中國地區(qū)密碼管理辦法一、總則（一）目的為了加強中國地區(qū)密碼管理，規(guī)范密碼應(yīng)用和管理行為，保障網(wǎng)絡(luò)與信息安全，根據(jù)《中華人民共和國密碼法》及相關(guān)法律法規(guī)，制定本辦法。（二）適用范圍本辦法適用于在中國地區(qū)內(nèi)使用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)，包括但不限于政府部門、企事業(yè)單位、金融機構(gòu)、互聯(lián)網(wǎng)企業(yè)等所涉及的各類信息系統(tǒng)。（三）基本原則1.合法性原則：密碼管理活動必須符合國家法律法規(guī)的規(guī)定，確保密碼使用的合法性和合規(guī)性。2.安全性原則：以保障網(wǎng)絡(luò)與信息安全為核心目標(biāo)，采用科學(xué)合理的密碼技術(shù)和管理措施，確保密碼的保密性、完整性和可用性。3.實用性原則：結(jié)合實際應(yīng)用需求，合理選擇密碼技術(shù)和產(chǎn)品，確保密碼管理措施切實可行，能夠有效應(yīng)對各類安全風(fēng)險。4.可追溯性原則：建立健全密碼使用記錄和審計機制，確保密碼使用行為可追溯，便于在出現(xiàn)安全問題時進(jìn)行調(diào)查和處理。二、密碼分類與分級管理（一）密碼分類1.核心密碼：用于保護(hù)國家絕密級信息，是保障國家安全的關(guān)鍵密碼。2.普通密碼：用于保護(hù)國家機密級、秘密級信息，是維護(hù)國家正常運轉(zhuǎn)和社會秩序的重要密碼。3.商用密碼：用于保護(hù)不屬于國家秘密的信息，廣泛應(yīng)用于經(jīng)濟(jì)社會各領(lǐng)域。（二）分級管理根據(jù)信息系統(tǒng)的重要性、敏感程度和安全需求，對使用密碼保護(hù)的信息系統(tǒng)進(jìn)行分級管理。1.一級信息系統(tǒng)：涉及國家安全、國民經(jīng)濟(jì)命脈、社會穩(wěn)定等重要領(lǐng)域的關(guān)鍵信息系統(tǒng)，采用核心密碼或普通密碼進(jìn)行保護(hù)。2.二級信息系統(tǒng)：涉及重要行業(yè)、關(guān)鍵業(yè)務(wù)的信息系統(tǒng)，采用普通密碼或商用密碼進(jìn)行保護(hù)。3.三級信息系統(tǒng)：一般的信息系統(tǒng)，采用商用密碼進(jìn)行保護(hù)。三、密碼規(guī)劃與建設(shè)（一）規(guī)劃制定各單位應(yīng)根據(jù)自身業(yè)務(wù)需求和安全要求，制定密碼應(yīng)用規(guī)劃。規(guī)劃應(yīng)包括密碼應(yīng)用的總體目標(biāo)、階段任務(wù)、技術(shù)選型、資源配置等內(nèi)容，并報上級主管部門備案。（二）系統(tǒng)建設(shè)1.密碼技術(shù)選型：根據(jù)信息系統(tǒng)的安全需求和特點，合理選擇對稱密碼算法、非對稱密碼算法、哈希算法等密碼技術(shù)，并確保所選技術(shù)符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)范。2.密碼設(shè)備采購：采購的密碼設(shè)備應(yīng)具有國家密碼管理部門頒發(fā)的商用密碼產(chǎn)品型號證書，并符合相關(guān)質(zhì)量標(biāo)準(zhǔn)和安全要求。3.密碼系統(tǒng)集成：在信息系統(tǒng)建設(shè)過程中，應(yīng)將密碼技術(shù)和設(shè)備有機集成到系統(tǒng)中，確保密碼應(yīng)用與信息系統(tǒng)的安全需求相匹配。四、密碼使用與管理（一）密鑰管理1.密鑰生成：采用安全可靠的密鑰生成算法和工具，生成足夠強度的密鑰。密鑰生成過程應(yīng)進(jìn)行嚴(yán)格的安全控制，防止密鑰泄露。2.密鑰存儲：密鑰應(yīng)存儲在安全的介質(zhì)中，如加密的硬件設(shè)備、安全的數(shù)據(jù)庫等，并采取訪問控制、加密存儲等措施，確保密鑰的保密性。3.密鑰分發(fā)：密鑰分發(fā)應(yīng)采用安全的渠道和方式，如安全的網(wǎng)絡(luò)傳輸、專人傳遞等，并對密鑰分發(fā)過程進(jìn)行加密和認(rèn)證，防止密鑰在傳輸過程中被竊取或篡改。4.密鑰更新：定期對密鑰進(jìn)行更新，確保密鑰的安全性。