导读：密码实行分类管理；安全性评估成为必须。

26日，《中华人民共和国密码法》通过十三届中国全国人大常委会的表决，将自2020年1月1日起施行。《密码法》的立法目的是规范密码应用和管理，保障网络与信息安全，保护公民、法人和其他组织的合法权益，维护国家安全和利益。

密码法中的密码指什么？

密码法中的密码是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码主要功能有两个：一个是加密保护，另一个是安全认证。

加密保护是指使用数学变换，将原来可读的信息变成不能识别的符号序列。简单地说，加密保护就是将明文变成密文。安全认证是指使用数学变换，确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简单地说，安全认证就是确认主体和信息的真实可靠性。

哪些涉及密码的活动将受到法律的约束？

密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动，适用本法。

密码法适用于密码技术的生产方、使用方以及监督主管方。

密码的分类与管理

密码法将密码分类为核心密码、普通密码与商用密码，并明确要求对这三类密码实行分类管理。

其中“核心密码”与“普通密码”被用来保护国家秘密信息，涉密单位应重点关注对于这两类密码的管理。对这两类密码，《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。

而商用密码被用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用，都属于商用密码，应遵循国家密码局商用密码管理有关条例规定。

密码安全性评估成为必须

本次《密码法》发布对于非涉密的企事业单位来说，最大的影响就是必须要主动进行“密码安全性评估”。

根据《密码法》要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。

对关键信息基础设施，应采用商用密码进行保护，并进行密码安全性评估，同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。

通过密码安全性评估需要关注哪些？

当前，我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》，其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定：

在密码算法方面，信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等。

在密码技术方面，密码技术中涉及的标准密码协议应符合国内相关密码标准，如果是自定义的密码协议，设计要安全合理，同时遵循相关密码标准。如针对SSL相关应用，设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。

在密码产品方面，信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书。

在密码服务方面，信息系统中使用的密码服务应通过国家密码管理部门的许可。 

附《密码法》全文