2019年10月26日,《中华人民共和国密码法》(简称《密码法》)正式颁布,自2020年1月1日起正式施行。密码应用在金融、公安、社保、交通、能源、水利、教育、广电、税务等领域不断向纵深拓展。同时,5G、物联网、云计算、大数据、人工智能、区块链、量子通信、数字经济等新技术新业态正与密码紧密融合。密码持续发挥着在保障国家网络与信息安全中的重要作用。
以下为《密码法》颁布五年来,我国金融和重要领域新出台的部分公开的密码相关政策办法。
点击下载政策摘要文档
20241202-《密码法》颁布五年来 我国金融和重要领域部分密码新政策办法.docx
目 录
一、金融领域密码应用
二、基础设施网络密码应用
(一)基础信息网络密码应用
(二)交通运输网络密码应用
(三)能源基础设施网络密码应用
(四)资源信息化网络密码应用
(五)城市基础设施网络密码应用
三、密码与数字经济融合应用
(一)现代农业密码应用
(二)先进制造业密码应用
(三)现代服务业及新兴产业密码应用
四、信息惠民密码应用
(一)电子政务密码应用
(二)社会治理密码应用
(三)民生保障密码应用
五、密码科技创新和基础支撑能力
一、金融领域密码应用
《中国人民银行 国家发展改革委 工业和信息化部 金融监管总局 中国证监会 国家数据局 国家外汇局关于印发<推动数字金融高质量发展行动方案>的通知》
发文时间:2024年11月21日
(十七)加强数据和网络安全防护。指导金融机构严格落实数据保护法律法规和标准规范,完善数据安全管理体系,强化数据安全的商用密码保护,建立健全全流程数据安全管理机制。
《证券期货业网络和信息安全管理办法》
中国证券监督管理委员会令(第218号),2023年5月1日起施行
第二十六条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,掌握执行程序和源代码并安全可靠存放。
经营机构应当根据自身发展需要,加强自主研发能力建设,持续提升自主可控能力。
核心机构和经营机构应当按照国家及中国证监会有关要求,开展信息技术应用创新以及商用密码应用相关工作。
《中国人民银行 市场监管总局 银保监会 证监会关于印发<金融标准化“十四五”发展规划>的通知》
· 健全金融业网络安全与数据安全标准体系。建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设,助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。
· 清算机构、收单机构应当按照《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号)规定,对银行卡受理终端采取密码识别技术等有效手段,确保银行卡受理终端序列号不被篡改。
银保监发〔2020〕43号,成文日期为2020年09月23日
· 本办法所称监管数据安全是指监管数据在采集、处理、存储、使用等活动(以下简称监管数据活动)中,处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况。
· 银保监会建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。
《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》
银保监办发﹝2020﹞18号,成文日期为2020年02月24日
· 银行保险机构要制定内部网络安全管理制度和操作规程,建立监督制约机制,确保制度得到刚性执行。加强数据安全管理,严格控制数据授权范围,实现数据分类、重要数据备份和加密。
二、基础设施网络密码应用
(一)基础信息网络密码应用
《工业和信息化部关于印发“十四五”信息通信行业发展规划的通知》
工信部规〔2021〕164号,成文日期为2021年11月01日
· 健全行业网络安全审查体系,推进网络关键设备安全检测认证,建立供应商网络安全成熟度认证等供应链风险管理制度,稳妥有序推进商用密码应用,提升网络基础设施安全保障水平。
工信部联科〔2021〕130号,成文日期为2021年09月10日
《工业和信息化部等十二部门关于印发<5g规模化应用“扬帆”行动升级方案>的通知》
