密码使用监督管理条例
商用密码管理条例
商用密码管理条例【法规标题】商用密码管理条例【英文译本】Regulation on the Administration of Commercial Cipher Codes【发文字号】中华人民共和国国务院令[第273【发布部门】国务院号]【批准部门】【批准日期】【发布日期】1999.10.07 【实施日期】1999.10.07【时效性】现行有效【效力级别】行政法规【法规类别】质量管理监督机构与人员【唯一标志】23549中华人民共和国国务院令(第273号)第一章总则第一条为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例。
第二条本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第三条商用密码技术属于国家秘密。
国家对商用密码产品的科研、生产、销售和使用实行专控管理。
第四条国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。
第二章科研、生产管理第五条商用密码的科研任务由国家密码管理机构指定的单位承担。
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
第六条商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。
第七条商用密码产品由国家密码管理机构指定的单位生产。
未经指定,任何单位或者个人不得生产商用密码产品。
商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。
第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。
第九条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
商用密码管理条例
商用密码管理条例第一章总则第一条为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例。
第二条本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第三条商用密码技术属于国家秘密。
国家对商用密码产品的科研、生产、销售和使用实行专控管理。
第四条国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。
第二章科研、生产管理第五条商用密码的科研任务由国家密码管理机构指定的单位承担。
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
第六条商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。
第七条商用密码产品由国家密码管理机构指定的单位生产。
未经指定,任何单位或者个人不得生产商用密码产品。
商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。
第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。
第九条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
第三章销售管理第十条商用密码产品由国家密码管理机构许可的单位销售。
未经许可,任何单位或者个人不得销售商用密码产品。
第十一条销售商用密码产品,应当向国家密码管理机构提出申请,并应当具备下列条件:(一)有熟悉商用密码产品知识和承担售后服务的人员;(二)有完善的销售服务和安全管理规章制度;(三)有独立的法人资格。
经审查合格的单位,由国家密码管理机构发给《商用密码产品销售许可证》。
第十二条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并将登记情况报国家密码管理机构备案。
电子认证服务密码管理办法
电⼦认证服务密码管理办法第⼀条为了规范电⼦认证服务提供者使⽤密码的⾏为,根据《中华⼈民共和国电⼦签名法》和《商⽤密码管理条例》,制定本办法。
第⼆条国家密码管理局对电⼦认证服务提供者使⽤密码的⾏为实施监督管理。
省、⾃治区、直辖市密码管理机构受国家密码管理局的委托,依据本办法承担有关管理⼯作。
第三条电⼦认证服务提供者采⽤密码技术为社会公众提供第三⽅电⼦认证服务的系统(以下称电⼦认证服务系统)使⽤商⽤密码。
第四条提供电⼦认证服务,应当依据本办法申请《电⼦认证服务使⽤密码许可证》。
第五条申请《电⼦认证服务使⽤密码许可证》应当具备下列条件:(⼀)具有符合《证书认证系统密码及其相关安全技术规范》的电⼦认证服务系统;(⼆)电⼦认证服务系统由具有商⽤密码产品⽣产资质的单位承建;(三)电⼦认证服务系统采⽤的商⽤密码产品是国家密码管理局认定的产品;(四)电⼦认证服务系统通过国家密码管理局安全性审查。
第六条申请《电⼦认证服务使⽤密码许可证》应当向省、⾃治区、直辖市密码管理机构提交下列材料:(⼀)使⽤密码的书⾯申请;(⼆)企业法⼈营业执照或者企业名称预先核准通知书(复印件);(三)电⼦认证服务系统通过安全性审查的通知(复印件)。
