文章总结: 该文档汇编了1999年至2025年期间中国商用密码管理相关政策解读与问答,涵盖《商用密码管理条例》《电子签名法》等法规解读,明确商用密码专控管理、使用范围限制、合规要求及违规处罚措施,为商用密码应用提供政策依据和操作指引。 综合评分: 85 文章分类: 政策法规,数据安全,网络安全,安全建设,技术标准
密码政策问答与政策解读汇编
god_mellon god_mellon
瓜神网络安全&分享
2026年5月18日 14:28 北京
在小说阅读器读本章
去阅读
整理了一下密码政策问答,有需要的文末获取****
密码政策问答与政策解读汇编
(1999年10月—2025年10月)
天津市密码管理局
目录
第一部分政策解读
- 促进我国商用密码健康有序发展——国家密码管理委员会办公室负责人答记者问
- 严格执行《条例》 管好用好商用密码
- 《电子签名法》相关概念介绍
- 电子认证服务管理法律制度简介
- 《电子认证服务密码管理办法》问题解答
- 《国家密码管理局规章制定程序规定》解读
- 《网络安全审查办法》答记者问
- 《商用密码应用安全性评估管理办法》解读
- 《商用密码检测机构管理办法》解读
- 《电子政务电子认证服务管理办法》解读
- 《关键信息基础设施商用密码使用管理规定》解读
- 国家密码管理局负责人就《电子印章管理办法》答记者问
第二部分密码政策问答
密码政策问答(一)至(二十一): 2020-01-06 至 2020-01-27 密码政策问答(二十二)至(四十一): 2020-01-28 至 2020-02-16 密码政策问答(四十二)至(六十一): 2020-02-17 至 2020-03-07 密码政策问答(六十二)至(八十一): 2020-03-08 至 2020-03-27 密码政策问答(八十二)至(一百零一): 2020-03-28 至 2020-04-16 密码政策问答(一百零二)至(一百二十一): 2020-04-17 至 2020-05-06
第一部分政策解读
促进我国商用密码健康有序发展——国家密码管理委员会办公室负责人答记者问
发布日期:1999-10-16 来源:新华社
原文链接:https://www.oscca.gov.cn/sca/xxgk/1999-10/16/content_1002409.shtml
新华社北京10月16日电 国务院近日颁布了《商用密码管理条例》。日前,本社记者就有关问题采访了国家密码管理委员会办公室负责人。
问:为什么要制定和颁布《商用密码管理条例》?
答:随着我国社会、经济活动信息化的飞速发展,信息的安全问题日益突出。采用密码技术对信息进行加密保护和安全认证,是保护信息安全的有效技术手段。为了适应社会发展的需要,满足不涉及国家秘密的信息使用密码技术进行保护的要求,我国决定发展商用密码。为使商用密码真正起到利国利民的作用,更好地为我国社会主义现代化建设服务,国家必须对商用密码的发展加以管理。制定和颁布《商用密码管理条例》,就是要使商用密码的发展和管理步入法制化轨道,使我国的商用密码健康有序发展。
问:国家为什么要对商用密码产品的科研、生产、销售和使用实行专控管理?
答:商用密码产品是保护不涉及国家秘密的信息安全的工具,是国家专控的特殊产品。特殊产品就要特殊管理。要由指定的单位按照统一的技术规范研制,确保商用密码产品的安全性、可靠性和互通性。商用密码产品的销售也要控制在一定的范围,不能像普通商品一样,在市场上随意销售。要防止不法分子利用商用密码从事违法犯罪、危害社会治安和损害他人权益的活动。对商用密码产品的科研、生产、销售和使用实行专控管理,可以防止商用密码的发展出现混乱局面。这对国家、对使用商用密码的单位和个人都是有利的,对研制和销售商用密码产品的单位的权益也是一种保障。对商用密码实行专控管理的同时,仍然要引入社会主义市场经济的竞争机制,以利商用密码的技术进步和商用密码事业的发展。
问:哪些人可以使用商用密码?
答:发展商用密码的目的是为了满足使用。为使社会和经济活动中各种不涉及国家秘密的敏感信息得到有效的保护,国家允许各行各业及个人使用商用密码保护本组织或公民个人的信息安全。因此,《商用密码管理条例》中对使用商用密码的主体资格没有做出严格的限制。也就是说,一切经济、文化、科技、商贸、金融、行政等部门、企业事业单位、组织和公民个人,只要是需要或出于合理、正当的理由,都可以使用商用密码。
问:《商用密码管理条例》中规定不得使用自行研制的或者境外生产的密码产品是基于什么情况考虑的?
答:商用密码产品是一种特殊产品。定点研制和生产商用密码,是国家确定的发展和管理商用密码的基本方针。自行研制的密码产品,是指为满足本系统、本单位或个人的使用需要,未经国家密码管理机构批准而研制和使用的密码及其产品。未经国家密码管理机构审查、鉴定,自行研制、使用商用密码,其保密安全性能不仅没有保证,而且还会把国家密码管理秩序搞乱,给不法分子提供可乘之机。使用境外生产的密码产品,同样也存在不安全的问题。使用这样的密码,不仅会危害使用者的利益,甚至会危害到国家的利益和安全,其后果是严重的。从维护国家利益和安全的高度考虑,同时,也为防止非法使用密码或利用密码从事危害社会的犯罪活动,《商用密码管理条例》明确规定不得使用自行研制的或者境外生产的密码产品是完全必要的。
问:国家颁布《商用密码管理条例》前已自行研制使用或者引进使用境外的密码设备怎样处理?
答:因为不了解国家关于商用密码政策和规定,在《商用密码管理条例》颁布前,已自行研制、使用密码及其产品或已购买使用境外密码设备的单位,要如实向国家密码管理机构报告。国家密码管理机构将根据实际情况作出适当的安排,限期更换经国家认可的商用密码产品。未经批准进行商用密码研制、销售的单位也要如实向国家密码管理机构报告,办理申报审批手续。违反《商用密码管理条例》隐瞒不报,并继续从事商用密码产品经营、使用的,将按《商用密码管理条例》的有关规定进行查处。
──────────────────────────────────────────────────
严格执行《条例》管好用好商用密码
发布日期:2005-04-19 来源:人民日报
原文链接:https://www.oscca.gov.cn/sca/xxgk/2005-04/19/content_1002405.shtml
国务院制定颁布的《商用密码管理条例》,是我们党和国家密码事业发展历史上的一个里程碑。它不仅标志着密码应用开始走向社会,进入市场,拓展了更加广阔的服务领域,而且标志着商用密码的使用和管理从一起步就走入了法制轨道,坚定地贯彻了党和国家关于依法治国、建设社会主义法治国家的方针大略。《条例》的颁布和施行,将有力推动国家商用密码事业的健康发展,促进商用密码更好地为国家经济建设和社会主义现代化事业服务,具有十分重要的意义。
大力发展和严格管理商用密码,既是国民经济建设发展的需要,也是保护国家利益和安全、保护各类经济组织的利益和安全、保护公民个人合法利益和安全的需要。事实已经证明,无论是在革命战争年代,还是在和平建设时期,党的密码工作在保护党和国家秘密方面都发挥了不可替代的作用,作出了突出贡献。随着我国改革开放的不断深入和社会主义市场经济体制的逐步建立,社会经济活动信息化进程不断加快,国家经济、管理以及社会事务等方面的有价值信息在存储和传输过程中的安全问题日益突出。信息就是财富,安全才有价值。由于商用密码是保护这类信息安全的最可靠技术手段,所以采用商用密码保护非国家秘密信息安全的要求日益强烈。这是时代对发展商用密码的需要。另一方面,密码技术本身属于国家秘密,又需要加以严格管理和控制。否则,任其无序开发、生产和经营,或者盲目引进,不仅会造成商用密码使用和管理上的混乱,不利于保护国家、组织及公民的合法权益,而且还会留下诸多隐患。为此,党中央决定,大力发展商用密码的开发使用,同时加强对商用密码的严格管理,确定对商用密码实行统一领导,集中管理,定点研制,专控经营,满足使用的方针,并明确提出了商用密码发展和管理方面的有关具体政策、原则和措施。所有这些,为商用密码的发展和管理指明了方向,提供了理论依据。
国务院颁布的《条例》,将党中央、国务院关于商用密码工作的一系列方针、政策和原则以国家行政法规的形式确定下来,并总结吸取了我国发展和管理商用密码的实践经验,是我国发展和管理商用密码的法律武器。《条例》集中体现了党中央、国务院关于发展和管理商用密码的决定的精神,科学界定了商用密码的定义,明确规定了加强商用密码管理的目的、范围、基本原则、罚则、主管及委托分管的组织机构,并对商用密码产品的科研、生产、销售、使用等具体环节的管理措施都作了明确规定。《条例》坚持了把加强商用密码的管理同促进商用密码事业的发展有机地结合起来,兴利除弊,宽严适度,科学管理,有利发展的指导思想,既立足于保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,又着眼于适应社会主义市场经济发展的需要,具有很强的可操作性。我们坚信,《条例》的颁布和施行,必将在我国商用密码事业的发展过程中发挥重要作用,推动商用密码管理工作沿着法制化的轨道健康有序地发展。同时也要看到,商用密码进入社会、走向市场,在我国毕竟是个新事物,如何开发、使用和管理,无论对主管部门还是对广大群众来说都是一个新课题,认识和完善还需要一个实践过程。《条例》作为国家行政法规颁布施行,不仅要求大家共同遵守、严格执行,还需要有关部门的通力协作,以确保法规的贯彻落实。国家密码主管部门,也应在依法管理实践的基础上,进一步总结积累经验,抓紧研究制定与《条例》相配套的有关专项管理规定,使国家对商用密码的法制化管理体系更加臻于完善。
──────────────────────────────────────────────────
《电子签名法》相关概念介绍
发布日期:2005-11-18 来源:国家密码管理局
原文链接:https://www.oscca.gov.cn/sca/xxgk/2005-11/18/content_1002870.shtml
【说明:本文档来自外部链接,内容无法直接获取。请访问原文链接查看完整内容。】
原文链接:https://www.oscca.gov.cn/sca/xxgk/2005-11/18/content_1002870.shtml
──────────────────────────────────────────────────
电子认证服务管理法律制度简介
发布日期:2005-11-18 来源:国家密码管理局
原文链接:https://www.oscca.gov.cn/sca/xxgk/2005-11/18/content_1002871.shtml
【说明:本文档来自外部链接,内容无法直接获取。请访问原文链接查看完整内容。】
原文链接:https://www.oscca.gov.cn/sca/xxgk/2005-11/18/content_1002871.shtml
──────────────────────────────────────────────────
《电子认证服务密码管理办法》问题解答
发布日期:2018-11-14 来源:国家商用密码管理办公室
原文链接:https://gmj.tj.gov.cn/ZCFG0/zcjd/202109/t20210914_5594771.html
1、为什么要制定《电子认证服务密码管理办法》?
