系统中，加快推进基于 密码的网络信任、安全管理和运行监管体系建设，规范密码应用。 国家能源局要求，在电力系统、核电厂、石油天然气、油气管道等重要信息系 统和重要工业控制系统中加强密码应用。 原国家测绘地理信息局要求，在卫星导航基准站、面向社会服务的测绘地理信 息政务系统中加强密码应用。