0 1 중화인민공화국 코드법
암호법' 은 중앙에서 파악한 비밀번호 관리 원칙과 적용 정책에 따라 비밀번호 적용의 주요 제도와 요구 사항을 규정하고 있다.
첫째, 국가가 암호 응용을 적극적으로 규범화하고 홍보하고, 비밀번호를 이용하여 네트워크 및 정보 보안 수준을 높이고, 법에 따라 시민, 법인 및 기타 조직이 비밀번호를 사용할 수 있는 권리를 보호합니다.
두 번째는 상용 암호 감지 인증 시스템을 구축하여 직원들이 자발적으로 상용 암호 감지 인증을 받도록 장려하는 것입니다. 국가 안보, 국계 민생, 사회적 이익과 관련된 상용 암호 제품은 법에 따라 네트워크 핵심 장비 및 네트워크 보안 전문 카탈로그에 포함되어야 하며, 자격을 갖춘 기관의 검사 인증을 받은 후에야 판매하거나 제공할 수 있습니다. 상용 암호 서비스는 주요 네트워크 장비 및 네트워크 보안 전용 제품을 사용하며 비즈니스용 암호 인증 기관 인증을 받아야 합니다.
셋째, 핵심 정보 인프라 비밀번호 사용 요구 사항 및 비밀번호 적용 보안 평가 요구 사항을 명확히 하고, 상용 비밀번호를 사용하여 보호해야 하는 핵심 정보 인프라 운영자는 상용 비밀번호를 사용하여 보호해야 한다고 규정하고 있습니다. 또한 자체 또는 상용 비밀번호 테스트 기관에 상용 비밀번호 적용 보안 평가를 의뢰합니다.
넷째, 국가 안보에 영향을 줄 수 있는 상업 비밀번호와 관련된 네트워크 제품 및 서비스에 대한 국가 안보 심사 요구 사항에 따라 심사를 규정하는 안전심사 메커니즘을 수립한다.
다섯째, 국가 암호 관리 부서에 상용 암호 기술을 사용하여 전자정무 전자인증 서비스에 종사하는 기관을 인정하도록 요구하다.
중화 인민 공화국 네트워크 보안법
네트워크 보안법' 은 네트워크 운영자에게 보안 의무를 이행하고 네트워크 데이터의 무결성, 기밀성, 신뢰성 및 부정성을 유지하기 위해 암호 기술의 핵심 지원 역할을 해야 한다는 것을 분명히 규정하고 있습니다.
네트워크 보안법 제 10 조는 "네트워크 건설, 운영 또는 서비스를 통해 법률, 행정 법규의 규정 및 국가 표준의 필수 요구 사항에 따라 기술 조치 및 기타 중요한 조치를 취해야 한다. 네트워크 보안 운영을 보장하고, 네트워크 보안 사건에 효과적으로 대처하고, 사이버 범죄 활동을 방지하고, 네트워크 데이터의 완전성, 기밀성 및 가용성을 유지해야 한다" 고 규정하고 있습니다.
"네트워크 보안법" 제 16 조: "국무원과 성, 자치구, 직할시 인민 정부는 통합 계획을 세우고 투자를 늘리고 핵심 네트워크 보안 기술 산업과 프로젝트를 지원하고, 네트워크 보안 기술의 연구, 개발 및 적용을 지원하고, 안전하고 신뢰할 수 있는 네트워크 제품과 서비스를 홍보하고, 네트워크 기술 지적 재산권을 보호하고, 기업, 연구 기관 및 대학 참여를 지원해야 합니다. 안전하고 믿을 수 있는 네트워크 제품과 서비스는 비밀번호를 유전자로 구축해야 한다.
"네트워크 보안법" 제 21 조: "국가는 네트워크 보안 수준 보호 시스템을 구현하고, 네트워크 운영자는 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 다음과 같은 보안 의무를 이행하고, 간섭, 파괴 또는 무단 액세스로부터 네트워크를 보호하고, 네트워크 데이터가 유출, 도난 또는 변조되는 것을 방지해야 합니다. 데이터 분류, 중요 데이터 백업 및 암호화 등의 조치를 취하다.