答:《电子签名法》规定,提供电子认证服务,应事先取得国家密码管理机构同意使用密码的证明文件,实质上是把国家密码管理机构出具同意使用密码的证明文件作为电子认证服务许可的一项前置性审批,属于行政许可事项。为贯彻实施《电子签名法》,正确履行《电子签名法》赋予的密码管理职责,方便电子认证服务提供者申请同意使用密码的证明文件,规范电子认证服务提供者使用密码的行为,特制定《电子认证服务密码管理办法》,对相关事项作出明确规定。
2、《电子认证服务密码管理办法》的主要内容是什么?
答:《电子认证服务密码管理办法》共十四条,主要规定了面向社会公众提供电子认证服务应使用商用密码,明确了电子认证服务提供者申请”国家密码管理机构同意使用密码的证明文件”的条件和程序,同时也对电子认证服务系统的运行和技术改造等做出了相应规定。
3、为什么《电子认证服务密码管理办法》规定使用商用密码?
答:《商用密码管理条例》第二条规定,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。也就是说,对不涉及国家秘密内容的信息进行加密保护或者安全认证应当使用商用密码。电子认证服务提供者提供电子认证服务,其核心是采用密码技术。根据《电子签名法》,电子认证服务提供者面向社会公众提供服务,不涉及国家秘密信息,因此,《电子认证服务密码管理办法》规定提供电子认证服务使用商用密码。
4、”国家密码管理机构同意使用密码的证明文件”的具体形式是什么?
答:《电子签名法》规定,提供电子认证服务,应事先取得”国家密码管理机构同意使用密码的证明文件”。《电子认证服务密码管理办法》规定”国家密码管理机构同意使用密码的证明文件”的具体形式为《电子认证服务使用密码许可证》。同意电子认证服务提供者使用密码的,国家密码管理局发给《电子认证服务使用密码许可证》。
5、申请《电子认证服务使用密码许可证》的条件是什么?
答:申请《电子认证服务使用密码许可证》应具备四个条件:一是具有符合《证书认证系统密码及其相关安全技术规范》的电子认证服务系统;二是电子认证服务系统由具有商用密码产品生产资质的单位承建;三是电子认证服务系统采用的商用密码产品是国家密码管理局认定的产品;四是电子认证服务系统通过国家密码管理局安全性审查。其实质是先由商用密码产品生产定点单位承建一个符合《证书认证系统密码及其相关安全技术规范》、并通过安全性审查的电子认证服务系统,然后再申请《电子认证服务使用密码许可证》。
6、申请《电子认证服务使用密码许可证》的程序是什么?
答:电子认证服务提供者应在其电子认证服务系统建设完成并通过国家密码管理局的安全性审查后,向所在地的省(区、市)密码管理机构提出使用密码的申请。省(区、市)密码管理机构受理申请后将全部申请材料报国家密码管理局,由国家密码管理局做出是否许可的决定,并将结果通知省(区、市)密码管理机构,再由省(区、市)密码管理机构将审批结果告知申请人。
7、申请《电子认证服务使用密码许可证》应提交什么材料?
答:申请《电子认证服务使用密码许可证》应提交下列材料:(一)使用密码的书面申请;(二)企业法人营业执照或者企业名称预先核准通知书(复印件);(三)电子认证服务系统通过安全性审查的通知(复印件)。
8、为什么《电子认证服务密码管理办法》中要求电子认证服务系统的建设和运行要符合《证书认证系统密码及其相关安全技术规范》?
答:《证书认证系统密码及其相关安全技术规范》是国家密码管理局根据国家密码管理政策法规和密码安全的技术要求,组织制定的针对证书认证系统建设和运行的密码技术规范,经实践证明是科学可行的。施行《证书认证系统密码及其相关安全技术规范》,有利于电子认证服务系统建设的科学化和规范化,有利于保障电子认证服务系统的安全运行,有利于实现电子认证服务系统的互相认证。
9、电子认证服务提供者对其电子认证服务系统进行技术改造应到国家密码管理机构履行什么手续?
答:电子认证服务提供者应当确保电子认证服务系统的安全,系统运行中应始终符合《证书认证系统密码及其相关安全技术规范》的要求,不得擅自对电子认证服务系统进行技术改造。电子认证服务提供者如需对其电子认证服务系统进行技术改造,应在实施改造前将具体方案报国家密码管理局备案,系统改造完成后向国家密码管理局申请安全性审查,通过审查的方可投入运行。
10、《电子认证服务密码管理办法》对擅自改造电子认证服务系统的行为如何处罚?
答:《电子认证服务密码管理办法》第十条规定,电子认证服务提供者擅自对其电子认证服务系统进行技术改造的,由国家密码管理局责令改正,并根据不同情况,向信息产业主管部门提出处罚建议。
11、《电子认证服务密码管理办法》施行前建设并已经通过国家密码管理机构技术鉴定的电子认证服务系统是否需要重新申请安全性审查?
答:《电子认证服务密码管理办法》施行前建设的电子认证服务系统,如果已经通过了国家密码管理机构的技术鉴定,并且符合《证书认证系统密码及其相关安全技术规范》的,不需要重新申请安全性审查。电子认证服务提供者可以持书面申请直接领取《电子认证服务使用密码许可证》。
──────────────────────────────────────────────────
《国家密码管理局规章制定程序规定》解读
发布日期:2021-12-23 来源:国家密码管理局
原文链接:https://gmj.tj.gov.cn/ZCFG0/zcjd/202112/t20211231_5767626.html
根据《中华人民共和国立法法》、《中华人民共和国密码法》和《规章制定程序条例》等法律法规,国家密码管理局研究制定了《国家密码管理局规章制定程序规定》(国家密码管理局令第1号),现就有关内容解读如下:
一、制定的必要性
《密码法》第四十二条明确规定:国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。随着《密码法》的颁布实施,特别是新修订的《商用密码管理条例》即将出台,亟需依照《密码法》等法律、行政法规,针对密码生产、销售、服务、进出口、检测认证等环节,制定公布一系列密码管理规章,及时补充、细化法律、行政法规的相关规定,增强密码法律法规的可操作性。
二、总体思路
《规定》的制定按照《规章制定程序条例》要求,研究借鉴国务院有关部门规章制定程序规定,结合工作实际,注重合法性、兼容性和可操作性,力求做到内容完备、程序周密。主要体现了以下三方面思路:一是坚持党管密码;二是坚持依法立法;三是坚持问题导向。
三、主要内容
《规定》共24条,主要内容包括:(一)总体要求;(二)立项;(三)起草;(四)审查;(五)审议和公布;(六)其他事项。
──────────────────────────────────────────────────
《网络安全审查办法》答记者问
发布日期:2022-01-04 来源:国家互联网信息办公室等十三部门
原文链接:https://gmj.tj.gov.cn/ZCFG0/zcjd/202206/t20220629_5920520.html
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订了《网络安全审查办法》,自2022年2月15日起施行。国家互联网信息办公室主要负责人就相关问题回答了记者的提问。
问:请简要介绍《办法》修订背景?
答:网络安全审查是网络安全领域的重要法律制度。原《办法》自2020年6月1日施行以来,通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。
2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度。我们据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。
问:网络平台运营者赴国外上市申报网络安全审查,可能的结果有几类?
答:对外开放是我国的基本国策,我们始终支持境内企业依法依规合理利用境外资本市场融资发展。《办法》明确掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
问:如何理解网络安全审查中涉及的数据处理活动?
答:根据《数据安全法》,数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动,影响或者可能影响国家安全的情形。
问:网络平台运营者何时申报赴国外上市网络安全审查?
