中华人民共和国密码法
——————————————————————————————————————————————————————————————————————
第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
——————————————————————————————————————————————————————————————————
释义:本条是关于商用密码标准体系的规定。
——————————————————————————————————————————————————————————————————
商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。《密码法》明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。
商用密码国家标准、行业标准属于政府主导制定的标准,商用密码团体标准、企业标准属于市场主体自主制定的标准。其中,商用密码国家标准由国家标准化管理委员会组织制定,代号为GB。商用密码行业标准由国家密码管理局组织制定,报国家标准化管理委员会备案,代号为GM。商用密码团体标准由商用密码领域的学会、协会等社会团体制定,商用密码企业标准由商用密码企业制定或者企业联合制定。
2011年10月,经国家标准化管理委员会批准,国家密码管理局设立了密码行业标准化技术委员会。密码行业标准化技术委员会作为我国密码行业唯一标准化组织,受国家密码管理局委托,主要职责包括:
1、提出密码行业标准规划和年度标准制定、修订计划的建议;
2、组织密码行业标准的编写、审查、复审等工作;
3、组织密码领域的国家和行业标准的宣传贯彻,推荐密码领域标准化成果申报科技进步奖励,或向国家标准化管理委员会提出项目奖励建议;
4、受国家标准化管理委员会委托,对相关国际标准文件进行表决、审查我国提案,并组织开展国际技术交流与合作等。
当前,商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、产品等);检测类标准为基础类标准和应用类标准提供了合法性检测的功能,保障商用密码使用的合法性;管理类标准为其他三类标准提供了管理功能;应用类标准为上层具体的密码产品、服务应用提供支持。
中华人民共和国密码法
——————————————————————————————————————————————————————————————————————
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
——————————————————————————————————————————————————————————————————
释义:本条是关于商用密码国际标准化的规定。
——————————————————————————————————————————————————————————————————
国际标准是指国际标准化组织制定的标准,以及国际标准化组织确认并公布的其他国际组织制定的标准。国际标准在世界范围内统一使用。目前,全球范围内的主要国家和国际标准化组织包括:国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟电信标准化部门(ITU-T)、全球移动通信系统协会(GSMA)、电气和电子工程师协会(IEEE)、美国国家标准协会(ANSI)、电子工业联合会(EIA)等。参与国际标准化活动包括开展标准化对外交流与合作,参与制定国际标准、结合国情采用国际标准、推进中国国标准与国外标准间的转化作用等。
我国高度重视商用密码国际标准化工作,大力推进以我国自主设计研制的SM系列密码算法为代表的中国商用密码标准纳入国际标准,积极参与国际标准化活动,加强国际交流合作。2011年9月,我国设计的祖冲之(ZUC)算法纳入国际第三代合作伙伴计划组织(3GPP)的4G移动通信标准,用于移动通信系统空中传输信道的信息加密和完整性保护,这是我国密码算法首次成为国际标准。2015年5月起,我国陆续向ISO提出了将SM2、SM3、SM4和SM9算法纳入国际标准的提案。2017年,SM2和SM9算法正式成为ISO/IEC国际标准。2018年,SM3算法正式成为ISO/IEC国际标准。我国商用密码国际标准体系已初步成型,为密码在全球范围的发展与应用提供了中国方案,贡献了中国智慧。
在转化运用国际标准方面,商用密码行业标准GM/T0028《密码模块安全技术要求》和GM/T0039《密码模块安全检测要求》,分别参考国际标准ISO19790和ISO24759编制,为规范商用密码产品管理、提升商用密码产品安全防护能力发挥了重要作用,充分体现了商用密码标准制定的开放性。
企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动,是全球化的必然趋势和要求,有利于提升商用密码技术的全球影响力,同时也为降低包括密码脆弱性在内的全球网络安全整体风险贡献中国智慧和提供中国方案。
内容来源:《中华人民共和国密码法释义》 童卫东 李兆宗主编
————————————————————————— 网安检测公司主营业务介绍 —————————————————————————
商用密码应用安全性评估服务:对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。
ISO27001体系建设咨询服务:基于ISO/IEC27001体系框架和标准,帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系,并协助通过ISO 27001认证。
网络安全等级保护测评服务:依据公安部关于网络安全等级保护的有关法律法规和要求,对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测,全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,出具《网络安全等级保护测评报告》。
信息系统审计服务:依据国家法律法规和行业监管,客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现,为高级管理层实施治理决策提供重要依据,满足监管合规要求。
ICP/EDI评测服务:包含符合性评测与风险评估。符合性评测根据相关规范的要求,针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测,查找差距,提出整改建议,促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估,评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性,指导用户方的信息安全保障建设,促进用户方安全管理水平和安全技术保护能力的提高,增强用户方的信息安全风险管理意识,降低用户方信息系统安全风险,确保信息系统的安全稳定运行。
APP个人信息安全合规评估服务:在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,确保APP个人信息保护满足监管要求。
信息安全风险评估服务:立足于全局观角度,根据行业与业务特点、信息系统生命周期过程,并融合多项安全标准规范,开展安全风险识别和安全能力评估,识别信息安全隐患、威胁以及所形成的安全风险,提出整改和优化建议,全面提高安全管理水平并落实监管要求。
安证云第三方电子数据保全服务:提供面向重点行业(政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等)行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务,加强数据的属地化管理,帮助客户一站式解决诉讼前和诉讼中的“取证难,举证难,出证难”等问题。
安全培训:提供CISP攻防领域渗透测试⽅向PTE/PTS(注册信息专业⼈员渗透测试⼯程师/专家),应急响应⽅向IRE/IRS(注册信息安全专业⼈员应急响应⼯程师/专家)等培训服务。