03 "상업용 암호 관리 규정"
1999 에서 발표한' 상용 암호 관리 규정' 은 국가가 상용 암호 제품의 R&D, 생산, 판매 및 사용에 대한 특별 관리를 실시한다고 규정하고 있습니다. 암호학' 입법정신을 관철하기 위해' 상용암호관리조례' 개정은 국가의' 간정부방권 강화, 감독 강화, 서비스 개선' 개혁 요구 사항을 충분히 반영해 과학연구, 생산, 판매단위 행정허가사항 취소, 비밀번호 신청 요구 사항 강화, 네트워크 보안 수준 보호 3 급 이상 핵심 정보 인프라 및 정보 시스템 비밀번호 신청 감독을 강조할 예정이다.
04 주요 정보 인프라 보안 규정 (의견 초안 요청)
국가는 중요한 정보 인프라에서 암호의 응용을 매우 중시한다. 사이버 안전법 제 31 조는 "국가는 통신과 정보 서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정무 등 중요한 업종과 분야, 그리고 국가 안보, 국계 민생, 공익을 심각하게 위태롭게 할 수 있는 기타 중요한 정보 인프라로 국가 안보, 국계 민생, 공익을 보호한다" 고 규정하고 있다. 사이버 보안법의 요구 사항에 따라' 핵심 정보 인프라 보호 규정' 을 초안하고 있으며 20 17 년 7 월 공개적으로 의견을 구하고 있다.
"핵심 정보 인프라 보안 규정 (의견 초안)" 은 비밀번호 관리법 및 규정에 따라 주요 정보 인프라 보호에 암호 관리를 실시하여 국가 네트워크 보안 대국에서 암호 관리의 중요한 지위와 역할을 충분히 반영하고 있습니다. "운영 단위는 보호부서가 법에 따라 실시하는 사이버 안전검사와 공안, 국가안전, 비밀행정, 비밀번호관리 등 관련 부처가 법에 따라 실시하는 검사에 협조해야 한다" 며 "안전심사를 통과하지 못하거나 통과하지 못한 인터넷 제품 및 서비스를 사용하는 책임단위에 대해 구매금액의 10 배 이상 이하의 벌금을 부과하고 책임자에게 1 만원 이상을 부과해야 한다" 고 규정하고 있다. "규정" 은 핵심 정보 인프라의 암호 응용 요구 사항을 명확히 하고, 암호 응용 및 암호 보안에 대한 네트워크 보안 운영자 및 주관 부서의 주요 책임을 강화하고, 암호 관리 부서에 네트워크 공간 암호 보호 작업, 특히 네트워크 보안 검사 및 보안 검토를 위한 법적 근거를 제공합니다. 또한 보안 평가 작업을 위한 강력한 지원을 제공합니다.
05 네트워크 보안 수준 보호 규정 (의견 초안 요청)
2065438+2008 년 6 월 27 일,' 네트워크 보안 수준 보호 규정 (의견 초안)' 은 암호 관리 전문장을 설치해 네트워크 보안 수준 보호에서 암호 관리의 중요한 역할을 보여 주며, 네트워크 보안 수준 보호에서 암호 관리의 주요 아이디어, 방법, 방법, 암호 보호 3 급 이상 시스템 사용을 강조했습니다. 상용비밀번호응용안전평가를 등급보호비밀번호관리의 주안점으로서의 지위와 역할을 강조하고, 등급보호기술기준 제정, 감독검사, 비밀번호응용안전평가 등에 대한 비밀번호관리부의 직권을 강화하고,' 국가비밀번호관리부' 가 네트워크 안전등급보호비밀번호관리의 감독관리를 담당하고 있다' 는 것을 분명히 규정하고 있으며, 사전신고심사, 과정신청요구, 과정중감독, 법률책임 등에 종사한다.
"네트워크 보안 수준 보호 규정" 공포 및 시행 후, 현재의 "정보 보안 수준 보호 관리 조치" 를 대체하고 중국의 네트워크 보안 수준 보호를 규제하고 관리합니다. 그 때 국가암호관리국은 공안부 등 부서와 함께 법에 따라 안전평가를 실시하고' 정보안전등급보호상비밀번호관리방법' 등 보조법규를 개정할 예정이다.
06 정보 보안 수준 보호 상용 암호 관리 방법
정보 보안 수준 보호 상용 암호 관리 방법' 은 "정보 보안 수준 보호를 위한 상용 암호 제품은 국가 암호 관리국의 승인을 받은 제품이어야 한다" 고 규정하고 있습니다.