答:网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。
──────────────────────────────────────────────────
《商用密码应用安全性评估管理办法》解读
发布日期:2023-10-07 来源:国家密码管理局
原文链接:https://gmj.tj.gov.cn/ZCFG0/zcjd/202310/t20231008_6423888.html
根据《中华人民共和国密码法》、《商用密码管理条例》等法律法规,国家密码管理局研究制定了《商用密码应用安全性评估管理办法》(国家密码管理局令第3号),现就有关内容解读如下:
一、制定的必要性
商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。随着《密码法》颁布实施,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理,新修订的《条例》第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求。
二、总体思路
《办法》的制定细化《密码法》、《条例》关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求,吸收继承商用密码应用安全性评估试点经验做法,结合工作实际,注重合法性、合理性和可操作性,力求做到内容完备、逻辑严密。
三、主要内容
《办法》共21条。主要内容包括:(一)总体要求;(二)程序及内容要求;(三)实施规范;(四)监督检查及法律责任;(五)其他事项。
──────────────────────────────────────────────────
《商用密码检测机构管理办法》解读
发布日期:2023-10-07 来源:国家密码管理局
原文链接:https://gmj.tj.gov.cn/ZCFG0/zcjd/202310/t20231008_6423892.html
根据《中华人民共和国密码法》、《商用密码管理条例》等法律法规,国家密码管理局研究制定了《商用密码检测机构管理办法》(国家密码管理局令第2号),现就有关内容解读如下:
一、制定的必要性
(一)制定《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。
(二)制定《办法》是深化行政审批制度改革、优化营商环境的重要举措。
(三)制定《办法》是规范商用密码检测机构管理的迫切需要。
二、总体思路
《办法》的制定细化《密码法》、《条例》关于商用密码检测机构许可、从业、监管等方面要求,研究借鉴有关检验检测机构管理规定,结合工作实际,注重合法性、合理性和可操作性,力求做到内容完备、逻辑严密。
三、主要内容
《办法》共29条。主要内容包括:(一)总体要求;(二)资质认定条件和程序;(三)从业规范;(四)监督检查及法律责任;(五)其他事项。
──────────────────────────────────────────────────
《电子政务电子认证服务管理办法》解读
发布日期:2024-09-10 来源:国家密码管理局
原文链接:https://www.oscca.gov.cn/sca/xxgk/2024-09/10/content_1061205.shtml
根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等法律法规,国家密码管理局研究制定了《电子政务电子认证服务管理办法》(国家密码管理局令第4号),现就有关内容解读如下:
一、制定的必要性
(一)制定《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。
(二)制定《办法》是深化行政审批制度改革、优化营商环境的重要举措。
(三)制定《办法》是规范电子政务电子认证服务机构管理的迫切需要。
二、总体思路
《办法》制定主要体现了以下三方面思路:(一)坚持依法管理;(二)突出问题导向;(三)创新监管制度。
三、主要内容
《办法》分为总则、资质认定、行为规范、监督管理、法律责任和附则六章,共42条。
详见原文链接:https://www.oscca.gov.cn/sca/xxgk/2024-09/10/content_1061205.shtml
──────────────────────────────────────────────────
《关键信息基础设施商用密码使用管理规定》解读
发布日期:2025-06-27 来源:国家密码管理局
原文链接:https://www.oscca.gov.cn/sca/xxgk/2025-06/27/content_1061271.shtml
根据《中华人民共和国密码法》、《商用密码管理条例》等法律法规,国家密码管理局会同国家互联网信息办公室、公安部,研究制定了《关键信息基础设施商用密码使用管理规定》(国家密码管理局、国家互联网信息办公室、公安部令第5号),现就有关内容解读如下:
一、制定的必要性
(一)制定《规定》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。
(二)制定《规定》是保护关键信息基础设施安全的重要举措。
(三)制定《规定》是进一步满足关键信息基础设施安全保护需求的实践需要。
二、总体思路
《规定》的制定细化《中华人民共和国密码法》、《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求,明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务。
三、主要内容
《规定》共25条。主要内容包括:(一)总体要求;(二)运营者责任;(三)商用密码使用具体要求;(四)监督检查及法律责任;(五)其他事项。
详见原文链接:https://www.oscca.gov.cn/sca/xxgk/2025-06/27/content_1061271.shtml
──────────────────────────────────────────────────
国家密码管理局负责人就《电子印章管理办法》答记者问
发布日期:2025-10-10 来源:新华社
原文链接:https://www.gov.cn/zhengce/202510/content_7043744.htm
新华社北京10月9日电 日前,国务院办公厅印发《电子印章管理办法》,自印发之日起正式施行,对电子印章管理和应用活动进行了规范。国家密码管理局负责人就《办法》相关问题回答了记者提问。
1.问:请简要介绍一下《办法》制定的背景。
答:电子印章是基于密码技术和相关数字技术表征印章的特定格式数据,用于实现电子文件的可靠电子签名。随着网络强国、数字中国建设深入推进,电子印章在政务活动和经济社会发展中的应用日益广泛。同时,由于缺乏国家层面的统筹规范,电子印章仍不同程度存在法律效力不强、管理主体不明晰、标准规范不健全等问题,特别是跨地区跨部门电子印章仍难以互信互认。
2.问:制定《办法》的总体思路是什么?
答:在《办法》的制定过程中主要把握以下几点:一是坚持问题导向;二是坚持系统观念;三是坚持守正创新。
3.问:《办法》对电子印章的法律效力是怎么规定的?
答:电子印章实质是运用密码技术实现电子文件的可靠电子签名。《中华人民共和国电子签名法》明确可靠的电子签名与手写签名或者盖章具有同等的法律效力,据此,《办法》规定符合本办法规定的电子印章与实物印章具有同等法律效力。
4.问:《办法》关于电子印章管理涉及的职能部门职责分工是怎么规定的?
答:《办法》对国家密码管理局、国务院办公厅、工业和信息化部等在电子印章管理工作中的职责予以明确。
5.问:单位(组织)申领电子印章有哪些环节?
答:具体内容请参阅原文。
──────────────────────────────────────────────────
第二部分密码政策问答
密码政策问答(一百二十一)
发布日期:2020-05-06 来源:国家密码管理局
问:《密码法》从何时开始施行?
答:《密码法》第四十四条规定:本法自2020年1月1日起施行。
法律的施行日期,即法律的生效日期,是一部法律的重要组成部分。《立法法》第五十七条规定,法律应当明确规定施行日期。为了给法律的实施留出一定的准备时间,我国多数法律都规定法律公布一段时间后的一个具体日期作为法律的施行日期,《密码法》亦采用这一方式。
──────────────────────────────────────────────────
密码政策问答(一百二十)
发布日期:2020-05-05 来源:国家密码管理局
问:《密码法》对于解放军和武警部队密码立法做了什么样的规定?
答:《密码法》第四十三条规定:中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。
中央军事委员会是国家的最高军事机关,按照《立法法》规定,中央军事委员会根据宪法和法律制定军事法规。
中国人民解放军和中国人民武装警察部队的密码工作作为密码工作的重要组成部分,有其自身的特点和规律,法律规定由中央军事委员会根据本法的基本精神,结合解放军和武警部队自身实际,对解放军和武警部队的密码工作作出全面、系统的规定。
──────────────────────────────────────────────────
密码政策问答(一百一十九)
发布日期:2020-05-04 来源:国家密码管理局
问:国家密码管理部门将建立什么样的密码法律制度体系?
答:《密码法》颁布实施后,国家密码管理局将深入贯彻落实党中央全面依法治国基本方略,在国家安全法治建设的总体框架下进一步推进密码法律制度体系建设,加强顶层设计和整体规划,按照党管密码、科学立法、民主立法的原则,统筹推进《商用密码管理条例》等配套行政法规、规章的制修订工作,及时制定出台一系列与《密码法》相互协调和衔接的规章,确保密码法规规章符合《密码法》确定的立法原则和基本制度,全方位扎紧织密法律制度的笼子,建立一个以《密码法》为核心,以《商用密码管理条例》等行政法规为基础,以核心密码、普通密码、商用密码等方面的规章和规范性文件为分支,权责明确、功能互补、协调一致的密码法律制度体系。
──────────────────────────────────────────────────
密码政策问答(一百一十八)
发布日期:2020-05-03 来源:国家密码管理局
问:《密码法》关于密码管理规章制定权做了什么样的规定?
答:《密码法》第四十二条规定:国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。
本条明确了国家密码管理部门的规章制定权。《密码法》是密码工作的基本法律,针对密码和网络信息技术发展日新月异的突出特点,《密码法》中对密码管理制度只作了原则性规定。《密码法》出台后,国家密码管理局需要依照《密码法》等相关法律、行政法规,针对密码生产、销售、服务、进出口、检测认证等环节,制定公布一系列密码管理规章,及时补充、细化法律、行政法规的相关规定,增强密码法律法规的可操作性。
──────────────────────────────────────────────────
密码政策问答(一百一十七)
发布日期:2020-05-02 来源:国家密码管理局
问:《密码法》对违反本法行为的刑事责任和民事责任做了什么样的衔接性规定?
答:《密码法》第四十一条规定:违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。
法律责任分为民事责任、行政责任和刑事责任三类。同一违法行为,依法可能同时应承担民事责任、行政责任和刑事责任。《密码法》第三十二条至第四十条对违反本法规定应当承担的行政责任作了具体规定,本条对违反本法规定应当承担的民事责任和刑事责任作了衔接性规定。
──────────────────────────────────────────────────
密码政策问答(一百一十六)
发布日期:2020-05-01 来源:国家密码管理局
问:《密码法》对密码管理部门和有关部门、单位的工作人员在密码工作中违法的法律责任做了什么样的规定?
答:《密码法》第四十条规定:密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
本条规定的法律责任是处分。处分分为行政处分和党纪处分两种。
──────────────────────────────────────────────────
密码政策问答(一百一十五)
发布日期:2020-04-30 来源:国家密码管理局
问:《密码法》对未经认定从事电子政务电子认证服务的行为,规定了什么样的法律责任?
答:《密码法》第三十九条规定:违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。
此条规定的法律责任包括:1.责令改正;2.责令停止违法行为;3.警告;4.没收违法产品和违法所得;5.罚款。
──────────────────────────────────────────────────
密码政策问答(一百一十四)
发布日期:2020-04-29 来源:国家密码管理局
问:《密码法》对商用密码进出口违法的法律责任做了什么样的规定?
答:《密码法》第三十八条规定:违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。
《密码法》明确了违反商用密码进口许可和出口管制制度的两种情形。
──────────────────────────────────────────────────
密码政策问答(一百一十三)
发布日期:2020-04-28 来源:国家密码管理局
问:《密码法》对关键信息基础设施的运营者使用未经国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务,规定了哪些法律责任?
答:《密码法》第三十七条第二款规定:关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
──────────────────────────────────────────────────
密码政策问答(一百一十二)
发布日期:2020-04-27 来源:国家密码管理局
问:《密码法》对关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估,规定了哪些法律责任?
答:《密码法》第三十七条规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
──────────────────────────────────────────────────
密码政策问答(一百一十一)
发布日期:2020-04-26 来源:国家密码管理局
问:《密码法》明确关键信息基础设施的运营者违反商用密码使用要求的情形有哪些?