第七条省、⾃治区、直辖市密码管理机构应当⾃受理申请材料之⽇起5个⼯作⽇内,将全部申请材料报国家密码管理局。
第⼋条国家密码管理局应当⾃收到省、⾃治区、直辖市密码管理机构报送的材料之⽇起15个⼯作⽇内对申报材料进⾏审查,并做出是否许可的决定。
予以许可的,发给《电⼦认证服务使⽤密码许可证》;不予许可的,书⾯通知申请⼈并说明理由。
第九条电⼦认证服务系统的运⾏应当符合《证书认证系统密码及其相关安全技术规范》。
电⼦认证服务提供者对其电⼦认证服务系统进⾏技术改造的,事先将具体⽅案报国家密码管理局备案,事后向国家密码管理局申请安全性审查,通过审查的⽅可投⼊运⾏。
第⼗条电⼦认证服务提供者擅⾃对电⼦认证服务系统进⾏技术改造的,由国家密码管理局责令改正,并根据不同情况向信息产业主管部门提出处罚建议。
密码使用管理制度
密码使用管理制度为了保护公司机密,加强安全意识,避免信息泄露等问题的发生,特制定本密码使用管理制度。
一、适用范围本制度适用于公司所有的员工及其使用的电子设备,包括但不限于电脑、移动设备等。
二、密码的设定1.密码长度不少于8位,必须包含大小写字母、数字和符号组成。
2.不能使用公司名称、员工个人信息、常用英文单词或数字等过于简单、容易猜测的密码。
3.对于需定期更换密码的账号,员工须在规定时间内更换密码,且新密码不得与旧密码相同。
4.对于账号安全等级较高的账号,密码应独立设置,不得与其他账号密码相同。
三、密码使用1•员工应妥善保管自己的密码,不得向他人泄露。
2.在公共场合,或使用公共设备时,不得输入任何涉及公司机密的密码。
3.不得将自己的密码告知其他人,包括但不限于同事、家人、朋友等。
4.不得将密码存储在电脑或移动设备上的明文文档中。
1.员工应使用安全可靠的登录密码,开启设备的密码保护功能。
2.不得将密码告知其他人,包括但不限于公司的[T部门。
3.如发现自己的密码泄露或异常情况,应及时联系公司的IT部门进行处理。
五、责任和制度执行1.公司所有员工均应遵守本制度,如有违反,将承担相应的责任。
2.如员工在工作中发现未按照本制度操作的行为,应采取及时举报的措施。
3.IT部门应加强对系统密码的管理,定期更新密码的加密强度,及时处理员工密码问题。
4.对于涉及公司机密的账号,IT部门应采取安全措施,对其进行加密保护。
5.对于违反本制度的情况,公司将对相关人员进行追责,并按公司规定的制度进行相关处罚。
以上是本公司密码使用管理制度,请各位员工严格遵守。
如有任何疑问和建议,欢迎提出,谢谢大家的配合!。
商用密码管理法规介绍
商用密码管理法规介绍商用密码管理法规是我国为保障信息安全、维护国家安全和社会公共利益,对商用密码的科研、生产、销售、使用等活动进行规范管理的重要法律依据。
该法规旨在加强对商用密码的监管,确保商用密码在保护商业秘密、个人信息等方面的作用得到充分发挥。
一、商用密码管理法规的制定背景随着信息技术的飞速发展,商用密码在金融、通信、电子商务等领域的应用日益广泛。
然而,商用密码的滥用、泄露等问题也日益严重,给国家安全和社会公共利益带来了潜在威胁。
为加强商用密码管理,我国于2010年颁布了《商用密码管理条例》,并于2019年进行了修订,形成了更为完善的商用密码管理法规体系。
二、商用密码管理法规的主要内容1. 商用密码的定义与分类商用密码管理法规明确了商用密码的定义,即将用于保护商业秘密、个人信息等非国家秘密信息的密码技术、产品和服务统称为商用密码。
商用密码分为核心密码、普通密码和基础密码三类。
2. 商用密码的科研、生产、销售许可制度商用密码管理法规规定,从事商用密码科研、生产、销售活动的单位,必须依法取得相应的许可证。
未经许可,任何单位和个人不得从事商用密码相关活动。
3. 商用密码的使用与管理商用密码管理法规要求,使用商用密码的单位和个人应当遵守国家有关法律法规,建立健全商用密码管理制度,确保商用密码的安全、可靠使用。
同时,法规对商用密码的检测、评估、审查等环节进行了明确规定。
4. 商用密码的安全监管商用密码管理法规明确了国家密码管理部门的监管职责,要求各级密码管理部门加强对商用密码的监督检查,对违法行为依法予以查处。
三、商用密码管理法规的实施意义商用密码管理法规的实施,有助于规范商用密码市场秩序,提高商用密码产品的安全性能,保障国家和个人信息安全。
同时,法规的出台也为我国商用密码产业的发展提供了有力保障,有助于推动我国密码产业走向国际市场。
四、商用密码管理法规对企业的指导作用1. 增强企业安全意识:法规促使企业更加重视商用密码的安全性,提高对信息安全的投入,从而降低潜在的安全风险。
浅析新规定下商用密码监管的几个方面
浅析新规定下商用密码监管的几个方面自2017年10月至12月,国家密码管理局接连颁布了几个新的商用密码管理规定以及相应的指导性文件,对商用密码的监管政策规定做了较大调整。
笔者通过学习分析这些新的变化,并结合相关已有的且继续有效的政策、法规、标准,试图较全面地理解这对商用密码(产品和技术)的生产者和应用者意味着什么。
