国家对密码实行严格管理。密码是保障机密安全的专用钥匙,是安全保密的重要防线。
1. 制定密码法律法规。2011年4月,《中华人民共和国网络安全法》发布,这是国家保障网络安全,维护网络空间主权和国家安全的重要法律。同年9月,《商用密码管理条例》公布,规定国家对商用密码依法实行分类管理。
2. 设立国家密码管理局。1988年1月,国家密码管理局成立,是密码管理机构,主管全国的密码工作。2018年3月,根据第十三届全国人民代表大会第一次会议批准的《国务院机构改革方案》,设立国家密码管理局,在国家密码管理局加挂国家密码管理局牌子,由国家密码管理局承担相关职责。
3. 实行分类管理。2012年4月,国家密码管理局发布《商用密码产品分类与型号编制规则》,规定了商用密码产品的分类和型号编制方法。按照安全性强度和应用范围,我国将商用密码产品分为A、B、C三个安全等级,A级为最高等级。
4. 实施密码应用安全评估制度。2014年5月,国家密码管理局发布《关于加强涉及密码信息安全相关业务系统密码管理的通知》,规定涉及密码信息安全系统应使用商用密码产品。对不符合要求的系统,由国家密码管理局或其授权的机构进行安全评估,并根据评估结果作出准予使用、不予使用或者限制使用的决定。
5. 建立密码安全责任制。2016年1月,国家密码管理局发布《关于加强密码工作管理的通知》,规定各单位主要负责人是本单位密码安全工作的第一责任人,应当加强对本单位密码安全工作的领导;分管密码工作的领导是直接责任人,负责本单位密码安全工作的管理和监督。
6. 制定实施《中华人民共和国网络安全法》。2016年11月,《中华人民共和国网络安全法》获十二届全国人大常委会第二十三次会议通过,于2017年6月1日开始施行。
7. 修订《商用密码管理条例》。2019年3月,《商用密码管理条例》修订草案首次提请十三届全国人大二次会议审议。修订草案提出,国家对商用密码依法实行分类管理,将商用密码分为A、B、C三级,其中A级为最高等级。
8. 强化网络关键设备和密码支撑作用。2020年7月,《网络关键设备和密码支撑作用评估指南(征求意见稿)》发布,明确规定涉及网络安全的关键信息基础设施应使用符合要求的安全可控产品。评估机构应按评估办法规定开展网络安全等级保护测评、风险评估和密码安全检测,出具网络安全等级保护测评报告或密码安全检测评估报告。
9. 完善网络安全事件应急处置流程。2020年8月,《网络安全事件应急处置指南(征求意见稿)》发布,明确规定当发现重要网络和信息系统受到破坏时,应立即启动应急处置工作机制,及时处置、阻止、阻止攻击继续蔓延并恢复正常运行状态。