答:《密码法》明确了关键信息基础设施的运营者违反商用密码使用要求的具体情形:一是关键信息基础设施的运营者未按照要求使用商用密码。二是关键信息基础设施的运营者未按照要求开展商用密码应用安全性评估。三是关键信息基础设施的运营者使用未经国家安全审查或者国家安全审查未通过的涉及商用密码的网络产品或者服务。
──────────────────────────────────────────────────
密码政策问答(一百一十)
发布日期:2020-04-25 来源:国家密码管理局
问:《密码法》对商用密码产品、服务市场准入违法规定了什么样的法律责任?
答:《密码法》第三十六条规定:违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
──────────────────────────────────────────────────
密码政策问答(一百零九)
发布日期:2020-04-24 来源:国家密码管理局
问:《密码法》明确什么情形属于违反商用密码产品、服务市场准入制度?
答:《密码法》明确了违反商用密码产品、服务市场准入制度的两种情形:一是销售或者提供列入网络关键设备和网络安全专用产品目录的商用密码产品,未经具备资格的机构检测认证或者检测认证不合格。二是提供使用网络关键设备和网络安全专用产品的商用密码服务,未经商用密码认证机构认证或者认证不合格。
──────────────────────────────────────────────────
密码政策问答(一百零八)
发布日期:2020-04-23 来源:国家密码管理局
问:《密码法》对商用密码检测、认证机构违法规定了什么样的法律责任?
答:《密码法》第三十五条规定:商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。
──────────────────────────────────────────────────
密码政策问答(一百零七)
发布日期:2020-04-22 来源:国家密码管理局
问:《密码法》明确哪些情形属于违反商用密码检测、认证机构管理制度?
答:《密码法》明确的违反商用密码检测、认证机构管理制度,具体包括两种情形:一是商用密码检测、认证机构违反法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。二是商用密码检测、认证机构泄露其在商用密码检测认证中所知悉的国家秘密和商业秘密。
──────────────────────────────────────────────────
密码政策问答(一百零六)
发布日期:2020-04-21 来源:国家密码管理局
问:《密码法》明确的核心密码、普通密码泄密等安全问题的法律责任具体包括哪些?
答:《密码法》第三十四条规定:违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
──────────────────────────────────────────────────
密码政策问答(一百零五)
发布日期:2020-04-20 来源:国家密码管理局
问:《密码法》明确哪些核心密码、普通密码泄密等安全问题的情形?
答:《密码法》明确了核心密码、普通密码泄密案件或者密码工作机构违反相关安全要求的具体情形:一是发生核心密码、普通密码泄密案件。二是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施。三是发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未及时向保密行政管理部门、密码管理部门报告。
──────────────────────────────────────────────────
密码政策问答(一百零四)
发布日期:2020-04-19 来源:国家密码管理局
问:《密码法》对未按照要求使用核心密码、普通密码的行为,规定了什么样的法律责任?
答:《密码法》第三十三条规定:违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
──────────────────────────────────────────────────
密码政策问答(一百零三)
发布日期:2020-04-18 来源:国家密码管理局
问:《密码法》明确哪些未按照要求使用核心密码、普通密码的情形?
答:《密码法》明确了违反核心密码、普通密码使用要求的两种情形:一是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,未使用核心密码、普通密码进行加密保护、安全认证。二是在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,虽然使用了核心密码、普通密码,但未能依照法律、行政法规和国家有关规定,合规、正确、有效地使用核心密码、普通密码进行加密保护、安全认证。
──────────────────────────────────────────────────
密码政策问答(一百零二)
发布日期:2020-04-17 来源:国家密码管理局
问:《密码法》对窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动,规定了什么样的法律责任?
答:《密码法》第三十二条规定:违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
──────────────────────────────────────────────────
密码政策问答(一百零一)
发布日期:2020-04-16 来源:国家密码管理局
问:《密码法》为什么要对密码管理部门和有关部门及其工作人员提出保密要求?
答:密码管理部门和有关部门及其工作人员对在履行职责中知悉的商业秘密和个人隐私予以严格保密,是其基本的法定义务,也体现了行政机关对自身履职的严格要求。
──────────────────────────────────────────────────
密码政策问答(一百)
发布日期:2020-04-15 来源:国家密码管理局
问:《密码法》对密码管理部门和有关部门及其工作人员提出了什么样的保密要求?
答:《密码法》第三十一条规定:密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
──────────────────────────────────────────────────
密码政策问答(九十九)
发布日期:2020-04-14 来源:国家密码管理局
问:如何强化商用密码从业单位自律和社会监督?
答:强化商用密码从业单位自律和社会监督,就是要充分调动社会各方力量参与商用密码监督管理,统筹社会各种资源支持商用密码社会治理,形成市场自律、社会监督和政府监管互为支撑的商用密码协同监管格局,切实管出公平、管出效率、管出活力,提高商用密码市场主体竞争力和市场效率,推动商用密码产业持续健康发展。
──────────────────────────────────────────────────
密码政策问答(九十八)
发布日期:2020-04-13 来源:国家密码管理局
问:商用密码事中事后监管如何与社会信用体系相衔接?
答:推进商用密码事中事后监管与社会信用体系相衔接,提升商用密码信用监管效能。以国家统一社会信用代码为标识,依法依规建立权威、统一、可查询的商用密码市场主体信用记录。大力推行商用密码从业单位及有关市场主体信用承诺制度,将信用承诺履行情况纳入信用记录。
──────────────────────────────────────────────────
密码政策问答(九十七)
发布日期:2020-04-12 来源:国家密码管理局
问:商用密码事中事后监管如何开展?
答:商用密码事中事后监管以日常检查为主、专项整治为辅,日常监管又以随机抽查为主。商用密码日常监管全面实行随机抽取检查对象、随机选派执法检查人员、抽查情况及查处结果及时向社会公开,原则上所有日常行政检查都通过”双随机、一公开”的方式进行。
──────────────────────────────────────────────────
密码政策问答(九十六)
发布日期:2020-04-11 来源:国家密码管理局
问:《密码法》关于商用密码事中事后监管制度的要求是什么?
答:《密码法》第三十一条规定:密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度。
《密码法》在商用密码领域深化”放管服”改革,坚持放管结合,在取消一批商用密码行政许可事项的基础上,把更多行政资源从事前审批转到事中事后监管上来,着力构建权责明确、公平公正、公开透明、简约高效的商用密码事中事后监管体系。
──────────────────────────────────────────────────
密码政策问答(九十五)
发布日期:2020-04-10 来源:国家密码管理局
问:商用密码行业协会等组织的行业自律职能主要是什么?
答:行业自律是商用密码从业单位为维护共同利益、促进共同发展而开展的订立行业规范、规范行业行为、协调利益关系、维护公平竞争的自我管理、自我约束行为。
──────────────────────────────────────────────────
密码政策问答(九十四)
发布日期:2020-04-09 来源:国家密码管理局
问:目前我国商用密码领域的行业协会等组织发展情况如何?
答:随着我国商用密码的快速发展,商用密码领域的行业协会等组织也在不断发展壮大。截至2019年12月,北京、天津、上海、江苏、福建、江西、山东、广东、重庆、四川、陕西、深圳等地已经成立了区域性商用密码行业协会。
──────────────────────────────────────────────────
密码政策问答(九十三)
发布日期:2020-04-08 来源:国家密码管理局
问:商用密码领域的行业协会等组织如何发挥桥梁纽带作用?
答:通过积极向密码管理部门反映行业、会员诉求,提出商用密码行业发展和立法等方面的意见和建议,积极参与相关法律法规、宏观调控和产业政策的研究、制定,参与制定修订商用密码国家标准、行业标准和行业发展规划、行业准入条件,完善行业管理,促进行业发展。
──────────────────────────────────────────────────
密码政策问答(九十二)
发布日期:2020-04-07 来源:国家密码管理局
问:商用密码领域的行业协会等组织的宗旨是什么?
答:商用密码行业协会等组织代表本行业从业单位的利益,切实为从业单位服务。商用密码行业协会等组织根据授权进行行业统计,掌握国内外行业发展动态,收集、发布行业信息;依照有关规定创办刊物和网站,开展法律、政策、技术、管理、市场等咨询服务。
──────────────────────────────────────────────────
密码政策问答(九十一)
发布日期:2020-04-06 来源:国家密码管理局
问:建立发展商用密码领域的行业协会等组织有什么意义?
答:《密码法》结合商用密码发展实际,深化商用密码领域”放管服”改革,构建起现代化商用密码治理体系。行业协会等组织作为介于密码管理部门和商用密码从业单位之间的社会组织,既是沟通管理部门和从业单位的桥梁与纽带,又是社会多元利益的协调机构。
──────────────────────────────────────────────────
密码政策问答(九十)
发布日期:2020-04-05 来源:国家密码管理局
问:《密码法》对商用密码领域的行业协会等组织作出了哪些规定?
答:《密码法》第三十条规定:商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
──────────────────────────────────────────────────
密码政策问答(八十九)
发布日期:2020-04-04 来源:国家密码管理局
问:国家密码管理部门对政务活动中使用电子签名、数据电文的管理要求有哪些?
答:《密码法》第二十九条规定:国家密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。
──────────────────────────────────────────────────
密码政策问答(八十八)
发布日期:2020-04-03 来源:国家密码管理局
问:《密码法》中关于电子政务电子认证服务管理的规定是什么?
答:《密码法》第二十九条规定:国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益。
──────────────────────────────────────────────────
密码政策问答(八十七)
发布日期:2020-04-02 来源:国家密码管理局
问:大众消费类产品所采用的商用密码是否实行进口许可和出口管制?
答:《密码法》第二十八条规定:大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
大众消费类产品所采用的商用密码,是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。
──────────────────────────────────────────────────
密码政策问答(八十六)
发布日期:2020-04-01 来源:国家密码管理局
问:大众消费类产品所采用的商用密码是否实行进口许可和出口管制?
答:《密码法》第二十八条规定:大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
大众消费类产品所采用的商用密码对国家安全、社会公共利益带来的风险较小且可控,对大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,可最大限度减少对贸易的影响。这既是国际社会的通行做法,也符合我国现有商用密码进出口管理实践。
──────────────────────────────────────────────────
密码政策问答(八十五)
发布日期:2020-03-31 来源:国家密码管理局
问:《密码法》对商用密码进出口有哪些规定?