工信部联通信〔2024〕227号,成文日期为2024年11月22日
(五)筑牢5G应用安全防护屏障
完善通信网络安全防护管理,加快新兴行业5G终端安全、网络设备安全、数据安全、密码安全等关键技术研究,推动研制具备虚拟化、智能化、自适应能力的安全产品。发挥5G应用安全创新推广中心集智攻关优势,打造5G应用安全产业核心竞争力。面向重点行业开展5G应用安全标杆锻造,提炼30项以上原子化5G应用安全能力。
工信部联通信〔2021〕77号,成文日期为2021年07月05日
· 开展5G应用安全示范推广。在5G应用中推广使用商用密码,做好密码应用安全性评估。
(二)交通运输网络密码应用
中华人民共和国交通运输部令2023年第20号,自2024年2月1日起施行
第十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的铁路关键信息基础设施,运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。
商用密码应用安全性评估应当与铁路关键信息基础设施安全检测和风险评估、网络安全等级测评制度相衔接,避免重复评估、测评。
《公路水路关键信息基础设施安全保护管理办法》
中华人民共和国交通运输部令(2023年第4号),2023年6月1日起施行
第十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。
《交通运输部 国家铁路局 中国民用航空局 国家邮政局 中国国家铁路集团有限公司关于印发<加快建设交通强国五年行动计划(2023-2027年)>的通知》
交规划发〔2023〕21号,发文日期为2023年03月29日
· 开展网络和数据安全能力提升行动。组织实施网络安全实网攻防演练,加强商用密码应用推广。
《交通运输部办公厅关于印发<道路运输电子证照运行服务规范(试行)>的通知》
交办运函〔2022〕1606号,成文日期为2022年11月21日
· 省级交通运输主管部门应加强电子证照的数据安全保护,严防非法授权访问、非法数据出库等行为,防止数据泄露,保障数据安全。加强国产密码应用和安全性评估。
《工业和信息化部办公厅关于印发车联网网络安全和数据安全标准体系建设指南的通知》
· 总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等3类标准。其中,密码应用标准主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等要求。
《交通运输部 科学技术部关于印发〈交通领域科技创新中长期发展规划纲要(2021—2035年)〉的通知》
交科技发〔2022〕11号,成文日期为2022年01月24日
· 围绕全面提升智慧交通发展水平,集中攻克交通运输专业软件和专用系统,加快移动互联网、人工智能、区块链、云计算、大数据等新一代信息技术及空天信息技术与交通运输融合创新应用,推动交通运输领域商用密码创新应用,加快发展交通运输新型基础设施。
工信部电子〔2022〕5号,成文日期为2022年01月17日
· 加快推进高精度、低功耗、低成本、小型化的北斗芯片及关键元器件研发和产业化,形成北斗与5G、物联网、车联网等新一代信息技术融合的系统解决方案。鼓励应用商用密码,保障产品安全。
国家邮政局、国家发展和改革委员会、交通运输部联合印发《“十四五”邮政业发展规划》
· 加强网络数据安全。严格落实网络安全工作责任制,完善行业网络安全、数据安全有关标准规范。在网络建设和运营过程中,同步规划、建设、使用有关安全保护措施,严格落实国家关于等保、关保、密评等有关要求。加强行业关键信息基础设施保护,组织编制相关规划,强化行业指导和监督。加强行业重要数据和个人信息保护。
交规划发〔2021〕102号,成文日期为2021年12月22日
· 健全国家综合交通运输信息平台基础支撑和网络安全防护体系,加强关键信息基础设施保护和商用密码技术应用。
· 推动安全可信服务和产品应用。完善行业网络身份认证和设备安全接入认证体系,加强商用密码技术应用、接入检测、监督检查等。强化网络安全产品供应链管理。推进重要信息系统密码技术应用,完善行业密码服务基础设施。
《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》
