电脑装配网

密码法二审稿加入“安全风险评估” 商用密码将迎来“黄金时代”

 人阅读 | 作者xiaofeng | 时间:2022-12-18 14:13

10月21日下午,十三届全国人大常委会第十四次会议在北京人民大会堂举行第一次全体会议,栗战书委员长主持。

会议听取了全国人大宪法和法律委员会副主任委员刘季幸作的关于密码法草案审议结果的报告。草案二审稿强调加强密码人才培养,明确实行密码保密责任制,完善商用密码应用安全性评估制度,强化保密义务和法律责任等。宪法法律委认为草案已比较成熟,建议提请本次常委会会议审议通过。

640.webp.jpg

10月22日上午,十三届全国人大常委会第十四次会议举行分组会议,审议密码法草案。

2019年6月,十三届全国人大常委会第十一次会议对密码法草案进行了初次审议,草案在广泛征求意见后作出修改。

经公开报道整理,此次审议的密码法草案二审稿修改内容如下:

增加“安全风险评估”机制

草案一审稿对核心密码、普通密码的管理和使用作了专章规定。有的常委会组成人员和地方建议进一步强化国家对核心密码、普通密码的管理,实行密码安全保密责任制,定期开展安全评估,发现安全隐患风险后应当立即采取相应措施。

对此,草案二审稿明确要求实行密码“保密责任制”,并在第十七条第一款增加“安全风险评估”机制;规定:密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。在第二款增加规定,发现影响核心密码、普通密码安全的“风险隐患”时,应当立即采取应对措施。

强化保密义务

草案一审稿第二十五条和第三十一条分别对商用密码检测、认证机构的职能和密码管理部门的监管职权作了规定。有的常委会组成人员建议进一步增加对上述机构和部门的保密义务要求。

对此,草案二审稿在第二十五条增加一款作为第三款,规定:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务”;

在第三十一条增加一款作为第二款,规定:“密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。”

加强密码人才培养

草案一审稿对加强核心密码、普通密码人才队伍培养、建设作了规定,草案二审稿将人才队伍、建设的内容移至总则,不仅明确了国家同样重视商用密码人才的培养,而且突显了人才培养对密码事业的重要性。

草案二审稿规定:国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。

商用密码与关键信息基础设施保护

在商用密码的安全风险评估方面,草案二审稿规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

草案明确,关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

法律责任

草案一审稿第四章规定违反密码法相关规定的法律责任。有的常委会组成人员和部门建议,进一步明确相关条款的处罚主体、处罚对象、处罚依据和罚则。

对此,草案二审稿第三十二条增加相关法律规定依据表述;第三十四条增加一款,明确违反第十七条第二款规定的法律责任;第三十七条根据网络安全法的规定明确具体罚则;第四十条增加密码管理部门和有关部门、单位的工作人员违反保密义务的法律责任。(以上信息来源于:公安三所)


不得不等:商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。出发点很好,避免各类评估,避免占用经费过多,如果此项内容最终实施,那么商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评制度将最终走向统一。不同主管部门之间的监管如何统一协作,不同测评机构相关能力及资质如何认证都是需要考虑的问题。可以预见的是,安全评估市场要进行大洗牌,强者恒强,弱者将被淘汰,技术门槛越来越高,对那些能力不足的机构将是很大考验。

 


文章标签:

本文链接:『转载请注明出处』