答:《密码法》第二十八条规定:国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。
──────────────────────────────────────────────────
密码政策问答(八十四)
发布日期:2020-03-30 来源:国家密码管理局
问:为什么对关键信息基础设施的运营者采购涉及商用密码的网络产品和服务实行国家安全审查制度?
答:《密码法》第二十七条规定:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
──────────────────────────────────────────────────
密码政策问答(八十三)
发布日期:2020-03-29 来源:国家密码管理局
问:商用密码应用安全性评估会造成重复评估、测评吗?
答:为降低关键信息基础设施运营者负担,节约评估、测评资源,《密码法》第二十七条规定:商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
──────────────────────────────────────────────────
密码政策问答(八十二)
发布日期:2020-03-28 来源:国家密码管理局
问:商用密码应用安全性评估的目的是什么?
答:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要作用。
──────────────────────────────────────────────────
密码政策问答(八十一)
发布日期:2020-03-27 来源:国家密码管理局
问:关键信息基础设施必须使用商用密码进行保护吗?
答:《密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。
密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护。
──────────────────────────────────────────────────
密码政策问答(八十)
发布日期:2020-03-26 来源:国家密码管理局
问:为什么要对使用网络关键设备和网络安全专用产品的商用密码服务实行强制性认证制度?
答:《密码法》第二十六条规定:商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
──────────────────────────────────────────────────
密码政策问答(七十九)
发布日期:2020-03-25 来源:国家密码管理局
问:商用密码服务的概念与范围是什么?
答:商用密码服务,是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。典型的商用密码服务包括:密码保障系统集成(如数字证书认证系统集成),密码保障系统运营(如增值税发票防伪税控系统运营)。
──────────────────────────────────────────────────
密码政策问答(七十八)
发布日期:2020-03-24 来源:国家密码管理局
问:商用密码产品检测认证避免重复检测认证的做法有哪些?
答:为充分体现”放管服”改革精神,切实降低企业负担,节约检测认证资源,《密码法》第二十六条规定:商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
──────────────────────────────────────────────────
密码政策问答(七十七)
发布日期:2020-03-23 来源:国家密码管理局
问:为什么要对特定商用密码产品实行强制性检测认证制度?
答:《密码法》第二十六条规定:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
──────────────────────────────────────────────────
密码政策问答(七十六)
发布日期:2020-03-22 来源:国家密码管理局
问:商用密码产品的概念与范围是什么?
答:商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。
──────────────────────────────────────────────────
密码政策问答(七十五)
发布日期:2020-03-21 来源:国家密码管理局
问:商用密码检测、认证机构是否应承担保密义务?
答:在从事商用密码检测、认证活动的过程中,商用密码检测、认证机构有可能接触到有关商业秘密乃至国家秘密。虽然知悉途径是合法的,但如果将这些秘密泄露给他人,就会损害国家安全和利益,或者损害商业秘密权利人的利益。因此,《密码法》第二十五条规定:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
──────────────────────────────────────────────────
密码政策问答(七十四)
发布日期:2020-03-20 来源:国家密码管理局
问:商用密码检测、认证机构应取得什么资质?
答:《密码法》第二十五条规定:商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
──────────────────────────────────────────────────
密码政策问答(七十三)
发布日期:2020-03-19 来源:国家密码管理局
问:我国商用密码检测机构和认证机构现状如何?
答:截至2019年12月,通过审批的商用密码产品检测机构共有3家,开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCI-E密码卡、IPSecVPN安全网关、SSLVPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统等的检测工作。
──────────────────────────────────────────────────
密码政策问答(七十二)
发布日期:2020-03-18 来源:国家密码管理局
问:建设商用密码检测认证体系的意义是什么?
答:商用密码检测认证是商用密码治理体系的重要基础,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用。《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设。
──────────────────────────────────────────────────
密码政策问答(七十一)
发布日期:2020-03-17 来源:国家密码管理局
问:什么是商用密码从业单位公开标准的技术要求,它有什么作用?
答:《密码法》规定了企业标准自我声明公开和监督制度,调整的对象是企业生产的产品和提供的服务所执行的标准,这类标准规定了企业生产的产品和提供的服务所应达到的各类技术指标和要求。
──────────────────────────────────────────────────
密码政策问答(六十七)
发布日期:2020-03-17 来源:国家密码管理局
问:我国商用密码国际标准化开展情况如何?
答:《密码法》第二十三条第一款规定:国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
我国高度重视商用密码国际标准化工作,大力推进以我国自主设计研制的SM系列密码算法为代表的中国商用密码标准纳入国际标准。2011年9月,我国设计的祖冲之(ZUC)算法纳入国际3GPP的4G移动通信标准。2017年,SM2和SM9算法正式成为ISO/IEC国际标准。2018年,SM3算法正式成为ISO/IEC国际标准。
──────────────────────────────────────────────────
密码政策问答(七十)
发布日期:2020-03-16 来源:国家密码管理局
问:什么是商用密码强制性国家标准和推荐性国家标准、行业标准?
答:我国标准按照实施效力分为强制性标准和推荐性标准。强制性标准仅有国家标准一级。推荐性标准包括推荐性国家标准和行业标准。强制性标准必须执行,不符合强制性标准的产品、服务,不得生产、销售、进口或者提供。
──────────────────────────────────────────────────
密码政策问答(六十九)
发布日期:2020-03-15 来源:国家密码管理局
问:商用密码标准具备什么样的法律效力?
答:《密码法》第二十四条规定:商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
──────────────────────────────────────────────────
密码政策问答(六十八)
发布日期:2020-03-14 来源:国家密码管理局
问:为什么要鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动?
答:《密码法》第二十三条第二款规定:国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动,是全球化的必然趋势和要求,有利于提升商用密码技术的全球影响力。
──────────────────────────────────────────────────
密码政策问答(六十六)
发布日期:2020-03-12 来源:国家密码管理局
问:目前我国商用密码标准体系建设情况如何?
答:截至2019年12月,国家标准化管理委员会已发布商用密码国家标准29项,国家密码管理局已发布商用密码行业标准91项,覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域,构建了较为齐全完备的商用密码标准体系。
──────────────────────────────────────────────────
密码政策问答(六十五)
发布日期:2020-03-11 来源:国家密码管理局
问:当前商用密码行业标准分为哪几类?
答:当前,商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。基础类标准为其他三类标准提供了底层、共性支撑;检测类标准为基础类标准和应用类标准提供了合法性检测的功能;管理类标准为其他三类标准提供了管理功能;应用类标准为上层具体的密码产品、服务应用提供支持。
──────────────────────────────────────────────────
密码政策问答(六十四)
发布日期:2020-03-10 来源:国家密码管理局
问:什么是密码行业标准化技术委员会,它的主要职责是什么?
答:2011年10月,经国家标准化管理委员会批准,国家密码管理局设立了密码行业标准化技术委员会。密码行业标准化技术委员会作为我国密码行业唯一标准化组织,受国家密码管理局委托,主要职责包括:提出密码行业标准规划和年度标准制定、修订计划的建议;组织密码行业标准的编写、审查、复审等工作等。
──────────────────────────────────────────────────
密码政策问答(六十三)
发布日期:2020-03-09 来源:国家密码管理局
问:《密码法》关于商用密码标准体系的规定有哪些?
答:《密码法》第二十二条规定:国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
──────────────────────────────────────────────────
密码政策问答(六十二)
发布日期:2020-03-08 来源:国家密码管理局
问:《密码法》在对待外商投资企业方面遵循什么样的管理原则?
答:《密码法》第二十一条第二款规定:各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
──────────────────────────────────────────────────
密码政策问答(六十一)
发布日期:2020-03-07 来源:国家密码管理局
问:我国商用密码产业的基础怎么样?
答:经过多年发展,我国商用密码产业取得长足进步,满足网络空间条件下差异化、多样化应用需求的能力不断提升,产业支撑能力显著增强。
首先,商用密码产业队伍持续壮大。截至2019年12月,商用密码从业单位已达1000多家。
其次,商用密码产品种类不断丰富。截至2019年12月,通过国家密码管理局审批的商用密码通用产品有2000余款。2019年,全年共销售商用密码产品19亿台/套。
──────────────────────────────────────────────────
密码政策问答(六十)
发布日期:2020-03-06 来源:国家密码管理局
问:我国要健全什么样的商用密码市场体系?
答:《密码法》第二十一条明确规定:”国家健全统一、开放、竞争、有序的商用密码市场体系。”
统一是指商用密码市场体系在全国范围内应该是统一的,必须打破条块分割、地区封锁。开放是指商用密码市场体系既要对内开放,又要对外开放。竞争是指商用密码市场体系必须在一个公平竞争的环境下运行。有序是指有一定的规则来维持商用密码市场的正常秩序。
──────────────────────────────────────────────────
密码政策问答(五十九)
发布日期:2020-03-05 来源:国家密码管理局
问:我国商用密码技术的推广应用取得了哪些成绩?
答:得益于商用密码技术研发和成果转化的有力支撑,商用密码的应用领域不断扩大,应用程度不断加深,应用认可度不断提升,在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着越来越重要的作用。我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理等系统中,都应用商用密码技术构建了密码保障体系。
──────────────────────────────────────────────────
密码政策问答(五十八)
发布日期:2020-03-04 来源:国家密码管理局
问:国家在鼓励商用密码技术的成果转化方面,取得了什么样的成绩?
答:以商用密码算法为例,我国自主设计的SM4分组密码算法、祖冲之(ZUC)密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法,以及SM9标识密码算法等已成为商用密码国家标准或行业标准,标志着我国商用密码算法体系已经基本形成。
──────────────────────────────────────────────────
密码政策问答(五十七)
发布日期:2020-03-03 来源:国家密码管理局
问:国家在鼓励商用密码技术学术交流方面,采取了哪些举措,取得了哪些成绩?