2017年10月国家密码管理局发布了国密局字〔2017〕336号文《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》,2017年12月国家密码管理局颁布了第32号公告《国家密码管理局关于废止和修改部分管理规定的决定》。
这期间,国家密码管理局还发布了相应的配套规定(含修订版)、措施、指南和模板等。
下面就几个关心的方面予以阐述:一、监管项目的变更废止了《商用密码产品销售管理规定》、《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》,修改了《商用密码科研管理规定》、《商用密码产品生产管理规定》以及相应的流程管理和要求文件。
这意味着:1、从事商用密码科研的机构或企业,不再需要通过申请、审批取得“商用密码科研定点单位证书”(实际上,国家密码管理局已经于2015年6月按照国务院的要求取消了该项审批);2、从事商用密码产品生产的企业,不再需要通过申请、审批取得“商用密码产品生产定点单位证书”;3、从事商用密码产品销售的企业,不再需要通过申请、审批取得“商用密码产品销售许可证”;4、在国内的外资企业、境外机构或个人使用境外生产的密码产品(应该指没有通过中国检测并没有取得中国“商用密码产品型号证书”的),不再需要通过申请、审批取得“使用境外生产的密码产品准用证”,但仍需要通过申请、审批取得“密码产品和含有密码技术的设备进口许可证”;【注:国内的中资企业、政府机构和单位不允许使用境外生产的密码产品(应该指没有通过中国检测并没有取得中国“商用密码产品型号证书”)。
电子认证服务密码管理规定(5篇)
电子认证服务密码管理规定第一条为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定,制定本办法。
第二条国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。
省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。
第三条提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。
第四条采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。
电子认证服务系统应当由具有商用密码产品生产资质的单位承建。
第五条电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。
第六条电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。
第七条申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料:(一)《电子认证服务使用密码许可证申请表》;(二)企业法人营业执照或者企业名称预先核准通知书的复印件;(三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明;(四)电子认证服务系统互联互通测试相关技术材料;(五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件;(六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。
第八条申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在____个工作日内一次告知需要补正的全部内容。
不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起____个工作日内将全部申请材料报送国家密码管理局。
网络安全等级保护条例
网络安全等级保护条例(征求意见稿)目录第一章总则.......................................... - 2 - 第二章支持与保障...................................... - 4 - 第三章网络的安全保护.................................. - 5 - 第四章涉密网络的安全保护............................. - 12 - 第五章密码管理....................................... - 15 - 第六章监督管理....................................... - 16 - 第七章法律责任....................................... - 20 - 第八章附则......................................... - 23 -第一章总则第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例.个人及家庭自建自用的网络除外.第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
《网络安全等级保护条例》
