10月26日，密码法正式通过十三届全国人大常委会第十四次会议表决，将自2020年1月1日起施行。从2014年12月起草至今，五年间密码法多次面向社会公开征求意见，经过反复修改和调整，终于正式发布。那么，密码法的发布将会对企事业单位带来怎样的影响呢，我们梳理了以下要点：

哪些涉及密码的活动将受到法律的约束？

    ➤密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动，适用本法。

    ➤密码法适用于密码技术的生产方、使用方以及监督主管方。
 

密码的分类与管理

    ➤密码法将密码分类为核心密码、普通密码与商用密码，并明确要求对这三类密码实行分类管理。

    ➤其中“核心密码”与“普通密码”被用来保护国家秘密信息，涉密单位应重点关注对于这两类密码的管理。对这两类密码，《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。

    ➤而商用密码被用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用，都属于商用密码，应遵循国家密码局商用密码管理有关条例规定。
 

密码安全性评估成为必须

    本次《密码法》发布对于非涉密的企事业单位来说，最大的影响就是必须要主动进行“密码安全性评估”。

    根据《密码法》要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。

    并对关键信息基础设施，应采用商用密码进行保护，并进行密码安全性评估，同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。
 

通过密码安全性评估需要关注哪些？

    当前，我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》，其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定：

    在密码算法方面，信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等，

    在密码技术方面，密码技术中涉及的标准密码协议应符合国内相关密码标准，如果是自定义的密码协议，设计要安全合理，同时遵循相关密码标准。如针对SSL相关应用，设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。

    在密码产品方面，信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书。

    在密码服务方面，信息系统中使用的密码服务应通过国家密码管理部门的许可。

    以上资料来源于互联网，供学习使用，如有任何问题，请与我们联系。