中华人民共和国密码法
——————————————————————————————————————————————————————————————————————
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
——————————————————————————————————————————————————————————————————
释义:本条是关于商用密码领域的行业协会等组织的规定。
——————————————————————————————————————————————————————————————————
商用密码行业协会等组织代表本行业从业单位的利益,必须切实为从业单位服务。商用密码行业协会等组织根据授权进行行业统计,掌握国内外行业发展动态,收集、发布行业信息;依照有关规定创办刊物和网站,开展法律、政策、技术、管理、市场等咨询服务;参与行业资质认证、新技术和新产品鉴定及推广等相关工作;组织人才、技术、管理、法规等培训,帮助会员企业提高素质、增强创新能力、改善经营管理;受管理部门委托承办或根据市场和行业发展需要举办交易会、展览会等,为企业开拓市场创造条件。
一、商用密码行业协会等组织的宗旨
电子签名、数据电文是《电子签名法》中的概念。电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。传统的签名(手写、印章)必须依附于某种有形的介质,而在电子交易过程,文件是通过电子方式形成的,没有有形介质,这就需要通过一种技术手段来识别交易当事人、保证交易安全,已达到与传统签名相同的功能。这种能够达到与传统签名相同功能的技术手段,就称为电子签名。数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。换句话说,数据电文就是通过电子手段形成的各种信息。
二、商用密码行业协会等组织的桥梁和纽带作用
通过积极向密码管理部门反映行业、会员诉求,提出商用密码行业发展和立法等方面的意见和建议,积极参与相关法律法规、宏观调控和产业政策的研究、制定,参与制定修订商用密码国家标准、行业标准和行业发展规划、行业准入条件,完善行业管理,促进行业发展。
三、商用密码行业协会等组织的行业自律职能
行业自律是商用密码从业单位为维护共同利益、促进共同发展而开展的订立行业规范、规范行业行为、协调利益关系、维护公平竞争的自我管理、自我约束行为。商用密码行业自律的主要内容是围绕规范商用密码市场秩序,健全各项自律性管理制度,制定并组织实施行业职业道德准则,大力推动行业诚信建设,建立完善行业自律性管理约束机制,规范会员行为,协调会员关系,维护公平竞争的市场环境。
——————————————————————————————————————————————————————————————————
部分商用密码行业协会
中国密码学会
中国密码学会(Chinese Association for Cryptologic Research,缩写为CACR)是由密码学及相关领域的科技工作者和单位自愿结成并依法登记额全国性、学术性、非营利性的法人社会团体,是中国科协组成部分。经民政部批准于2007年3月成立,业务主管单位中国科协,挂靠单位国家密码管理局。
2019年4月,由商用密码检测中心、中科院DCS中心、公安部第三研究所、中国金融电子化公司、河南中科安永、深圳网安检测等六家密评机构联合倡议发起的中国密码学会商用密码应用安全性评估联合委员会(简称“密评联委会”)正式成立,密评联委会致力于加强密评技术交流和行业自律,提升密码测评技术和服务水平,促进密码测评行业健康有序发展。
广东省商用密码协会
广东省商用密码协会是根据国家战略部署,由从事商用密码领域的企事业单位、高等院校、研究机构和个人自愿组成的专业性的非营利性社会团体法人。协会依据《密码法》以及《社会组织登记管理条例》等法律法规的规定,按照协会章程,在省密码管理局和省民政厅的业务指导下,推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制,助力广东省高质量发展和《粤港澳大湾区发展规划纲要》落地,促进商用密码“产学研用测管行”各方面的交流合作;激发创新活力,引领创新发展,实现优势互补、合作共赢,推动粤港澳大湾区商用密码发展再上新台阶。
深圳商用密码行业协会
深圳市商用密码行业协会(以下简称协会),英文名称:The ShenZhen Commercial Cipher Industry Association(缩写为SCCIA),是由深圳市从事商用密码研究、生产、销售的企业和科研机构等自愿组成的地方性、行业性、非营利性社会组织。
内容来源:《中华人民共和国密码法释义》 童卫东 李兆宗主编
————————————————————————— 网安检测公司主营业务介绍 —————————————————————————
商用密码应用安全性评估服务:对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。
ISO27001体系建设咨询服务:基于ISO/IEC27001体系框架和标准,帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系,并协助通过ISO 27001认证。
网络安全等级保护测评服务:依据公安部关于网络安全等级保护的有关法律法规和要求,对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测,全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性,出具安全等级测评的结论;指出该系统存在的安全问题并提出相应的整改建议,出具《网络安全等级保护测评报告》。
信息系统审计服务:依据国家法律法规和行业监管,客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现,为高级管理层实施治理决策提供重要依据,满足监管合规要求。
ICP/EDI评测服务:包含符合性评测与风险评估。符合性评测根据相关规范的要求,针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测,查找差距,提出整改建议,促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估,评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性,指导用户方的信息安全保障建设,促进用户方安全管理水平和安全技术保护能力的提高,增强用户方的信息安全风险管理意识,降低用户方信息系统安全风险,确保信息系统的安全稳定运行。
APP个人信息安全合规评估服务:在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,确保APP个人信息保护满足监管要求。
信息安全风险评估服务:立足于全局观角度,根据行业与业务特点、信息系统生命周期过程,并融合多项安全标准规范,开展安全风险识别和安全能力评估,识别信息安全隐患、威胁以及所形成的安全风险,提出整改和优化建议,全面提高安全管理水平并落实监管要求。
安证云第三方电子数据保全服务:提供面向重点行业(政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等)行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务,加强数据的属地化管理,帮助客户一站式解决诉讼前和诉讼中的“取证难,举证难,出证难”等问题。
安全培训:提供CISP攻防领域渗透测试⽅向PTE/PTS(注册信息专业⼈员渗透测试⼯程师/专家),应急响应⽅向IRE/IRS(注册信息安全专业⼈员应急响应⼯程师/专家)等培训服务。