工信部网安〔2021〕134号,成文日期为2021年09月15日
· 认定为关键信息基础设施的,要落实《关键信息基础设施安全保护条例》有关规定,并按照国家有关标准使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《交通运输部关于印发<交通运输领域新型基础设施建设行动方案(2021—2025年)>的通知》
交规划发〔2021〕82号,成文日期为2021年08月31日
· 加强网络安全保护。严格落实等级保护制度,加强关键信息基础设施保护,强化态势感知能力建设,保障数据共享安全可控。建立健全数据安全保护制度,加强基础设施数据全生命周期管理和分级分类保护,落实数据容灾备份措施。推进商用密码技术应用。
《交通运输部办公厅关于印发<城市轨道交通自动售检票系统运营技术规范(试行)>的通知》
· 自动售检票系统的应用软件具有应用软件操作权限管理功能,操作员账户和密码采用加密形式存储,并满足日常定期修改密码要求,支持对轨道交通专用票、二维码车票密钥的统一管理,主要包括密钥制作、密钥下发、数据验签和第三方密钥管理。轨道交通专用票、二维码车票、一卡通卡等密钥的使用和管理符合国家网络安全及商用密码管理的相关法律法规和标准要求。
· 自动售检票系统的数据安全管理应具有灾难备份及数据恢复功能,所有敏感数据在存储和传输时采用高安全加密方式。
· 互联网票务的密钥使用和管理应符合国家网络安全及商用密码管理的相关法律法规,并保证支付安全。
《交通运输部办公厅关于加快推广应用道路运输电子证照提升数字化服务与监管能力的通知》
· 统一开发电子证照系统。根据相关标准规范要求,采用国产密码算法技术,建设开发部级电子证照系统,同时推进与部级运政系统、网上便民运政系统、部移动客户端和微信公众号、国家政务服务平台等相关信息系统的对接工作。统一开发省级电子证照系统基础软件。
《交通运输部关于推动交通运输领域新型基础设施建设的指导意见》
交规划发〔2020〕75号,成文日期为2020年08月03日
· 加强关键信息基础设施保护。建设集态势感知、风险预警、应急处置和联动指挥为一体的网络安全支撑平台,加强信息共享、协同联动,形成多层级的纵深防御、主动防护、综合防范体系,加强威胁风险预警研判,建立风险评估体系。切实推进商用密码等技术应用,积极推广可信计算,提高系统主动免疫能力。
《交通运输部办公厅关于充分发挥全国道路货运车辆公共监管与服务平台作用支撑行业高质量发展的意见》
· 加强网络安全管理。货运平台建设运维单位要根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》等有关法律规定,做好网络运行安全和网络信息安全工作,完善安全等保三级系统的网络安全保护体系,建立健全网络安全防范、监测、通报、响应和处置机制。同时,运用自主可控密码技术,实现数据及传输安全管理。各级交通运输主管部门应严格管理数据应用,有效保证信息安全。
《交通运输部关于印发<推进综合交通运输大数据发展行动纲要(2020—2025年)>的通知》
交科技发〔2019〕161号,成文日期为2019年12月9日
· 完善数据安全保障措施。推进交通运输领域数据分类分级管理,加强重要数据和个人信息安全保护,制定数据分级安全管理、数据脱敏等制度规范。推进重要信息系统密码技术应用和重要软硬件设备自主可控。
(三)能源基础设施网络密码应用
《国家能源局综合司关于印发<2023年电力安全监管重点任务>的通知》
国能综通安全〔2023〕4号,成文日期为2023年1月17日
·推进电力行业网络与信息安全工作。组织开展网络安全五年行动计划中期评估,持续推进电力行业网络安全“明目”“赋 能”“强基”行动。加强网络安全态势感知能力建设,推进国家级电力网络安全靶场建设,组织开展年度攻防演练。修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系, 推动量子计算、北斗、商用密码等在电力行业的应用。
国能发安全规〔2022〕100号,成文日期为2022年11月16日
· 电力企业应当按照国家有关规定开展商用密码应用安全性评估等工作,未达到要求的应当及时进行整改;