网络安全等级保护条例(征求意见稿)第一章总则.......................................... - 2 - 第二章支持与保障...................................... - 4 - 第三章网络的安全保护.................................. - 5 - 第四章涉密网络的安全保护............................. - 13 - 第五章密码管理....................................... - 15 - 第六章监督管理....................................... - 17 - 第七章法律责任....................................... - 21 - 第八章附则......................................... - 23 -第一章总则第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。
个人及家庭自建自用的网络除外。
第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知
公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知文章属性•【制定机关】公安部,国家保密局,国家密码管理局,国务院信息化工作办公室(已撤销)•【公布日期】2007.06.22•【文号】公通字[2007]43号•【施行日期】2007.06.22•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】国家安全,机关工作正文公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。
现印发给你们,请认真贯彻执行。
公安部国家保密局国家密码管理局国务院信息工作办公室二〇〇七年六月二十二日信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
商用密码管理条例
商用密码管理条例商用密码管理条例是指在商业领域中对密码使用的有关规定和标准。
本条例的主要目的是为商业实体提供有效的密码管理和保护机制,确保其数据和信息系统的安全性和完整性。
第一章总则第一条为规范商业实体的密码管理行为,保护商业实体的密码安全,提高商业实体的信息安全水平,制定本条例。
第二条商业实体在密码管理中应当依据本条例的规定,采取适当的技术措施和管理方法,加强对密码的保护。
第三条本条例适用于商业实体使用密码保护信息的行为,包括但不限于:用于身份验证、访问控制、数据加密、数字签名等场景,适用于各类企业、政府机构、非营利组织等商业实体。
第四条商业实体应当明确密码安全管理责任人,并制定相关的密码安全管理制度和操作规程。
第二章密码的使用和管理第五条商业实体应当采用合理的密码策略和技术,确保其密码安全。
商业实体应当保证密码的复杂性和随机性,不得使用易于破解的简单密码。
第六条商业实体应当采用合理的密码存储和传输方式,确保密码不被窃听或篡改。
商业实体应当采用加密存储和传输方式,禁止明文密码的存储和传输。
第七条商业实体应当强制要求用户使用强密码,并采用多重身份验证技术,以增强密码的安全性。
第八条商业实体应当定期要求用户更改密码,特别是在密码泄漏的情况下立即更改密码。
第九条商业实体应当采用差异化的访问控制策略,合理分配和控制用户权限,防止未授权的访问或数据泄露。
第三章密码的保护和备份第十条商业实体应当采用适当的技术手段和管理方法,确保密码的安全性和机密性。
商业实体不得存储明文密码,应当采用加密方式存储密码,以防止密码泄露。
第十一条商业实体应当定期备份密码,确保密码的可靠性和完整性。
商业实体应当采取适当的措施,保护备份数据的机密性。
第十二条商业实体在寻求第三方密码服务(如密码恢复服务等)时,应当仔细审核该服务提供商的资质和信誉度,并签订明确的服务协议,确保密码的机密性和可靠性。
第四章密码的使用日志和审计第十三条商业实体应当建立密码使用日志和审计机制,记录密码的使用情况,并定期进行审计和检查。
商用密码应用法规政策要求汇编
商用密码应用法律政策要求新时期,网络环境日益复杂而深刻,密码应用需求日益多样化。
推进商用密码合规、正确、有效应用,是新时期商用密码管理和创新发展的重中之重。
国家法律法规有关密码应用的要求面对国家安全的新形势,我国已在多部法律法规中明确规定了密码应用的要求,包括《密码法》、《网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等。
1.《中华人民共和国密码法》2.《中华人民共和国网络安全法》3.《商用密码管理条例》1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理。
为落实《密码法》有关立法精神,《商用密码管理条例》修订将充分体现国家“放管服”改革要求,取消对科研、生产、销售单位等的行政许可事项,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
