商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
1. 基础信息网络:电信网、广播电视网、互联网。
2. 重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
3.重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
4. 政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
《密码法》
第三十七条第一款
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》
第二十八条第三款
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》
第二章第十条
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
依据GM/T0054-2018《信息系统密码应用基本要求》等标准,系统评估从物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展。
测评机构完成系统评估后,出具评估报告。在密评活动结束30个工作日内,将评估结果报密码管理部门等相关部门备案。
密评工作流程
密评如何定级与备案?
密评实施流程与方法?