· 电力行业关键信息基础设施运营者应当于每年11月1日前,将当年关键信息基础设施安全保护工作的专项总结报行业部门,总结内容应当包括但不限于网络产品和服务采购情况、密码使用情况、下一年度安全保护计划等。
《国家能源局关于印发<电力行业网络安全等级保护管理办法>的通知》
国能发安全规〔2022〕101号,成文日期为2022年11月16日
· 单独设置“网络安全等级保护的密码管理”章节,要求电力企业应当按照有关法律法规要求,开展商用密码应用安全性评估工作
《工业和信息化部 国家发展和改革委员会 科学技术部 生态环境部 应急管理部 国家能源局关于“十四五”推动石化化工行业高质量发展的指导意见》
工信部联原〔2022〕34号,成文日期为2022年03月28日
· 实施石化行业工业互联网企业网络安全分类分级管理,推动商用密码应用,提升安全防护水平。
国能发规划〔2022〕31号,成文日期为2022年3月17日
· 加快能源系统数字化升级。积极开展煤矿、油气田、管网、电网、电厂等领域设备设施、工艺流程的智能化升级。推动分布式能源、微电网、多能互补等智慧能源与智慧城市、园区协同发展。加强北斗系统、5G、国密算法等新技术和“互联网+安全监管”智能技术在能源领域的推广应用。
《国家发展改革委 国家能源局关于印发<“十四五”现代能源体系规划>的通知》
发改能源〔2022〕210号,成文日期为2022年1月29日
· 网络安全管控。加快推进电力监控系统安全防护体系完善工程、电力信息系统密码基础设施建设工程、北斗时空基础设施应用及智能化运营体系工程建设,开展北斗时频网建设,推进重点企业电力北斗综合服务平台建设和终端应用试点。建成电力行业网络安全态势感知平台和全业务、分布式、高仿真的电力行业网络安全仿真验证环境。
(四)资源信息化网络密码应用
《水利部关于推进水库、水闸、蓄滞洪区运行管理数字孪生的指导意见》
水运管〔2024〕269号,成文日期为2024年10月14日
(五)加强网络信息安全保障
落实网络信息安全管理主体责任,严格执行国家和水利行业网络信息安全和保密管理规定,构建完善的网络安全组织管理体系、安全技术体系和安全运营体系,加强数据安全保护,全面保障数字孪生水利工程数据安全。落实工控系统分区分域、设备自主可控、国产商用密码保护、网络可信准入等要求。
《自然资源部关于印发<关于加强自然资源领域基础研究的若干举措>的通知》
自然资发〔2024〕118号,成文日期为2024年06月30日
九、发展需求-数据-知识驱动的科研范式
以自然资源数据为基础,以专业领域知识为引导,以地球系统模拟为场景,推动大数据、人工智能、商用密码等先进技术在自然资源系统性复杂性问题研究上的创新应用,催生新的自然资源研究方向,提升自然资源创新效能。
《自然资源部关于印发<自然资源领域数据安全管理办法>的通知》
第十二条 数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
……
(三)利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求;
……
第二十三条 数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,并采用商用密码技术保护日志的完整性。其中,一般数据的日志留存时间不少于六个月,涉及重要数据安全事件处置、溯源的,相关日志留存时间不少于一年;涉及向他人提供、委托处理、共同处理重要数据的,相关日志留存时间不少于三年。涉及核心数据安全事件处置、溯源的相关日志留存时间不少于三年。
《自然资源部关于印发〈自然资源数字化治理能力提升总体方案〉的通知》
·要求健全密码应用保障体系,构建以密码技术为核心的自然资源数据安全防护体系,统筹国土、海洋、测绘、地调等已建商用密码平台,打造部级密码平台,利用商用密码技术和产品,为关键信息基础设施和重要信息系统提供统一的密码技术支撑。
《自然资源部关于加快测绘地理信息事业转型升级更好支撑高质量发展的意见》
自然资发〔2023〕158号,成文日期为2023年08月22日
·加强地理信息安全监管。以安全应用为核心,完善测绘地理信息法规政策,建立测绘地理信息数据分类分级保护制度,研究制定地理信息数据流通和交易负面清单。推进保密处理技术研发应用,推动国产密码技术融合应用。加强卫星导航定位基准站安全管理,规范基准站备案、建设、运维和服务。