答:在鼓励商用密码技术学术交流方面,中国密码学会等学术组织充分发挥平台作用,创建密码科普馆,举办科技展览,积极开展密码科普活动,出版50多种密码相关书籍刊物,大力普及密码知识。全国商用密码展览会、中国密码学会年会、《密码学报》、全国密码技术竞赛等已成为我国密码学术研究和产业对接的高端平台。
──────────────────────────────────────────────────
密码政策问答(五十六)
发布日期:2020-03-02 来源:国家密码管理局
问:国家在鼓励商用密码技术的研究开发方面,采取了哪些举措,取得了哪些成绩?
答:在鼓励商用密码技术研究开发方面,国家设立密码发展基金,面向社会公开申报研究课题,鼓励社会力量参与商用密码技术的研究开发。密码发展基金累计支持课题近200个,多个课题成果达到了国际先进或国内领先水平。
同时,国家密码管理局推荐社会各方面所开发的优秀商用密码科研科技成果申报国家科技进步奖和密码科技进步奖(省部级),鼓励商用密码技术研究开发,激发创新活力。截至2019年12月,商用密码领域共获得国家科技进步奖一等奖1项、二等奖5项,省部级密码科技进步奖60余项。
──────────────────────────────────────────────────
密码政策问答(五十五)
发布日期:2020-03-01 来源:国家密码管理局
问:《密码法》在商用密码管理方面的立法思路主要有哪些?
答:《密码法》在商用密码管理方面的立法思路主要有以下三个方面:
一是坚决贯彻落实”放管服”改革要求,充分体现非歧视和公平竞争原则,进一步削减行政许可数量,最大限度减少对市场活动的直接干预。
二是以转变政府职能为核心,管理方式由重事前审批更多地转为事中事后监管,以市场主体需求为导向,重视发挥标准化和检测认证的支撑作用。
三是对关系国家安全和社会公共利益,又难以通过市场机制或者事中事后监管方式进行有效管理的少数事项,规定了必要的行政许可和管制措施。
──────────────────────────────────────────────────
密码政策问答(五十四)
发布日期:2020-02-29 来源:国家密码管理局
问:为什么要对商用密码实施管理?
答:虽然商用密码用于保护不属于国家秘密的信息,但商用密码可用于保护工作秘密、商业秘密、个人信息等,用途非常广泛,直接关系国家安全、社会公共利益以及公民、法人和其他组织的合法权益,应当依法进行管理。
首先,商用密码是国际公认的两用物项,对商用密码实施管理,是国际通行做法。同时,商用密码广泛用于金融、电子政务、通信、能源、交通等关键信息基础设施的网络和信息系统,应当对其实施必要监管。
──────────────────────────────────────────────────
密码政策问答(五十三)
发布日期:2020-02-28 来源:国家密码管理局
问:密码管理部门和密码工作机构应当如何对其工作人员开展监督和安全审查?
答:《密码法》要求密码管理部门和密码工作机构建立健全严格的密码工作人员监督管理制度,明确密码工作人员的权利、岗位责任和要求,对密码工作人员遵纪守法和履行职责等情况开展经常性的监督检查。
密码管理部门和密码工作机构在录用、选调密码工作人员前,必须按照有关规定组织开展安全审查,同时定期或者不定期对在职的密码工作人员组织开展安全审查。
──────────────────────────────────────────────────
密码政策问答(五十二)
发布日期:2020-02-27 来源:国家密码管理局
问:密码管理部门和密码工作机构为什么要对其工作人员进行监督和安全审查?
答:《密码法》第二十条规定:密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
对核心密码、普通密码工作人员进行监督和开展安全审查,是确保密码工作人员纯洁可靠的一项有效措施。
──────────────────────────────────────────────────
密码政策问答(五十一)
发布日期:2020-02-26 来源:国家密码管理局
问:密码管理部门提请有关部门对核心密码、普通密码有关物品和人员提供免检等便利,必须符合什么条件?
答:根据《密码法》规定,提请免检必须符合以下条件:
一是必须基于密码工作需要。提请免检必须为开展密码工作所必需。
二是必须按照国家有关规定向有关部门提请。
三是提请免检的对象限于核心密码、普通密码有关物品和人员。
──────────────────────────────────────────────────
密码政策问答(五十)
发布日期:2020-02-25 来源:国家密码管理局
问:《密码法》为什么规定对核心密码、普通密码有关物品和人员提供免检等便利?
答:《密码法》第十九条规定:密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。
密码管理部门在工作中,需要配发递送核心密码、普通密码。由于核心密码、普通密码属于国家秘密,应当严格控制接触和知悉范围。
──────────────────────────────────────────────────
密码政策问答(四十九)
发布日期:2020-02-24 来源:国家密码管理局
问:核心密码、普通密码工作人员要遵守哪些管理规定?
答:核心密码、普通密码工作人员直接接触和掌握着国家秘密,岗位特殊、责任重大。加强对这些特殊工作人员的培养、使用和激励,对其进行更严格的管理,直接关系到我国密码事业的健康发展。
《密码法》将现行有关中央文件和党内法规中关于核心密码、普通密码工作人员管理的制度转化为法律规定,主要包括:(1)密码工作人员按照涉密程度实行分类管理;(2)密码工作人员应当具有良好的政治素质和品行;(3)密码工作人员上岗应当经过密码教育培训;(4)密码工作人员出境应当经有关部门批准;(5)密码工作人员离岗离职实行脱密期管理。
──────────────────────────────────────────────────
密码政策问答(四十八)
发布日期:2020-02-23 来源:国家密码管理局
问:为什么要加强核心密码、普通密码工作机构建设?
答:密码工作机构承担着核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等重要任务,肩负着保障国家网络与信息安全的重要职责,应当加强密码工作机构建设,在人力、物力、财力等方面加大保障力度,保障其有效履行工作职责。
──────────────────────────────────────────────────
密码政策问答(四十七)
发布日期:2020-02-22 来源:国家密码管理局
问:《密码法》对核心密码、普通密码工作机构和人员管理作了哪些规定?
答:《密码法》第十八条规定:国家加强密码工作机构建设,保障其履行工作职责。国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
──────────────────────────────────────────────────
密码政策问答(四十六)
发布日期:2020-02-21 来源:国家密码管理局
问:查处核心密码、普通密码泄密案件,主要包括哪些工作内容?
答:核心密码、普通密码泄密案件查处的主要工作内容包括:一是查明核心密码、普通密码泄密事项的内容与密级;二是查明案件事实、主要情节和有关责任人员;三是要求有关机关、单位及时采取必要的补救措施;四是根据有关法律法规和国家有关规定对责任人员提出处理建议;五是针对案件暴露出的问题,指导有关密码工作机构及时消除安全隐患。
──────────────────────────────────────────────────
密码政策问答(四十五)
发布日期:2020-02-20 来源:国家密码管理局
问:核心密码、普通密码泄密案件查处由哪些部门负责?
答:为规范和加强密码泄密案件等安全问题查处工作,参照《保守国家秘密法》的规定,同时考虑到密码工作的特性和密码管理部门的管理实践,《密码法》规定,由保密行政管理部门、密码管理部门会同有关部门组织开展核心密码、普通密码泄密案件等安全问题的调查、处置工作。
──────────────────────────────────────────────────
密码政策问答(四十四)
发布日期:2020-02-19 来源:国家密码管理局
问:出现密码安全问题时,密码工作机构要立即采取什么样的应对措施?
答:采取应对措施是指为避免核心密码、普通密码泄密或减轻泄密后果而采取的一切合法和必要的措施。要求密码工作机构在发生核心密码、普通密码泄密等安全问题时及时报告,是为了让保密行政管理部门、密码管理部门及时了解情况,以便采取相应措施,及时组织查处,最大限度地减少可能造成的损害。
──────────────────────────────────────────────────
密码政策问答(四十三)
发布日期:2020-02-18 来源:国家密码管理局
问:影响核心密码、普通密码安全的重大问题、风险隐患是指什么?
答:影响核心密码、普通密码安全的重大问题、风险隐患,是指核心密码、普通密码设备、部件、系统等发生损毁、中断、被攻击侵入等情况,已经或可能对密码安全构成威胁。
──────────────────────────────────────────────────
密码政策问答(四十二)
发布日期:2020-02-17 来源:国家密码管理局
问:核心密码、普通密码泄密主要指哪些情形?
答:核心密码、普通密码泄密既包括核心密码、普通密码故意泄密,也包括核心密码、普通密码过失泄密,主要有以下三种情形:一是使核心密码、普通密码被不应知悉者知悉;二是使核心密码、普通密码超出了限定的接触范围,而不能证明未被不应知悉者知悉;三是核心密码、普通密码丢失,下落不明。
──────────────────────────────────────────────────
密码政策问答(四十一)
发布日期:2020-02-16 来源:国家密码管理局
问:密码工作机构发现密码泄密等安全问题时如何处置?
答:《密码法》第十七条第二款规定:密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告。
核心密码、普通密码属于国家秘密。密码工作具有很强的系统性,牵一发而动全身,凡是涉及密码安全的重大问题、风险隐患,都必须高度重视,及时进行处理。
──────────────────────────────────────────────────
密码政策问答(四十)
发布日期:2020-02-15 来源:国家密码管理局
问:核心密码、普通密码安全协作机制具体包括哪些内容?
答:《密码法》规定的密码管理部门会同有关部门建立的核心密码、普通密码安全协作机制主要包括安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制。
密码安全监测预警,是指针对包括窃取加密保护的信息,非法攻击、侵入密码保障系统等密码安全风险进行持续性监测。密码安全风险评估,是指对密码安全风险以及密码安全事件造成的影响进行科学的分析、研判和评估。密码安全信息通报,是指密码管理部门和有关部门相互通报密码安全风险以及密码安全事件等相关信息。
──────────────────────────────────────────────────
密码政策问答(三十九)
发布日期:2020-02-14 来源:国家密码管理局
问:为什么要建立核心密码、普通密码安全协作机制?
答:《密码法》第十七条第一款规定:密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
为贯彻落实总体国家安全观,确保核心密码、普通密码安全,全天候全方位感知密码安全态势,就必须统筹协调国家有关部门共同推进密码安全管理工作。
──────────────────────────────────────────────────
密码政策问答(三十八)
发布日期:2020-02-13 来源:国家密码管理局
问:《密码法》对核心密码、普通密码工作的监督检查作了哪些规定?