4.《关键信息基础设施安全保护条例(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》明确了在关键信息基础设施保护工作中,依据密码管理法律法规开展有关密码管理工作,充分体现了密码管理在国家网络安全大局中的重要地位和作用。
该《条例》明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任,为密码管理部门开展网络空间密码保护工作,尤其是网络安全检查和安全审查等工作提供了法律依据,同时也为开展密评工作提供了强有力的支撑。
5.《网络安全等级保护条例(征求意见稿)》2018年6月27日,《网络安全等级保护条例(征求意见稿)》向社会公开征求意见,其中设置了密码管理专章,体现了密码管理在网络安全等级保护工作中的重要作用,明确了网络安全等级保护密码管理的主要思路、方式和手段,强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权,明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。
中国共产党机要密码工作条例
《中国共产党机要密码工作条例》是在国家保密法的基础上制定的,旨在规范机要密码工作的一部法规,为维护国家安全利益发挥着重要作用。
机要密码工作是保护机要文件安全的主要手段,因此,《中国共产党机要密码工作条例》对机要密码工作提出了严格的要求。
首先,机要密码工作由国家保密机关负责管理,各级党组织和党员都必须遵守有关规定,做到有条理、有秩序。
其次,机要密码工作必须坚持科学、严谨的原则,要求密码在制定和使用时应当按照安全级别的要求,有规律的使用密码,并对密码的使用进行定期检查,以确保安全控制的有效性。
此外,机要密码工作还要求机要文件的存储、传送、使用等都必须符合安全管理规定,以防止机要文件被外界窃取。
《中国共产党机要密码工作条例》明确提出,机要密码工作人员必须履行保密义务,对密码使用情况不得披露给任何人,以确保保密工作的有效实施。
总之,《中国共产党机要密码工作条例》旨在加强机要密码工作,保护机要文件的安全,从而有效地维护国家安全利益。
密码应用安全管理规定(3篇)
第1篇第一章总则第一条为加强密码应用安全管理,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本规定。
第二条本规定所称密码应用安全管理,是指对密码技术、产品和服务在应用过程中的安全防护、风险评估、安全管理、安全监测和应急处置等方面的工作。
第三条密码应用安全管理应当遵循以下原则:(一)安全优先、保护权益;(二)全面覆盖、分类管理;(三)依法依规、技术支撑;(四)责任明确、协同推进。
第四条国家密码管理部门负责全国密码应用安全管理工作。
县级以上地方各级密码管理部门负责本行政区域内密码应用安全管理工作。
第二章密码技术、产品和服务安全第五条密码技术、产品和服务应当符合国家密码政策和标准,具备以下基本要求:(一)符合国家密码政策和标准;(二)具有自主知识产权;(三)具备安全防护功能;(四)经过安全评估和认证。
第六条密码产品生产企业应当建立健全质量管理体系,确保产品符合国家密码政策和标准,具备以下要求:(一)建立质量管理制度;(二)对原材料、生产过程、检验和交付环节进行质量控制;(三)对产品进行安全评估和认证;(四)对产品进行售后服务。
第七条密码服务机构应当建立健全服务管理体系,确保服务安全、可靠,具备以下要求:(一)建立服务管理制度;(二)对服务人员进行安全培训;(三)对服务过程进行安全监测;(四)对服务数据进行安全保护。
第八条密码应用单位应当对使用的密码技术、产品和服务进行安全评估,确保其符合国家密码政策和标准。
第三章密码应用安全管理第九条密码应用单位应当建立健全密码应用安全管理制度,明确安全责任,落实安全措施。
第十条密码应用单位应当对密码应用系统进行安全评估,包括以下内容:(一)密码算法和协议的安全性;(二)密码密钥管理的安全性;(三)密码应用系统的安全防护能力;(四)密码应用系统的安全监测和应急处置能力。
密码安全保密管理制度
密码安全保密管理制度密码安全保密管理制度第一条为了加强商用密码产品销售管理,规范商用密码产品销售行为,根据《商用密码管理条例》,制定本规定。
第二条商用密码产品销售活动适用本规定。
第三条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。
第四条国家对商用密码产品销售实行许可制度。
销售商用密码产品应当取得《商用密码产品销售许可证》。
未经许可,任何单位和个人不得销售商用密码产品。
第五条国家密码管理局主管全国的商用密码产品销售管理工作。
省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。
第六条申请《商用密码产品销售许可证》的单位应当具备下列条件:(一)有独立的法人资格;(二)有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障;(三)有完善的销售服务和安全保密管理制度;(四)法律、行政法规规定的其它条件。
