密码法草案提请审议,运营者可自行开展商用密码应用安全性评估

  • 时间:
  • 浏览:3
  • 来源:3分彩网投平台-3分彩投注平台_3分彩娱乐平台

商用密码应用安全性评估拟放开。10月21日,密码法草案提交十三届全国人大常委会第十四次会议二次审议。草案拟明确要求核心密码、普通密码实行密码“保密责任制”,定期开展安全评估。一并,在商用密码安全性评估疑问上,草案二审稿拟明确运营者可自行就让委托商用密码检测机构开展安全性评估。

明确保密责任制,增加安全风险评估机制

草案一审稿规定,密码分为核心密码、普通密码和商用密码。其中,核心密码和普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息,公民、法人和许多组织还必须依法使用商用密码保护网络与信息安全。

上述草案对核心密码、普通密码的管理使用作了专章规定。有的常委会组成人员和地方建议进一步强化管理,实行密码安全保密责任制,定期开展安全评估,发现安全隐患风险后应当立即采取相应妙招。

宪法和法律委员会经研究,建议在草案第十五条中明确要求实行密码“保密责任制”,并在草案第十七条第一款中增加“安全风险评估”机制;在第二款增加规定,发现影响核心密码、普通密码安全的“风险隐患”时,应当立即采取应对妙招。

比如,草案二审稿第十五条规定:从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密妙招和保密责任制,确保核心密码、普通密码的安全。

针对泄密等风险隐患的清况 ,草案二审稿第十七条规定:密码工作机构发现核心密码、普通密码泄密就让影响核心密码、普通密码安全的重大疑问、风险隐患的,应当立即采取应对妙招,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、除理就让指导有关密码工作机构及时消除安全隐患。

可自行开展商用密码安全性评估,检测机构应承担保密义务

草案第二十七条规定了商用密码应用安全性评估和国家安全审查制度。

有常委会组成人员和部门、企业、公众提出,网络安全法已对网络关键信息基础设施的安全检测评估和国家安全审查作了相关规定,建议本法与网络安全法做好衔接。有的企业提出,许多大型企业有能力对所运营的网络自行进行安全性评估。

宪法和法律委员会经研究,建议将第二十七条修改为:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行就让委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,除理重复评估、测评。”

草案二审稿还对商用密码检测、认证机构的职能和密码管理部门的监督职权作了规定。有的常委会组成人员建议进一步增加对上述机构和部门的保密义务要求。

为此,二审稿建议在第二十五条增加一款:“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。”

一并还规定,“密码管理部门和有关部门及其工作人员应当对在履行职责中知悉的商业秘密和自己隐私严格保密,不得泄露就让非法向他人提供。”

此外,草案二审稿还规定了违反密码法相关规定的法律责任,进一步明确了处罚主体、处罚对象、处罚妙招和罚则。

建立“安全风险评估机制”

此前一审,有的常委会组成人员建议进一步强化国家对核心密码、普通密码的管理,实行密码安全保密责任制,定期开展安全评估,经常出现安全隐患风险应当立即采取相应妙招。

二审稿采纳了上述建议,规定:从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构应当建立健全安全管理制度,采取严格的保密妙招和保密责任制,确保核心密码、普通密码的安全;密码管理部门根据工作必须会同有关部门建立核心密码、普通密码的安全检测预警、安全风险评估、信息通报、重大事项会商和应急除理等媒体战略合作机制,确保核心密码、普通密码管理的协同联动和有序高效。

未按规定开展商用密码应用安全性评估可处100万罚款

草案规定了商用密码应用安全性评估和国家安全性审查制度,提出:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行就让委托商用密码检测机构开展商用密码安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,除理重复评估、测评。

就让关键信息基础设施的运营者未按照上述条款的要求使用商用密码,就让未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正就让是因为危害网络安全等后果的,处8万元以上100万元以下罚款,对直接负责主管人员处1万元以上8万元以下罚款。

强化商用密码检测、认证机构保密义务

一审时,有的常委会组成人员建议进一步增加对商用密码检测、认证机构的保密义务要求。据此,二审稿增加规定,“商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务”;“密码管理部门和有关部门及其工作人员应当对其在履行职责中知悉的商业秘密和自己隐私严格保密,不得泄露就让非法向他人提供”。

进入“网络安全”首页,浏览更多精彩内容 >>