答:《密码法》第十六条规定:密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
密码工作机构是密码管理部门的管理对象。密码管理部门按照《密码法》和其他有关法律法规的规定,对密码工作机构开展核心密码、普通密码工作的情况进行指导、监督和检查。
──────────────────────────────────────────────────
密码政策问答(三十七)
发布日期:2020-02-12 来源:国家密码管理局
问:密码工作机构需要承担哪些安全保密管理责任?
答:《密码法》第十五条规定:从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构),应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
──────────────────────────────────────────────────
密码政策问答(三十六)
发布日期:2020-02-11 来源:国家密码管理局
问:《密码法》对核心密码、普通密码使用作了哪些规定?
答:《密码法》第十四条明确规定:在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
──────────────────────────────────────────────────
密码政策问答(三十五)
发布日期:2020-02-10 来源:国家密码管理局
问:核心密码和普通密码遵循什么样的管理原则?
答:核心密码、普通密码用于保护国家秘密信息,其本身也属于国家秘密,直接关系国家安全。
《密码法》从以下几个方面规定了核心密码、普通密码的管理原则:
一是国家加强核心密码、普通密码的科学规划、管理和使用。
二是加强制度建设,完善管理措施。
三是增强密码安全保障能力。
──────────────────────────────────────────────────
密码政策问答(三十四)
发布日期:2020-02-09 来源:国家密码管理局
问:《密码法》为什么规定”任何组织和个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动”?
答:随着网络信息技术的不断发展,利用密码从事违法犯罪活动的案例屡见不鲜,造成了广泛的社会影响。例如,2017年5月,一款名为”魔哭”(WannaCry)的蠕虫勒索软件袭击全球网络。它加密受害者电脑内的重要文件,除非受害者通过比特币交出赎金,否则加密文件无法恢复。
──────────────────────────────────────────────────
密码政策问答(三十三)
发布日期:2020-02-08 来源:国家密码管理局
问:什么是”窃取他人加密保护的信息或者非法侵入他人的密码保障系统”?
答:窃取他人加密保护的信息,是指未经他人授权,采用非法攻击密码等方式获取他人加密保护的信息的违法行为。
非法侵入他人的密码保障系统,是指未经他人授权,采用非法攻击密码等方式进入他人的密码保障系统。
──────────────────────────────────────────────────
密码政策问答(三十二)
发布日期:2020-02-07 来源:国家密码管理局
问:《密码法》对禁止利用密码从事违法犯罪活动做了什么样的规定?
答:密码是一把”双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动。密码一旦被用来从事违法犯罪活动,将严重危害国家安全、社会公共利益和公民个人合法权益。因此,《密码法》第十二条明确规定:”任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
──────────────────────────────────────────────────
密码政策问答(三十一)
发布日期:2020-02-06 来源:国家密码管理局
问:《密码法》对密码工作规划和经费做了什么样的规定?
答:为保障密码工作顺利开展,充分发挥密码在网络与信息安全中的基础支撑作用,《密码法》第十一条规定:”县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
──────────────────────────────────────────────────
密码政策问答(三十)
发布日期:2020-02-05 来源:国家密码管理局
问:为什么要把密码安全教育纳入国民教育体系和公务员教育培训体系?
答:将密码安全教育纳入国民教育体系,在各阶段的教育过程中,开展密码常识、密码安全意识的教育,有利于提高全民密码安全意识,提高全社会自觉使用密码保护网络与信息安全、维护国家密码安全的意识。
在公务员培训中,密码安全教育主要是关于密码常识、密码安全意识和密码工作的教育,将密码安全教育纳入公务员教育培训体系,有利于公务员在履行职责过程中更好地贯彻总体国家安全观,提高密码安全意识与履职能力。
──────────────────────────────────────────────────
密码政策问答(二十九)
发布日期:2020-02-04 来源:国家密码管理局
问:如何加强密码安全教育?
答:密码安全教育要与学习贯彻总体国家安全观紧密结合起来,以学习宣传贯彻《密码法》为重要抓手,面向不同人群,开展不同形式的密码安全教育,增强安全教育的针对性和实效性。
一是充分利用”全民国家安全教育日””国家网络安全宣传周”等平台,深入开展《密码法》普及宣传活动。
二是充分利用传统媒体和新兴媒体,充分发挥中国密码学会、商用密码领域的行业协会等社会团体的作用。
三是各级教育主管部门和公务员主管部门将密码安全教育纳入国民教育体系和公务员教育培训体系。
──────────────────────────────────────────────────
密码政策问答(二十八)
发布日期:2020-02-03 来源:国家密码管理局
问:为什么要加强密码安全教育?
答:密码安全事关国家安全,密码安全意识是国家安全意识的重要内容。密码安全教育是密码工作的重要组成部分,对密码工作高质量发展起着重要的导向和促进作用。做好密码安全教育工作,对于正确贯彻中央关于密码工作的方针政策,提高全民密码安全意识,引导全社会合规、正确、有效使用密码,确保密码使用优质高效、确保密码管理安全可靠,具有重要意义。
──────────────────────────────────────────────────
密码政策问答(二十七)
发布日期:2020-02-02 来源:国家密码管理局
问:密码工作表彰奖励的对象有哪些?
答:密码工作表彰奖励的对象主要是在服务党和国家工作大局中发挥重要作用以及在密码科技进步中作出重要贡献的密码管理部门、密码工作机构、商用密码从业单位和密码工作人员等。表彰奖励工作贯彻”尊重劳动、尊重知识、尊重人才、尊重创造”的方针,注重面向一线,注重工作实绩,遵循精神奖励与物质奖励相结合、以精神奖励为主的原则。
──────────────────────────────────────────────────
密码政策问答(二十六)
发布日期:2020-02-01 来源:国家密码管理局
问:《密码法》规定了什么样的密码工作表彰奖励制度?
答:为充分调动广大密码工作人员做好密码工作的积极性和创造性,推动密码工作创新发展,贯彻落实党和国家功勋荣誉表彰奖励制度要求,党和国家设立了全国密码工作先进集体和先进工作者、密码科学技术进步奖励等密码工作表彰奖励制度。《密码法》第九条规定:”对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
──────────────────────────────────────────────────
密码政策问答(二十五)
发布日期:2020-01-31 来源:国家密码管理局
问:为什么要加强密码人才培养和队伍建设?
答:人才是核心竞争力,密码事业的发展,归根结底要靠密码人才。密码人才队伍是一支特殊的队伍,承担着密码科研、密码管理、密码服务保障等重要任务,肩负着保障国家网络与信息安全的重要职责。
随着网络与信息化的飞速发展和密码的广泛应用,密码人才需求呈现快速增长态势,密码专业人才培养和学科建设取得重要进展。目前,国内已有超过100所高校开设了密码学专业或者密码学相关课程。
──────────────────────────────────────────────────
密码政策问答(二十四)
发布日期:2020-01-30 来源:国家密码管理局
问:《密码法》在密码知识产权保护方面作了哪些具体规定?
答:依法保护知识产权,对于激励科技创新,提高创新能力,促进创新成果合理分享,推动科技进步和经济社会发展,具有重要意义。
在密码工作实践中,无论是密码技术研究,还是密码检测认证、密码应用安全性评估、安全审查,都涉及密码知识产权保护。《密码法》在多个条款中对依法保护密码领域的知识产权作了具体规定。
──────────────────────────────────────────────────
密码政策问答(二十三)
发布日期:2020-01-29 来源:国家密码管理局
问:《密码法》为什么要鼓励和支持密码科学技术进步和创新?
答:党的十九大报告指出,创新是引领发展的第一动力,是建设现代化经济体系的战略支撑。密码科学技术进步和创新是密码事业发展的灵魂,也是密码实现持续健康快速发展的动力源泉。紧紧牵住核心技术自主创新这个”牛鼻子”,牢牢掌握密码关键核心技术,是密码事业高质量发展的必由之路。
──────────────────────────────────────────────────
密码政策问答(二十二)
发布日期:2020-01-28 来源:国家密码管理局
问:《密码法》在商用密码使用方面提出了什么样的管理要求?
答:《密码法》规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,《密码法》第二十七条规定了关键信息基础设施的商用密码使用要求。
──────────────────────────────────────────────────
密码政策问答(二十一)
发布日期:2020-01-27 来源:国家密码管理局
问:什么是商用密码?
答:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。
关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。
──────────────────────────────────────────────────
密码政策问答(二十)
发布日期:2020-01-26 来源:国家密码管理局
问:为什么要对核心密码、普通密码实行严格统一管理?
答:密码管理部门按照中央要求,对核心密码、普通密码实行严格统一管理,针对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节制定了一系列严格的安全管理制度和保密措施,对核心密码、普通密码实行全生命周期的严格统一管理。
这是因为:第一,核心密码、普通密码用于保护国家秘密信息,直接关系国家安全和利益。第二,核心密码、普通密码本身也属于国家秘密,一旦泄密,将危害国家安全和利益。
──────────────────────────────────────────────────
密码政策问答(十九)
发布日期:2020-01-25 来源:国家密码管理局
问:什么是核心密码、普通密码?
答:核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。
按照《保守国家秘密法》的规定,国家秘密是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。《密码法》根据保护对象的不同,对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。
──────────────────────────────────────────────────
密码政策问答(十八)
发布日期:2020-01-24 来源:国家密码管理局
问:为什么要对密码实行分类管理?
答:将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。
──────────────────────────────────────────────────
密码政策问答(十七)
发布日期:2020-01-23 来源:国家密码管理局
问:密码是如何分类的?
答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。
──────────────────────────────────────────────────
密码政策问答(十六)
发布日期:2020-01-22 来源:国家密码管理局
问:国家机关和涉及密码工作的单位的密码工作职责是什么?