第七条申请《商用密码产品销售许可证》应当向所在地的省、自治区、直辖市密码管理机构提交下列材料:(一)《商用密码产品销售许可证申请表》;(二)企业法人营业执照、税务登记证件复印件;(三)证明其符合本规定第六条第(二)项、第(三)项、第(四)项所列条件的材料。
第八条申请单位提交的材料齐备并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐备或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。
不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内完成初审,并将初审意见和全部申请材料报送国家密码管理局。
国家密码管理局应当自受理申请之日起20个工作日内作出是否批准的决定。
国家密码管理局认为必要时,可以对申请单位进行现场考察。
考察所需时间不计算在本规定所设定的期限内。
第九条国家密码管理局批准申请单位从事商用密码产品销售活动的,应当自作出批准决定之日起10个工作日内发给《商用密码产品销售许可证》,并向社会公布。
商用密码管理条例学习解读实用教学PPT
限制贷款用途是为了保证还款资金的 来源。 如果贷 款不按 协议的 用途加 以运用 ,借款 人可能 因经营 不当导 致丧失 还款能 力。再 者,贷 款行内 部经营 方针可 能对发 放贷款 的行业 或部门 有限制 ,政府 规则、 法令有 时也有 类似规 定。最 后,限 制贷款 的用途 还可能 因为是 涉及第 三人的 利益, 比如在 出口信 贷项目 中,贷 款用途 就仅限 于特定 的支付 对象。
在此输入文字七
——学习解读《商用密码管理条例》——
二
限制贷款用途是为了保证还款资金的 来源。 如果贷 款不按 协议的 用途加 以运用 ,借款 人可能 因经营 不当导 致丧失 还款能 力。再 者,贷 款行内 部经营 方针可 能对发 放贷款 的行业 或部门 有限制 ,政府 规则、 法令有 时也有 类似规 定。最 后,限 制贷款 的用途 还可能 因为是 涉及第 三人的 利益, 比如在 出口信 贷项目 中,贷 款用途 就仅限 于特定 的支付 对象。
《条例》的修订内容 限制贷款用途是为了保证还款资金的来源。如果贷款不按协议的用途加以运用,借款人可能因经营不当导致丧失还款能力。再者,贷款行内部经营方针可能对发放贷款的行业或部门有限制,政府规则、法令有时也有类似规定。最后,限制贷款的用途还可能因为是涉及第三人的利益,比如在出口信贷项目中,贷款用途就仅限于特定的支付对象。
家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》,制
定本条例(第一条)。
(二)关于管理范围
征求意见稿明确,在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出
口、应用等活动及监督管理,适用本条例(第二条)。
在此输入文字八
机要密码管理条例
机要密码管理条例
第一条:机要室属于公司保密要害部位,机要工作人员必须提高警惕,认真做好保密工作,严防泄密事件的发生。
第二条:机要人员要严格遵守国家的保密法律、法规,不得向无关人员泄露国家的秘密信息。
第三条:严格按照规定履行涉密文件、资料等秘密载体的交接、登记和签收手续。
第四条:秘密级载体必须及时放入密码保险柜。
第五条无关人员未经允许不得入内。
第五条:工作用计算机必须按规定设置登录密码,并设置密码屏幕保护程序,下班时必须关闭计算机。
第六条:机要室内所产生的一切废纸、废信封等不得随意乱仍,必须粉碎销毁。
第七条:机要室内不准存放带有腐蚀性或易燃易爆物品。
第八条:下班或人不在时,文件必须入柜、锁好;下班时关好门窗,随手锁门。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密码使用监督管理条例密码使用监督管理条例目录文档控制............................................................................................................ 错误!未定义书签。
1.概述 (2)2.适用范围 (2)3.术语解释 (2)4.帐号设立 (4)5.口令设立 (5)6.口令保护 (6)7.变更与取消 (7)8.维护 (9)9.流程 (9)10.应用开发标准........................................................................................ 错误!未定义书签。
11.规定维护与解释.................................................................................... 错误!未定义书签。
1.概述第1条随着公司网络建设的发展,内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口令管理保持在一个一致的水平上,特制定本标准。
