密碼法正式發布，企業該如何準備？

• 2019 年 10 月 28 日
• 筆記

10月26日，密碼法正式通過十三屆全國人大常委會第十四次會議表決，將自2020年1月1日起施行。從2014年12月起草至今，五年間密碼法多次面向社會公開徵求意見，經過反覆修改和調整，終於正式發布。

那麼，密碼法的發布將會對企事業單位帶來怎樣的影響呢，我們梳理了以下要點：

哪些涉及密碼的活動將受到法律的約束？

➤密碼的科研、生產、經營、進出口、檢測、認證、使用和監督管理等活動，適用本法。

➤密碼法適用於密碼技術的生產方、使用方以及監督主管方。

密碼的分類與管理

➤密碼法將密碼分類為核心密碼、普通密碼與商用密碼，並明確要求對這三類密碼實行分類管理。

➤其中「核心密碼」與「普通密碼」被用來保護國家秘密資訊，涉密單位應重點關注對於這兩類密碼的管理。對這兩類密碼，《密碼法》要求實行密碼「保密責任制」和「安全風險評估」機制。

➤而商用密碼被用於保護不屬於國家秘密的資訊，公民、法人和其他組織可以依法使用商用密碼保護網路與資訊安全。一般來說非涉密單位接觸到的密碼應用，都屬於商用密碼，應遵循國家密碼局商用密碼管理有關條例規定。

密碼安全性評估成為必須

本次《密碼法》發布對於非涉密的企事業單位來說，最大的影響就是必須要主動進行「密碼安全性評估」。

根據《密碼法》要求，商用密碼產品及服務使用方應按照國家密碼管理局有關規定，對商用密碼產品、密碼服務、密碼技術進行安全性以及合規性認證。

並對關鍵資訊基礎設施，應採用商用密碼進行保護，並進行密碼安全性評估，同時與關鍵資訊基礎設施安全檢測評估、網路安全等級測評制度密碼相關要求相銜接。

通過密碼安全性評估需要關注哪些？

當前，中國密碼安全性評估主要依據是《GM∕T 0054-2018 資訊系統密碼應用基本要求》，其對資訊系統的規劃、建設、運行三個階段的密碼應用情況安全性評估進行了詳細的規定：

在密碼演算法方面，資訊系統中使用的密碼演算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。如使用國家批准的商用密碼演算法SM2、SM3、SM4等，

在密碼技術方面，密碼技術中涉及的標準密碼協議應符合中國相關密碼標準，如果是自定義的密碼協議，設計要安全合理，同時遵循相關密碼標準。如針對SSL相關應用，設計標準應遵循《GM/T 0024-2014 SSL VPN 技術規範》。

在密碼產品方面，資訊系統中使用的密碼產品與密碼模組應通過國家密碼管理部門核准。如資訊系統中使用的密碼模組應具備商密型號證書。

在密碼服務方面，資訊系統中使用的密碼服務應通過國家密碼管理部門的許可。

騰訊安全雲數據加密服務提供全生命周期的國密數據保護能力

在密碼服務及數據安全方向，騰訊安全打造了端到端的雲數據全生命周期安全體系，以「數據安全能力中台」為中心，保障數據在識別、使用、消費過程中的安全。在這套數據安全體系中，騰訊安全提供全數據生命周期、完整的雲產品生態集成、以及完全符合國家密碼局標準的高性能國密演算法加密API/SDK服務。

在騰訊安全數據安全能力中台的架構中，合規的密碼運算（演算法）、密碼技術、密碼產品以組件化、服務化方式輸出，用戶可便捷的將加密組件集成至雲上業務系統中。典型雲產品應用包括密鑰管理系統KMS、雲加密機CloudHSM、以及基於國密的SDK套件服務、基於國密KMS標準的憑據管理服務。

藉助騰訊安全數據安全能力中台提供的極簡化的加密API和SDK服務，用戶可以輕鬆的在各個業務環節中嵌入合規的加密及密碼技術，以及便捷的實現對現有業務的密碼應用進行合規化改造。

在即將於11月6日-7日在北京舉行的首屆Techo開發者大會上，騰訊安全雲鼎實驗室將帶來更多關於數據安全能力中台的詳細內容，敬請關注。