· 持续推进数字孪生海河建设。深入开展流域数据治理,完善海河流域水利一张图1.0并推广应用。初步搭建模型管理平台,开展模型库建设。强化数据安全防护,建设数据安全基础防护设施,加大密码技术应用。
· 推进商用密码应用。开展以商用密码技术为核心的水利部数据安全治理平台项目建设,大力推进商用密码在小浪底水利枢纽、大藤峡水利枢纽等水利工程关键信息基础设施的应用,坚持数字孪生水利建设与密码应用“同步规划、同步建设、同步运行”原则,持续将商用密码应用落实情况统筹纳入水利网络安全监督检查范围,推动密码应用与网络安全、数据安全融合发展。
水国科〔2021〕416号,成文日期为2021年12月31日
· 开展水利关键信息基础设施网络安全防护体系研究,构建网络安全监控平台,研制安全可控的水利关键信息基础设施核心装备,并基于国产密码技术开展数据安全防护研究。
(五)城市基础设施网络密码应用
《住房城乡建设部关于印发<城市数字公共基础设施标准体系>的通知》
建标〔2024〕79号,成文日期为2024年10月25日
9.安全与保障
规范信息技术应用创新、安全与保障等方面的要求,为网络基础设施、感知基础设施、算力基础设施、融合基础设施、公共数字底座、应用支撑、建设与运营提供安全支撑,包括网络安全、数据安全、密码应用安全和其他4个子类标准。
(3)密码应用安全
规范城市数字公共基础设施的物理与环境、网络与通信、设备与计算、应用与数据等国产密码应用的安全要求。
《住房和城乡建设部等部门关于加快发展数字家庭 提高居住品质的指导意见》
· 强化网络和数字安全保障。数字家庭系统应同步规划、同步建设、同步使用网络安全技术。按照法律法规规定和国家强制性标准要求,采取技术等必要措施,保障数字家庭系统安全稳定运行,防止信息泄露、损毁、丢失,确保收集、产生数据和个人信息安全。遵守密码应用规定,形成安全可控完整的产业生态系统。
《国家发展改革委办公厅关于加快落实新型城镇化建设补短板强弱项工作有序推进县城智慧化改造的通知》
发改办高技〔2020〕530号,成文日期为2020年07月09日
· 建全网络安全防护体系,做好网络安全与智慧化改造一体化推进。落实网络安全工作责任制要求,完善智慧化改造网络安全管理制度规范。认真落实国家网络安全等级保护、网络安全审查、云计算采购服务、国家密码管理等有关规定,采购部署安全可靠的软硬件产品,具备与智慧化水平相匹配的体系化安全防护能力。
三、密码与数字经济融合应用
· 提升网络安全应急处置能力,加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。
(一)现代农业密码应用
《农业农村部关于印发<“十四五”全国农业农村信息化发展规划>的通知》
· 安全可控,有序推进。坚持发展和安全并重,强化网络安全和数据安全保障能力,守住安全底线,全面提升发展的持续性和稳定性。坚持数量服从质量、进度服从实效、求好不求快,科学规划、试点先行,因地制宜推进农业农村信息化建设。
(二)先进制造业密码应用
《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》
工信部网安〔2024〕14号,成文日期为 2024年01月19日
·在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。
·定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。
《工业和信息化部 国家发展和改革委员会 生态环境部关于促进钢铁工业高质量发展的指导意见》
工信部联原〔2022〕6号,成文日期为2022年01月20日
· 大力发展智能制造。开展钢铁行业智能制造行动计划,推进5G、工业互联网、人工智能、商用密码、数字孪生等技术在钢铁行业的应用。
· 落实网络安全主体责任,大力提高商用密码应用安全,提升工业控制系统安全防护水平,制定应急响应预案,积极应对新兴技术融合带来的安全挑战。
《工业和信息化部 科技部 自然资源部关于印发“十四五”原材料工业发展规划的通知》
工信部联规〔2021〕212号,成文日期为2021年12月21日