本标准规定了账号和口令管理的相关职责定义、管理流程。
第2条本条例为公司各网络系统的用户帐号及口令的使用、维护及处罚的依据。
2.适用范围第3条本规定适用全公司范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库等业务应用系统等。
第4条本规定适用全公司范围内的各系统的用户,包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统使用人员、个人计算机使用者等。
同样适用于全公司范围内所有使用个人计算机及网络的员工。
3.术语解释第5条授权用户:●公司内部人员:指与公司签定“员工聘用协议书”,属于公司的正式员工。
●使用公司网络资源的非公司人员:指临时到公司工作不与公司签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、公司外包业务人员等,这类人员不是正式员工,不进入公司的人力资源管理系统。
第6条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
●管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员。
●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户。
●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
●匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问。
第7条口令●口令:指系统为了鉴别帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,NOTES系统的帐号文件及帐号口令。
●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;强壮的口令具备以下特征:✓同时具备大写和小写字符✓同时具备字母、数字和特殊符号,特殊符号举例如下!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)✓8个字符或者以上✓不是字典上的单词或者汉语拼音✓不基于个人信息、名字和家庭信息✓口令不应该记在非经特别保护的纸面上,不能未经加密存储在电子介质中。
口令不应该太难记忆。
●弱口令:仅由字母、单词、数字或其简单的组合,易于猜测的口令;弱口令有以下特征:✓口令长度少于8个字符;✓口令是可以在字典中直接发现的单词;✓口令比较常见,例如:o家人名字、朋友名字、同事名字等等o计算机名字、术语、公司名字、地名、硬件或软件名称o生日、个人信息、家庭地址、电话o某种模式的,例如aaabbb、asdfgh、123456、123321等等o任何上面一种方式倒过来写o任何上面一种方式带了一个数字4.帐号设立第8条系统要求●公司所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能;●所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。
第9条帐号申请原则●只有授权用户才可以申请系统帐号;●员工使用软件系统的帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;●帐号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限;●对于确因工作需要而必须申请系统帐号的公司外部人员,则必须经部门主管批准,且有公司正式员工作为安全责任人;●任何系统的帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人;第10条公用帐号●系统应当严格限制开设公用帐号,一般情况下公用帐号不得具有访问保密信息和对系统写的权限;●公用帐号应该设立责任人,负责帐号的正常使用及维护;第11条匿名帐号●匿名帐号只被允许访问系统中可公开的且对公司有益的资源,不得访问任何内部公开及以上秘密等级的资源;●对匿名用户对系统的访问必须有详细的记录;5.口令设立第12条口令的生成●系统帐号分配时必须同时生成相应的口令,并且与帐号一起传送给用户;●用户在接受到帐号和口令后,必须马上修改口令,任何时间都不得存在没有口令的帐号,除非该帐号已经失效;●对于系统的帐号验证只有口令作为证据的系统,如果帐号名由确定的且公开的规则产生的,则口令不应当为公开的口令;●管理员在传递帐号和口令时,应当采取加密或其他安全的传输途径,以保证口令不会被中途截取。
第13条口令设立的原则●帐号口令必须是具有足够的长度和复杂度,使口令难于被猜测;●帐号口令必须是在必要时间或次数内不循环使用;●帐号的各个口令之间应当是没有直接联系的,以保证不可有以前的口令推知现在的口令;●帐号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析出后一个口令的机会;●帐号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