答:国家机关和涉及密码工作的单位根据工作需要,承担相应的密码工作职责,是密码工作管理体制的重要组成部分。国家机关是指中央、省、市、县各级国家机关。涉及密码工作的单位是指除国家机关以外,承担密码管理职责的企事业单位等。这些机关、单位在其职责范围内负责本机关、本单位或本系统的密码工作。
──────────────────────────────────────────────────
密码政策问答(十五)
发布日期:2020-01-21 来源:国家密码管理局
问:四级密码工作管理体制的含义?
答:《密码法》赋予了国家、省、市、县四级密码管理部门行政管理职责。
国家密码管理部门是指国家密码管理局。2005年1月,中央机构编制委员会批准成立国家密码管理局。2018年3月,《国务院关于部委管理的国家局设置的通知》明确规定,国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中共中央直属机关的下属机构序列。
县级以上地方各级密码管理部门是指省(自治区、直辖市)、市(地、州、盟)、县(市、区、旗)密码管理局。
──────────────────────────────────────────────────
密码政策问答(十四)
发布日期:2020-01-20 来源:国家密码管理局
问:我国的密码工作管理体制是什么?
答:根据密码工作依法管理的需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了密码工作管理体制,包括两个方面的内容:一是国家、省、市、县四级密码工作管理体制,二是国家机关和涉及密码工作的单位的密码工作职责。
──────────────────────────────────────────────────
密码政策问答(十三)
发布日期:2020-01-19 来源:国家密码管理局
问:我国的密码工作领导体制是什么?
答:《密码法》明确规定,中央密码工作领导机构,即中央密码工作领导小组,对全国密码工作实行统一领导,把中央确定的密码工作领导体制,通过法律形式固化下来,为密码工作沿着正确方向发展提供根本保证。
中央密码工作领导小组统一领导全国密码工作,负责制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
──────────────────────────────────────────────────
密码政策问答(十二)
发布日期:2020-01-18 来源:国家密码管理局
问:密码工作坚持党的绝对领导体现在哪些方面?
答:坚持党对密码工作的绝对领导,是在任何时候、任何情况下都必须毫不动摇坚持的根本原则。《密码法》规定,坚持中国共产党对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律。党的密码工作创建于1930年,一直由党中央直接领导和管理,党管密码原则是密码工作长期实践和历史经验的深刻总结,是密码工作最重要、最根本、最核心的要求。
坚持党的绝对领导,主要体现在:一是密码工作的重大事项向中央报告,密码工作的重大决策由中央决定。二是坚决贯彻执行中央关于密码工作的方针政策,落实中央确定的密码工作领导和管理体制。三是充分发挥党的领导核心作用,各级党委(党组)和密码工作领导机构要认真履行党管密码的政治责任。
──────────────────────────────────────────────────
密码政策问答(十一)
发布日期:2020-01-17 来源:国家密码管理局
问:密码工作的基本原则中”依法管理、保障安全”是指什么?
答:党的十九大把坚持全面依法治国确立为习近平新时代中国特色社会主义思想和新时代坚持和发展中国特色社会主义的基本方略的重要内容,提出”必须坚持厉行法治,推进科学立法、严格执法、公正司法、全民守法”。
坚持依法管理,就是各级密码管理部门要严格按照《密码法》和有关法规、规章和规范性文件的规定,依法全面履行密码行政管理职能。
坚持保障安全,就是要加强密码安全制度建设,完善密码安全管理措施,对密码管理重点关键环节实施有效监管,增强密码安全保障能力。
──────────────────────────────────────────────────
密码政策问答(十)
发布日期:2020-01-16 来源:国家密码管理局
问:密码工作的基本原则中”创新发展、服务大局”是指什么?
答:创新发展是密码工作的发展之基、力量之源。党的密码工作从诞生的第一天起,正是凭借不断地自主创新,走出了一条从无到有、从小到大、从弱到强的中国特色密码发展之路。坚持创新发展,就是要以科技创新为核心,以管理创新为推动,以制度创新为保证,支持密码科学技术研究,推动密码产业发展。
服务大局是密码工作的价值所在,更是其宗旨要求。密码工作与党和国家的事业血肉相连、命运休戚相关,在革命、建设和改革各个历史时期,都紧紧围绕党和国家的中心任务和奋斗目标,发挥着不可替代的特殊重要作用。
──────────────────────────────────────────────────
密码政策问答(九)
发布日期:2020-01-15 来源:国家密码管理局
问:密码工作的基本原则中”统一领导、分级负责”是指什么?
答:坚持党对密码工作的集中统一领导,是密码工作相对于其他工作的根本区别。统一领导是指全国密码工作由中央集中管理。分级负责是指在中央统一领导下,分级分类管理,充分发挥各级密码管理部门的积极性、主动性。《密码法》第四条明确规定:”坚持中国共产党对密码工作的领导。”这是我国密码工作的根本制度。
──────────────────────────────────────────────────
密码政策问答(八)
发布日期:2020-01-14 来源:国家密码管理局
问:密码工作的基本原则是什么?
答:总体国家安全观要求推动建立新的安全体制,在密码工作中具体体现为统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的基本原则,这是密码工作历史经验和实践的深刻总结。
──────────────────────────────────────────────────
密码政策问答(七)
发布日期:2020-01-13 来源:国家密码管理局
问:《密码法》的管理对象有哪些?
答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。
密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动。
──────────────────────────────────────────────────
密码政策问答(六)
发布日期:2020-01-12 来源:国家密码管理局
问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫作”斯巴达棒”的圆木棍来进行加密通信。
安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实。
──────────────────────────────────────────────────
密码政策问答(五)
发布日期:2020-01-11 来源:国家密码管理局
问:《密码法》经历了怎样的立法过程?
答:党和国家高度重视密码立法工作,2018年至2019年,全国人大常委会和国务院都将《密码法》列入了立法工作规划。
2014年12月,国家密码管理局正式启动《密码法》的立法工作。
2017年4月至5月,《中华人民共和国密码法(草案征求意见稿)》在国家密码管理局商用密码管理办公室网站首次面向社会公开征求意见。
2017年6月,《中华人民共和国密码法(草案送审稿)》正式报送国务院。
2019年6月10日,《中华人民共和国密码法(草案)》经国务院第52次常务会议讨论通过。6月15日,李克强总理签署议案,正式将草案提请全国人大常委会审议。
2019年10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》,习近平主席签署第三十五号主席令正式颁布,自2020年1月1日起施行。
──────────────────────────────────────────────────
密码政策问答(四)
发布日期:2020-01-10 来源:国家密码管理局
问:《密码法》的立法目的是什么?
答:一、规范密码应用和管理,促进密码事业发展
目前,有关部门、单位和社会公众对密码的作用认识不够全面,使用密码保护网络与信息安全的意识还不够强,特别是重要网络与信息系统密码应用规范性、有效性不够的问题还比较突出,严重威胁国家网络与信息安全、企业商业秘密以及公民个人隐私保护。
二、保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益
在网络与信息时代,每天都会产生大量涉密和敏感信息,网络窃密、网络诈骗、侵犯隐私等事件层出不穷,亟需有效的安全防护措施。密码是保障网络与信息安全的核心技术和基础支撑。
──────────────────────────────────────────────────
密码政策问答(三)
发布日期:2020-01-09 来源:国家密码管理局
问:《密码法》有什么样的法律地位?
答:密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,以习近平同志为核心的党中央坚持总体国家安全观,在完善国家安全体系的总体布局中对加强密码工作和密码立法作出了重要部署。
《密码法》是我国国家安全法律制度体系的重要组成部分,是密码领域的综合性、基础性法律,也是一部技术性、专业性较强的专门法律。《密码法》以法律的形式明确了党管密码的根本原则,确立了密码工作领导和管理体制,明确了密码分类管理原则以及核心密码、普通密码、商用密码管理的各项制度措施。
──────────────────────────────────────────────────
密码政策问答(二)
发布日期:2020-01-08 来源:国家密码管理局
问:《密码法》中”密码”的概念是什么?
答:《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机”密码”、微信”密码”、QQ”密码”、电子邮箱登录”密码”、银行卡支付”密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的”通行证”,是一种简单、初级的身份认证手段,”口令”不在《密码法》的管理范围之内。
──────────────────────────────────────────────────
密码政策问答(一)
发布日期:2020-01-06 来源:国家密码管理局
1.问:《密码法》施行后,商用密码产品的管理方式有什么变化?
答:根据《密码法》第二十五条、第二十六条的规定,商用密码产品管理方式将由行政审批调整为检测认证管理,国家密码管理局不再实施”商用密码产品品种和型号审批”。市场监管总局会同国家密码管理局建立国家统一推行的商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证。
2.问:《密码法》施行后,已发放的《商用密码产品型号证书》是否仍然有效?
答:《密码法》施行后,市场监管总局将会同国家密码管理局建立国家统一推行的商用密码认证制度,国家密码管理局将不再受理商用密码产品品种和型号申请,停止发放《商用密码产品型号证书》,已发放的《商用密码产品型号证书》自2020年7月1日起自动失效。
3.问:《密码法》施行后,尚未完成商用密码产品品种和型号审批的产品应该如何处理?
答:本着便民利企原则,对于尚未完成商用密码产品品种和型号审批的,原产品品种和型号申请单位可于2020年6月30日前,自愿转为认证申请。
4.问:《密码法》施行后,如何向具备资质的商用密码认证机构提交认证申请?
答:市场监管总局、国家密码管理局正在抓紧制定国推商用密码认证的产品目录、认证规则和有关实施要求。待相关内容发布后,商用密码从业单位便可自愿向具备资质的商用密码认证机构提交认证申请。
5.问:《密码法》施行后,商用密码进出口有哪些管理要求?
答:根据《密码法》第二十八条的规定,商用密码进出口将纳入两用物项进出口管理,由商务部、国家密码管理局依法实施进口许可和出口管制。
──────────────────────────────────────────────────
公众号回复:“密码政策问答与政策解读汇编”获取
密评刷题小程序点击下方,免费使用
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:瓜神网络安全&分享 godmellon godmellon《密码政策问答与政策解读汇编》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论