· 深化实施原材料生产企业工业互联网网络安全分类分级管理,推动商用密码技术应用,提升重点行业企业工业互联网安全防护能力。
《工业和信息化部 国家发展和改革委员会 教育部 科技部 财政部 人力资源和社会保障部 国家市场监督管理总局 国务院国有资产监督管理委员会关于印发<“十四五”智能制造发展规划>的通知》
工信部联规〔2021〕207号,成文日期为2021年12月21日
· 加强安全保障。加强智能制造安全风险研判,同步推进网 络安全、数据安全和功能安全,推动密码技术深入应用。实施 企业网络安全分类分级管理,督促企业落实网络安全主体责 13 任。完善国家、地方、企业多级工控信息安全监测预警网络, 加快建设工业互联网安全技术监测服务体系。
《工业和信息化部关于发布“十四五”民用爆炸物品行业安全发展规划的通知》
工信部规〔2021〕183号,成文日期为2021年11月15日
· 探索建立民爆行业智能制造标准体系,与民爆产品、安全等标准优化协同,形成面向 智能制造典型应用场景的标准群,在行业内开展应用试点。协同推进网络安全、信息安全和功能安全,加强商用密码在数字化智能化生产、仓储、运输体系中的应用,充分发挥基础保障作用。
《国务院办公厅关于印发新能源汽车产业发展规划(2021—2035年)的通知》
· 打造网络安全保障体系。健全新能源汽车网络安全管理制度,构建统一的汽车身份认证和安全信任体系,推动密码技术深入应用,加强车载信息系统、服务平台及关键电子零部件安全检测,强化新能源汽车数据分级分类和合规应用管理,完善风险评估、预警监测、应急响应机制,保障“车端—传输管网—云端”各环节信息安全。
《工业和信息化部办公厅关于印发<建材工业智能制造数字转型行动计划(2021-2023年)>的通知》
工信厅原〔2020〕39号,成文日期为2020年09月16日
· 构建网络、平台、安全三大功能体系,鼓励企业积极探索“5G+工业互联网”,促进工业互联网与建材工业深度融合。推动建材行业工业互联网标识解析二级节点建设,深化标识解析应用。大力发展建材行业工业互联网创新应用平台,加快开发建材工业APP,推动建材企业和设备上云上平台,实现制造资源和制造能力互联互通。构建工业互联网密码支撑体系,加快商用密码在建材行业深度应用。
(三)现代服务业及新兴产业密码应用
第三十七条 会计软件采用密码技术的,应当遵循国家密码主管部门的有关规定。
《商务部 中央网信办 发展改革委关于印发<“十四五”电子商务发展规划>的通知》
商电发〔2021〕191号,成文日期为2021年10月09日
· 探索建立电子商务平台网络安全防护和金融风险预警机制,支持电子商务相关企业研究多属性的安全认证技术,充分发挥密码在保障网络信息安全方面的作用。加强电子商务企业数据全生命周期管理,建立相应管理制度及安全防护措施,保障网上购物的个人信息和重要数据安全。开展数据出境安全评估能力建设,保障电子商务领域重要数据、个人信息的有序安全流动。指导电子商务企业树牢安全生产意识,完善安全风险治理体系,提升安全生产工作水平。
《国家知识产权局关于印发知识产权公共服务“十四五”规划的通知》
国知发服字〔2021〕39号,成文日期为2021年12月31日
· 全面落实《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律法规和网络安全等级保护制度,加强网络安全等级保护第三级及以上网络、信息系统和重要数据的安全防护。
· 加强对云计算、大数据、区块链、人工智能等新技术新应用的安全防护,确保其技术、产品、服务和供应链安全。积极推进国产密码技术和产品应用,提升使用密码技术保障网络与数据安全的水平。
《国家新闻出版署关于印发<出版业“十四五”时期发展规划>的通知》
国新出发〔2021〕20号,成文日期为2021年12月31日
· 出版领域区块链技术创新应用工程: 推动智能合约、共识算法、加密算法、分布式系统等区块链技术在出版产业中的创新应用, 以联盟链为重点, 发展区块链服务平台, 完善数字资产与供应链管理, 健全行业监管机制, 提高出版(版权)管理水平。
《住房和城乡建设部等部门关于推动物业服务企业加快发展线上线下生活服务的意见》
· 保障平台安全运营。严格落实网络和数据安全法律法规和政策标准,建立健全安全管理制度,采用国产密码技术,增强安全可控技术和产品应用,加强日常监测和安全演练,确保智慧物业管理服务平台网络和数据安全。