第14条口令要求●普通用户口令长度不得低于6位,最近3个口令不可重复,口令中必须包含字母和数字;●管理员和超级管理员帐号口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字,口令中同一个符号出现不得多于2次,各个口令中相同位置的字符相同的不得多于3个,口令不得为有意义的单词或短语;●所有系统管理员级别的口令(例如root、enable、NT administrator、DBA等)必需每三个月更换一次,并依照规定进行存档备份。
●所有用户级别的口令(例如email、OA用户)应每六个月变更一次。
建议4个月变更一次。
●用户所使用的任何具备系统超级用户权限(包括并不限于系统管理员账号和有su权限账号)账号口令必需和这个用户其他账号的口令均不相同。
6.口令保护第15条工作中的账号口令不要和个人其他账号口令相同。
尽量做到不同用途使用不同口令。
第16条不要把自己口令共享给他人。
第17条这是一个禁止的行为的清单•不要在email中写口令•不要给你上司口令(特权账号口令备份是个例外)•在别人面前谈论的时候,不要提到口令•不要暗示自己口令的格式•不要在调查中给出口令•不要告诉家人口令•休假时不要把自己口令告诉他人第18条如果有任何人需要口令,参照本文档,或者经过部门负责人的特别授权。
第19条不要使用非公司授权和许可的口令记忆软件。
第20条如果口令可能被破解了,应立即报告部门负责人和上级部门,并且更改所有口令。
第21条口令的更改必须指定两位专人负责,由这两人根据要求定期进行更改。
责任人必须保证口令更改的及时性、有效性,同时必须在“重要口令更改记录表”中进行详细记录,并保证在网设备的口令与记录上的口令保持一致。
第22条“重要口令更改记录表”必须锁放在机房的安全位置,钥匙由两位责任人掌握。
第23条用户账号授权应该满足最小授权和必需知道的原则。
必需知道原则指应该让用户有权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需要的信息,其他信息则不能被该用户访问。
第24条安全专员将不定期进行口令猜测尝试,如果口令被猜出,则用户必需立即更换。
7.变更与取消第25条帐号的使用●任何帐号的使用人只限于申请帐号过程中声明的使用人使用,禁止其他人使用此帐号;●帐号系统正式使用前,必须更改原来系统中的缺省帐号的所有口令,以保证正式环境的安全;●帐号使用人在使用的过程中,不得使用帐号访问与自己工作无关的资源;第26条帐号的权限变更●帐号使用人在工作职责发生转变,造成现有职责与现有的在系统中的职责不同时,应当申请权限的修改;管理员发现用户具有工作不需要的权限,可以直接停止多余的权限;●帐号使用人在工作职责发生转变,而不再需要使用系统资源的情况下,应当申请关闭帐号;对不能关闭的帐号则需要转移帐号的责任人;第27条口令的修改●帐号的使用人应当定期修改帐号口令,修改口令的间隔应小于本标准的相关规定,对于本标准没有规定的用户,其间隔应当小于6个月;●帐号用户必须在管理员要求更改口令时进行更改口令;如果用户拒绝配合,管理员可以在通知用户及其主管后,关闭用户的帐号,以保证系统的安全;●帐号用户丢失或遗忘口令,必须通过规定的流程向管理员申请初试化口令,用户在接到回执后,应马上更改口令;●帐号用户要求口令修改的方式必须是可以确保用户身份的,且管理员必须有记录;●管理员不可在没有用户申请的时候私自更改用户帐号的口令,除非是经过领导审批的工作需要;●系统的超级管理员帐号的口令属于系统最高机密,应该严格限定使用范围;其他人员确因工作需要而使用超级管理员帐号和口令的,应当向超级管理员帐号和口令的责任人申请口令,并在完成操作后,由责任人更改口令。
第28条帐号的取消●用户如果因职责变动而离岗,不再需要系统权限且无须将帐号移交给其他责任人,其原岗位主管应当申请帐号的销户,由管理员取消其权限;●遇有员工离职,在各系统中撤销相应用户应该是离职手续的一部分。
部门负责人应尽早直接以书面或E-mail的形式(Email形式需要数字签名)要求各系统和网络管理员撤销某员工的口令,管理员执行完后以书面或E-mail的形式向部门负责人和安全专员通报结果。
●用户离职后,管理员应当关闭用户在系统中的所有权限。
8.维护第29条用户的责任与义务:●所有用户有义务确保自己的口令的安全,系统帐号与口令不泄漏给他人,同时避免使用弱口令;●对于使用便携式计算机的用户,应确保设置开机BIOS口令;●使用远程登陆的用户,确保不将口令保留在计算机上;●不将系统中使用的帐号和口令用于其他个人应用;●任何人不得公开其本人或他人口令的全部或部分,除非这种行为不会影响系统帐号的安全性;●严禁任何人通过任何手段非法取得他人帐号和口令进入系统,对违反者应当进行严厉制裁,直至追究法律责任;●任何人不得将其帐号的口令告之无权使用此帐号的人,如果用户此种行为导致其他人用此帐号造成对公司和系统的影响,帐号持有人和造成影响的行为的实施人负有相同的责任;●严禁任何人利用系统安全漏洞访问其权限之外的资源,一经发现,立即严惩。