新(xin)時(shi)期，網絡環(huan)境(jing)日(ri)益(yi)復雜而(er)深(shen)刻，密(mi)碼(ma)應用需求日(ri)益(yi)多樣化。推進商用密(mi)碼(ma)合規、正確、有效應用，是新(xin)時(shi)期商用密(mi)碼(ma)管理和創新(xin)發展的重中之重。

國(guo)家法(fa)(fa)律法(fa)(fa)規有關密碼應用的要(yao)求(qiu)

面對國家安全的(de)(de)新形勢(shi) ，我國已在(zai)多部法(fa)律法(fa)規中明(ming)確規定(ding)了密碼(ma)應用(yong)的(de)(de)要(yao)求，包括《密碼(ma)法(fa)》、《網(wang)絡安全法(fa)》、《商用(yong)密碼(ma)管(guan)理條例》、《關鍵信息基礎(chu)設施安全保護條例（征求意(yi)見稿）》、《網(wang)絡安全等級保護條例（征求意(yi)見稿）》等。

01《中華人民共和國密碼法》

02《中華人民共和(he)國網絡(luo)安全法》

03《商用密碼管理(li)條例(li)》

1999年發布的《商用密碼管理條例》規定國家對商用密碼產品的研發、生產、銷售和使用實行專控管理。為落實《密碼法》有關立法精神，《商用密碼管理條例》修訂將充分體現國家“放管服”改革要求，取消對科研、生產、銷售單位等的行政許可事項，強化密碼應用要求，突出對關(guan)鍵信息(xi)基礎設施(shi)和網(wang)絡(luo)安全等級(ji)保護第三級(ji)及以上信息系(xi)統(tong)的密碼應用監管，并實施商用(yong)密(mi)碼應用(yong)安(an)全性評估和安(an)全審查(cha)制度。

04《關鍵(jian)信息基(ji)礎設施安全保(bao)護條例(征(zheng)求意見稿(gao))》

《關鍵信息基礎設施安全保護條例（征求意見稿）》明確了在關鍵信息基礎設施保護工作中，依據密碼管理法律法規開展有關密碼管理工作，充分體現了密碼管理在國家網絡安全大局中的重要地位和作用。該《條例》明確了關鍵信息(xi)基(ji)礎(chu)設施的密碼應用要求，壓實了網絡安全運營者和主管部門有關密碼應用和密碼安全的主體責任，為密碼管理部門開展網絡空間密碼保護工作，尤其是網絡安全檢查和安全審查等工作提供了法律依據，同時也為開展密評工作提供了強有力的支撐。

05《網絡安全(quan)等級保護條例(征求意見稿)》

2018年6月27日，《網絡安全等級保護條例（征求意見稿）》向社會公開征求意見，其中設置了密碼管理專章，體現了密碼管理在網絡安全等級保護工作中的重要作用，明確了網絡安全等級保護密碼管理的主要思路、方式和手段，強調了網絡安全等級保護第三級及以上(shang)系(xi)統(tong)使(shi)用密碼進(jin)行(xing)保護的義務，突出了商(shang)用(yong)密(mi)碼應用(yong)安全性評估(gu)作(zuo)為等級(ji)保護(hu)密(mi)碼管理主要抓手的地位和作(zuo)用(yong)，強化了密碼管理部門在等級保護技術標準制定、監督檢查、密碼應用安全性評估工作開展等方面的職權，明確規定了“國家密碼管理部門負責網絡安全等級保護工作中有關密碼管理工作的監督管理”，還從網絡安全等級保護的事前備案審核、事中應用要求，以及事中事后監管和法律責任各環節對密碼管理和應用進行了規定。

《網絡(luo)安全(quan)等級(ji)保護(hu)條例》頒布實施后，將替代現(xian)行的《信息(xi)安全(quan)等級(ji)保護(hu)管(guan)理(li)辦法》，對我(wo)國(guo)的網絡(luo)安全(quan)等級(ji)保護(hu)進行規(gui)范和管(guan)理(li)。屆時，國(guo)家密碼(ma)管(guan)理(li)局將與公安部等部門密切(qie)配(pei)合(he)，依法開展密評工作(zuo)，并修訂《信息(xi)安全(quan)等級(ji)保護(hu)商用密碼(ma)管(guan)理(li)辦法》等配(pei)套規(gui)章(zhang)。

