10月26日,密码法正式通过十三届全国人大常委会第十四次会议表决,将自2020年1月1日起施行。从2014年12月起草至今,五年间密码法多次面向社会公开征求意见,经过反复修改和调整,终于正式发布。
那么,密码法的发布将会对企事业单位带来怎样的影响呢,我们梳理了以下要点:
哪些涉及密码的活动将受到法律的约束?
➤密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动,适用本法。
➤密码法适用于密码技术的生产方、使用方以及监督主管方。
密码的分类与管理
➤密码法将密码分类为核心密码、普通密码与商用密码,并明确要求对这三类密码实行分类管理。
➤其中“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两类密码的管理。对这两类密码,《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。
➤而商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。
密码安全性评估成为必须
本次《密码法》发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。
根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。
并对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。
通过密码安全性评估需要关注哪些?
当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定:
腾讯安全云数据加密服务提供全生命周期的国密数据保护能力
腾讯安全云数据加密服务提供
全生命周期的国密数据保护能力
在密码服务及数据安全方向,腾讯安全打造了端到端的云数据全生命周期安全体系,以“数据安全能力中台”为中心,保障数据在识别、使用、消费过程中的安全。在这套数据安全体系中,腾讯安全提供全数据生命周期、完整的云产品生态集成、以及完全符合国家密码局标准的高性能国密算法加密API/SDK服务。
在腾讯安全数据安全能力中台的架构中,合规的密码运算(算法)、密码技术、密码产品以组件化、服务化方式输出,用户可便捷的将加密组件集成至云上业务系统中。典型云产品应用包括密钥管理系统KMS(点击“阅读原文”,了解详情)、云加密机CloudHSM、以及基于国密的SDK套件服务、基于国密KMS标准的凭据管理服务。
借助腾讯安全数据安全能力中台提供的极简化的加密API和SDK服务,用户可以轻松的在各个业务环节中嵌入合规的加密及密码技术,以及便捷的实现对现有业务的密码应用进行合规化改造。
在即将于11月6日-7日在北京举行的首届Techo开发者大会上,腾讯安全云鼎实验室将带来更多关于数据安全能力中台的详细内容,敬请关注。
➤推荐阅读
关注云鼎实验室,获取更多安全情报
?点击阅读原文,了解更多详情