《工业和信息化部关于印发“十四五”软件和信息技术服务业发展规划的通知》
工信部规〔2021〕180号,成文日期为2021年11月15日
· 加快区块链共识算法、加密算法、高效安全智能合约、分布式系统 等关键技术研发。支持区块链底层技术平台、区块链服务平台等建设。加强金融 科技、供应链管理、政府服务等重点领域应用。
四、信息惠民密码应用
(一)电子政务密码应用
· 加强关键信息基础设施安全保护和网络安全等级保护,建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。
《国务院办公厅关于加快推进电子证照扩大应用领域和全国互通互认的意见》
· 建立健全涵盖电子证照应用业务、数据、技术、管理、安全等的标准体系,制定电子证照签章、电子印章密码应用等规范,完善电子证照在移动服务、自助服务等领域的使用规范。
· 加强电子证照签发、归集、存储、使用等各环节安全管理,严格落实网络安全等级保护制度等要求,强化密码应用安全性评估,探索运用区块链、新兴密码技术、隐私计算等手段提升电子证照安全防护、追踪溯源和精准授权等能力。
《国务院办公厅关于印发全国一体化政务服务平台移动端建设指南的通知》
国办函〔2021〕105号,成文日期为2021年09月29日
· 各地区和国务院有关部门要综合利用密码技术、安全审计等手段强化本地区本部门政务服务平台移动端安全保障和风险防控能力,构建全方位、多层次、一致性的防护体系,切实保障全国一体化平台移动端安全平稳高效运行。
《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》
· 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
· 对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
公网安〔2020〕1960号,印发时间为2020年7月22日
· 落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
(二)社会治理密码应用
· 全面开展国产商用密码应用,构建民政统一的密码应用基础服务平台,提供统一的数据传输、存储加密和身份认证管理等相关服务,提升密码使用和管理水平。
(三)民生保障密码应用
国家卫生健康委、国家中医药局、国家疾控局《关于印发“十四五”全民健康信息化规划的通知》
国卫规划发〔2022〕30号,成文日期为2022年11月07日
· 构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范,全面推广商用密码应用,完善卫生健康行业商用密码应用体系。建设各类医疗卫生机构、人员和患者可信数字身份管理系统,实现医患可信身份电子认证和电子签名,保证访问、处理数据的用户身份真实,确保网络行为可管、可控、可溯源。完善卫生健康行业电子认证服务体系,实现电子认证服务跨区域互信互认。
国家卫生健康委、国家中医药局、国家疾控局《关于印发医疗卫生机构网络安全管理办法的通知》
国卫规划发〔2022〕29号,成文日期为2022年08月08日
· 各医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标准规范,在网络建设过程中同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。
《国家药监局关于印发<药品监管网络安全与信息化建设“十四五”规划>的通知》
国药监综〔2022〕23号,成文日期为2022年04月24日
· 完善网络安全保障体系,健全网络安全管理制度,开展信息系统安全等级保护备案与信息安全等级保护测评、关键信息基础设施安全保护、密码应用安全性评估等工作。
· 结合药监云平台服务的建设实际和业务应用的密码需求,进一步建设完善网络安全信任体系。根据各业务系统中密码应用特点,逐步完善国家局密码资源服务能力,满足相关法律法规和管理条例的要求,实现系统和数据的主动安全保护。
· 建设统一认证服务系统,提升密码服务基础水准,扩大密码服务种类,提高密码服务可用性,从服务形态、部署方式、访问接口到运维管理等方面加强密码服务统一管理,为药监云平台建设提供技术先进、方案完备、高效可用的密码安全防护能力。