정보 보안 수준 보호 상용 암호 관리 방법' 의 시행에 맞춰 정보 보안 수준 보호 상용 암호 작업을 더욱 규범화하기 위해 국가암호관리국은' 정보 보안 수준 보호 상용 암호 관리 방법 구현에 대한 의견' 을 발표했다.' 3 급 이상 정보 시스템 상용 암호 응용 시스템 구축 방안은 암호 관리 부서 조직 평가를 거쳐야 시행할 수 있다' 와' 3 급 이상 정보 시스템 상용 암호 응용 시스템은 국가 암호 관리 부서를 거쳐야 한다' 고 규정하고 있다. 비밀번호 평가에는 데이터 검토, 시스템 분석, 현장 평가, 종합 평가 등이 포함됩니다. 이들 제도는 정보 보안 수준 보호 수준이 레벨 3 이상인 정보 시스템 상용 암호 응용 프로그램의 요구 사항을 정의합니다.
07 "전자 인증 서비스 암호 관리 조치"
"전자 인증 서비스 암호 관리 방법" 의 주요 규정은 상용 비밀번호를 사용하여 사회 대중에게 전자 인증 서비스를 제공해야 하며, 전자 인증 서비스 암호 허가 신청에 응해야 하는 기본 조건과 절차를 명확히 하고, 전자 인증 서비스 시스템의 운영 및 기술 개조에 대해 규정하고 있다. 또한 전자 인증 서비스 시스템은 상용 암호 제품을 생산하고 암호 서비스를 제공할 수 있는 회사가 구축해야 하며, GM T 0034-20 14 "SM2 암호 알고리즘에 기반한 인증서 인증 시스템 암호화 및 관련 보안 기술 사양" 을 준수하고 국가 암호 관리국 조직의 보안 검토를 통과해야 합니다.
08 "정부 정보 시스템 정부 조달 관리를위한 임시 조치"
20 17 년 2 월 26 일 재무부가 발표한' 정부 정보 시스템 정부 조달 관리 잠행 조치' 제 8 조는 "구매 수요는 비밀번호 관리에 관한 국가 법률, 규정, 정책 및 표준의 요구 사항을 충족해야 하며, 비밀번호 보호 시스템은 동시에 계획, 건설 및 운영되고 정기적으로 평가해야 한다" 고 규정하고 있다.
제 12 조는 "구매자는 국가 관련 규정에 따라 정부 정보 시스템의 프로젝트 검수를 조직하고 프로젝트 특성에 따라 완전한 프로젝트 검수 방안을 마련해야 한다" 고 규정하고 있다. 수락 계획에는 프로젝트의 모든 기능 구현, 비밀번호 신청 및 보안 검토, 정보 시스템 이용, 유지 보수 서비스 등 구매 문서 및 조달 계약에 명시된 내용이 포함되어야 합니다. 필요한 경우 업계 전문가, 제 3 자 기관 또는 관련 주관 부서를 초청하여 검수에 참여할 수 있습니다.
09 "국가 정부 정보 공학 건설 관리 조치"
20 19 년 2 월 30 일, 19' 전국정무정보공사건설관리방법' 발표, 전국정무정보시스템의 계획, 승인, 건설, * * 공유, 감독 등을 규정하고 명확하게 규정하고 있습니다
정무 정보 프로젝트 건설 단위는 암호 보호 시스템을 동시에 계획, 구축 및 실행하고 정기적으로 평가해야 합니다. 필요에 따라 국가발전개혁위원회에 제출한 서류에는 암호 응용 프로그램 및 암호 응용 보안 평가 보고서가 포함되어야 합니다. 프로젝트의 암호 신청 및 보안 검토는 프로젝트 수용의 중요한 내용 중 하나로, 암호 신청 보안 평가 보고서를 수락 신청 제출에 필요한 자료로 사용해야 합니다. 비밀번호 응용 프로그램 및 네트워크 보안 요구 사항을 충족하지 않는 정부 정보 시스템의 경우, 프로젝트 건설 단위는 운영 유지 보수 경비를 계획하지 않고 정부 정보 시스템을 새로 구축, 개조 및 확장할 수 없습니다. 국무원 관련 부서는 암호의 응용을 감독하고 관리해야 한다. 요구에 부합하지 않는 경우 상황에 따라 통보 비판, 투자 계획 정지, 프로젝트 건설 정지, 프로젝트 종료 등을 제공합니다. 국무원 각 부처는 요구 사항에 따라 암호 기술을 엄격하게 채택하고 정기적으로 암호 응용 보안 평가를 실시하여 정무정보시스템의 운영 보안과 정무정보자원 데이터 보안을 보장해야 한다.