密鑰更新過程應(yīng)進(jìn)行嚴(yán)格的審計和記錄，以便追溯和管理。（二）密碼應(yīng)用1.加密應(yīng)用：對重要數(shù)據(jù)和信息進(jìn)行加密處理，確保數(shù)據(jù)在傳輸和存儲過程中的保密性。加密算法應(yīng)符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)范，并根據(jù)數(shù)據(jù)的敏感程度選擇合適的加密強度。2.認(rèn)證應(yīng)用：采用密碼技術(shù)實現(xiàn)用戶身份認(rèn)證，確保只有合法用戶能夠訪問信息系統(tǒng)。認(rèn)證方式可包括用戶名/密碼認(rèn)證、數(shù)字證書認(rèn)證、生物識別認(rèn)證等，并根據(jù)實際情況進(jìn)行合理組合。3.完整性保護(hù)：通過密碼技術(shù)確保數(shù)據(jù)的完整性，防止數(shù)據(jù)在傳輸和存儲過程中被篡改?？刹捎霉Ｋ惴?、數(shù)字簽名等技術(shù)實現(xiàn)數(shù)據(jù)完整性保護(hù)。（三）密碼審計與監(jiān)督1.審計機制：建立密碼使用審計機制，對密碼使用行為進(jìn)行實時監(jiān)測和記錄。審計內(nèi)容應(yīng)包括密鑰生成、存儲、分發(fā)、更新情況，密碼應(yīng)用情況，用戶認(rèn)證情況等。2.監(jiān)督檢查：定期對密碼管理情況進(jìn)行監(jiān)督檢查，發(fā)現(xiàn)問題及時整改。監(jiān)督檢查可由上級主管部門組織實施，也可委托專業(yè)的安全機構(gòu)進(jìn)行。3.違規(guī)處理：對違反密碼管理規(guī)定的行為，依法依規(guī)進(jìn)行處理。處理措施包括警告、罰款、責(zé)令整改、吊銷密碼產(chǎn)品使用許可證等。五、密碼安全評估與應(yīng)急處置（一）安全評估1.定期評估：定期對密碼管理體系進(jìn)行安全評估，評估內(nèi)容包括密碼技術(shù)的安全性、密鑰管理的規(guī)范性、密碼應(yīng)用的有效性等。評估結(jié)果應(yīng)形成報告，并作為改進(jìn)密碼管理工作的依據(jù)。2.專項評估：在信息系統(tǒng)重大升級改造、關(guān)鍵業(yè)務(wù)調(diào)整等情況下，應(yīng)進(jìn)行專項密碼安全評估，確保密碼管理措施能夠適應(yīng)新的安全需求。（二）應(yīng)急處置1.應(yīng)急預(yù)案制定：制定密碼安全應(yīng)急預(yù)案，明確應(yīng)急處置流程、責(zé)任分工、應(yīng)急資源保障等內(nèi)容。應(yīng)急預(yù)案應(yīng)定期進(jìn)行演練和修訂，確保其有效性和可操作性。2.應(yīng)急響應(yīng)：在發(fā)生密碼安全事件時，應(yīng)立即啟動應(yīng)急預(yù)案，采取有效的應(yīng)急處置措施，如密鑰緊急更新、系統(tǒng)緊急恢復(fù)、安全漏洞修復(fù)等，最大限度地減少損失，并及時向上級主管部門和相關(guān)部門報告。六、人員管理與培訓(xùn)（一）人員管理1.人員資質(zhì)審查：對涉及密碼管理和使用的人員進(jìn)行資質(zhì)審查，確保其具備必要的專業(yè)知識和技能。人員資質(zhì)審查應(yīng)包括學(xué)歷背景、工作經(jīng)驗、安全培訓(xùn)記錄等方面。2.人員背景調(diào)查：對重要崗位的密碼管理人員進(jìn)行背景調(diào)查，確保其政治素質(zhì)和道德品質(zhì)可靠。背景調(diào)查可包括個人信用記錄、違法違紀(jì)記錄等方面。3.人員離職管理：人員離職時，應(yīng)及時收回其掌握的密碼設(shè)備、密鑰等，并進(jìn)行密碼使用權(quán)限的撤銷和清理。同時，應(yīng)對離職人員進(jìn)行離職審計，確保其在離職前未發(fā)生違規(guī)行為。（二）培訓(xùn)教育1.培訓(xùn)計劃制定：制定密碼管理培訓(xùn)計劃，定期組織密碼管理人員參加培訓(xùn)，提高其專業(yè)知識和技能水平。培訓(xùn)內(nèi)容應(yīng)包括密碼法律法規(guī)、密碼技術(shù)知識、密鑰管理方法、密碼應(yīng)用實踐等方面。2.培訓(xùn)方式選擇：培訓(xùn)方式