《教育部等六部门关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》
· 推动建设教育系统密码基础设施和支撑平台,建立完善全国统一的身份认证体系,推动移动终端的多因子认证。利用国产商用密码技术推动数据传输和存储加密,提升数据保障能力。
教科信函〔2021〕13号,成文日期为2021年03月10日
· 构建数字认证体系。完善教育数字认证基础支撑体系总体规划,建立统一的教育系统密码基础设施和支撑平台。建设基于“一校一码、一人一号”的数字认证互联互通互认体系,实现跨平台的单点登录。推动以智能终端为载体的多因子认证,探索手机短信、移动协同签名等多种认证方式,提升服务体验。数字认证使用的密码技术和产品应符合国家密码管理部门要求。探索推动区块链技术在招生考试、学历认证、学分互认、求职就业等领域的应用,提高数字认证可信性。
国卫办规划发〔2020〕17号,成文日期为2020年10月16日
· 强化电子证照系统安全保障。各级卫生健康行政部门要强化风险防控能力,建立安全制度,规范系统应用,依法依规使用卫生健康行业电子证照,建立卫生健康行业电子证照系统国产密码应用保障体系和安全制度,对涉及国家安全、公共安全、个人隐私等数据提供安全支撑。做好卫生健康行业电子证照数据备份工作,保障系统安全互联、信息安全共享。
国卫办规划发〔2020〕14号,成文日期为2020年09月27日
· 完善行业网络安全标准体系。贯彻《中华人民共和国网络安全法》,推进网络安全等级保护、商用密码应用、关键信息基础设施保护等制度在行业落地实施,研究编制卫生健康行业网络安全技术、医疗卫生机构安全能力评估、关键信息基础设施识别认定和保护等标准。
《国家卫生健康委办公厅关于做好信息化支撑常态化疫情防控工作的通知》
国卫办规划函〔2020〕506号,成文日期为2020年06月28日
· 加大网络安全投入。各级卫生健康部门要按照中央网信办要求提高信息化建设中网络安全投入的比例,提升信息化产品和服务安全可控水平,推进商用密码应用的深度和广度。
五、密码科技创新和基础支撑能力
《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》
工信部联网安〔2022〕182号,成文日期为2023年01月03日
·加强核心技术攻关。推进新型计算模式和网络架构下数据安全基础理论和技术研究,支持后量子密码算法、密态计算等技术在数据安全产业的发展应用。优化升级数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术,加强隐私计算、数据流转分析等关键技术攻关。研究大数据场景下轻量级安全传输存储、隐私合规检测、数据滥用分析等技术。
《工业和信息化部关于印发<工业和信息化领域数据安全管理办法(试行)>的通知》
工信部网安〔2022〕166号,成文日期为2022年12月8日
第十五条 工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
第十七条 工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
《工业和信息化部关于印发“十四五”大数据产业发展规划的通知》
工信部规〔2021〕179号,成文日期为2021年11月15日
· 推动数据安全产业发展。支持重点行业开展数据安全技术手段建设,提升数据安全防护水平和应急处置能力。加强数据安全产品研发应用,推动大数据技术在数字基础设施安全防护中的应用。加强隐私计算、数据脱敏、密码等数据安全技术与产品的研发应用,提升数据安全产品供给能力,做大做强数据安全产业。
《工业和信息化部 中央网络安全和信息化委员会办公室关于加快推动区块链技术应用和产业发展的指导意见》
工信部联信发〔2021〕62号,成文日期为2021年05月27日
· 构建底层平台。在分布式计算与存储、密码算法、共识机制、智能合约等重点领域加强技术攻关,构建区块链底层平台。支持利用传感器、可信网络、软硬件结合等技术加强链上链下数据协同。推动区块链与其他新一代信息技术融合,打造安全可控、跨链兼容的区块链基础设施。