06《信息(xi)安全等級保護(hu)商用密(mi)碼管理(li)辦法》

《信息(xi)安(an)全(quan)等級保(bao)護商用(yong)(yong)密(mi)碼(ma)管(guan)理辦法》規定：“信息(xi)安(an)全(quan)等級保(bao)護中使用(yong)(yong)的商用(yong)(yong)密(mi)碼(ma)產(chan)品，應當是(shi)國(guo)家密(mi)碼(ma)管(guan)理局準(zhun)予銷(xiao)售的產(chan)品”。

為配合《信息安全等級保護商用密碼管理辦法》的實施，進一步規范信息安全等級保護商用密碼工作，國家密碼管理局印發《信息安全等級保護商用密碼管理辦法實施意見》，規定“第三級及以上信息系統的商用密(mi)碼(ma)應用系統建設(she)方案(an)應當通(tong)過密(mi)碼(ma)管理部門組織的評審后方可(ke)實(shi)施”，“第三級及以上(shang)信息系統的(de)商用(yong)密碼應(ying)用(yong)系統，應(ying)當通(tong)過(guo)國家密碼管(guan)理部門指定測評(ping)機(ji)構的(de)密碼測評(ping)后方(fang)可投入運行。密碼測評包括資料審查、系統分析、現場測評、綜合評估等”，這些制度均明確了信息安全等級保護第三級及以上信息系統的商用密碼應用要求。

07《電(dian)子認(ren)證服務密(mi)碼管理辦法》

《電子認證服務密碼管理辦法》主要規定面向社會公眾提供電子認證服務應(ying)當(dang)使用商用密碼(ma)，明確了申請電子認證服務使用密碼許可應當具備的基本條件和程序，對電子認證服務系統的運行和技術改造等做出了規定。同時，要求電子認證服務系統要由具有商用密碼產品生產和密碼服務能力的單位，按照GM T 0034-2014《基于SM2 密碼算法的證書認證系統密碼及其相關安全技術規范》的要求承建，并通過國家密碼管理局組織的安全性審查。

08《政(zheng)務信息系統政(zheng)府采購(gou)管理(li)暫行(xing)辦(ban)法》

2017年12月26日，財政部印發的《政務信息系統政府采購管理暫行辦法》第八條規定：“采購需求應當落實國家密碼管理有關法律法規、政策和標準規范的要求，同(tong)步(bu)規劃、同(tong)步(bu)建設(she)、同(tong)步(bu)運行密碼保障系統(tong)并定(ding)期進行評估(gu)。”第十二條規定：“采購人應當按照國家有關規定組織政務信息系統項目驗收，根據項目特點制定完整的項目驗收方案。驗收方案應當包括項目所有功能的實現情況、密碼應用和(he)安全審查情況、信息系統共享情況、維保服務等采購文件和采購合同規定的內容，必要時可以邀請行業專家、第三方機構或相關主管部門參與驗收。

09《國家政務信息(xi)化項目建設(she)管理辦(ban)法》

2019年12月30 日(ri)，《國家政務信息(xi)化項(xiang)目建(jian)設管理辦(ban)法》發布，對國家政務信息(xi)系統的(de)規(gui)劃、審批、建(jian)設、共享和監管做出(chu)規(gui)定，其中明確規(gui)定了多項(xiang)密碼應用(yong)有關(guan)要求。

政務信息化項目建設單位，應同(tong)步(bu)(bu)規劃、同(tong)步(bu)(bu)建(jian)設、同(tong)步(bu)(bu)運行密碼保障系統并定期進(jin)行評估；按要求向發改委備案的備案文件應當包括密碼應用方案和密(mi)碼(ma)應用(yong)安(an)全性評估報(bao)告；項目的密碼應用和安全審查情(qing)況應當作為(wei)項目驗收的重(zhong)要內(nei)容之(zhi)一(yi)，密碼應用(yong)安全(quan)性評估報(bao)告應當作為提交(jiao)驗收申請的必要材料(liao)；對于不符(fu)合密碼應用和網絡安全要求的政務信息系統，不(bu)安排運行(xing)維(wei)護經費，項目建設單位不得新建、改建、擴建政務信息系統；國務院有關部門對密碼應用情況實施監督管理，不符合要求的，視情予以通報批評、暫緩安排投資計劃、暫停項目建設直至終止項目；國務院各部門應(ying)當嚴格(ge)按要求(qiu)采用密碼(ma)技術(shu)，并定(ding)期(qi)開展密(mi)碼應用安全性評估，確保政務信息系統運行安全和政務信息資源共享交換的數據安全。

——內容摘錄自《商用密(mi)碼(ma)應用與安全性評估》