听说目前业内都有这样一个基本共识:不做等保=违法。不做密码测评≈违法?
2018年2月国家密码管理局发布《GM0054-2018 信息系统密码应用基本要求》
从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了等级保护不同级别的密码技术应用要求,明确了等级保护不同级别的密钥管理和安全管理要求。
在密码管理要求算法合规性中要求:使用的各类算法中,至少包含各SM系列密码算法(若使用了分组算法,至少应包含SM1算法或SM4算法;若使用了非对称算法,至少应包含SM2算法或SM9算法;若是使用了杂凑算法,至少应包含SM3算法)。
2018年3月《密码法》进入人大年度立法计划
第八条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算。
第十二条 关键信基础设施应当依照法律、法规的规定和密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统。
2019年5月网络安全等级保护系列新国家标准正式发布
新标准共修订了《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护安全设计技术要求》三个网络安全领域的国家标准。
其中,安全设计技术要求主要从用户身份鉴别、访问控制、安全审计、用户数据完整性和保密性保护、客体安全重用、可信验证、配置可信性检查、入侵检测和恶意代码防范等方面提出要求。其中,在8个控制点中的要求项中,“等保2.0”密码的新标准相较“等保1.0”更加细致和明确,包括密码认证方式、密码技术、密码国家及行业标准等方面明确了严格的测评标准。
2018年6月公安部《网络安全等级保护条例(征求意见稿)》
第四十七条 【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上的网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全应用性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地社区市的密码管理部门备案。
2018年 国家关于金融和重要领域密码应用的重要文件
提出密码是保障网络安全的核心技术和基础支撑; 构建以密码为核心的安全支撑体系。
2018年7月网信办《关键信息基础设施安全保护条例(征求意见稿)》
第五十三条 关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。(摘自网络)
