《国网(信息3)10382023国家电网有限公司商用密码应用管理办法.docx》由会员分享,可在线阅读,更多相关《国网(信息3)10382023国家电网有限公司商用密码应用管理办法.docx(13页珍藏版)》请在第一文库网上搜索。
1、规章制度编号:国网(信息/3)1038-2023国家电网有限公司商用密码应用管理办法第一章总则第一条为落实中华人民共和国密码法、中华人民共和国电子签名法,进一步规范公司商用密码基础设施建设和应用,提高密码基础支撑能力和服务水平,确保公司商用密码合法合规、安全高效应用与服务,促进电力密码应用深度融合发展,依据国家有关法律法规及公司有关制度,制定本办法。第二条本办法所称商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的技术、产品和服务,简称密码。公司商用密码基础设施包括数字证书系统、统一密码服务平台、监控与灾备环境,为公司内外网各业务提供统一密码服务。第三条公司密码应用管理遵循“
2、统一规划、统一标准、统一建设、统一运营、统一服务”原则,各专业、各业务的密码应用实行集中统一管理。第四条本办法涉及公司管理信息大区和互联网大区商用密码应用管理要求,生产控制大区电力监控等系统的商用密码应用另行规范。第五条本办法适用于总部(分部)及所属各级单位的商用密码应用管理工作,公司各级参股、代管单位、省管产业单位参照执行。各单位可根据实际情况制定本单位的相关制度实施细则。第二章职责分工第六条公司总部各相关部门履行以下职责:(一)公司密码工作领导小组办公室负责公司密码归口管理工作;负责贯彻落实国家密码工作的方针政策和工作部署;研究审议公司系统密码管理的规章制度;指导公司密码管理工作;组织和协
3、调公司密码应用工作。(二)互联网部是公司管理信息大区和互联网大区的密码应用管理部门,负责制定相关管理办法;负责密码应用规划、技术支撑体系及监督体系建设。(三)国调中心是公司生产控制大区的密码应用管理部门,制定相关管理办法;负责电力监控系统密码应用规划、技术支撑体系及监督体系建设。(四)财务部、设备部、营销部、物资部等专业部门负责本专业密码应用管理和推广。第七条国网直属单位履行以下职责:(-)中国电科院内设国家电网商用密码管理中心,负责公司密码管理技术支持;负责公司商用密码基础设施的建设、运营和管理;负责评审公司重要信息系统密码应用方案;负责密码算法和设备的研究;负责密码产品的安全检测和信息化系
4、统密码应用安全性评估工作;参与总部组织的安全防护方案密码相关内容审查;参与各级密码系统和密码应用故障的调查、分析和处理;负责总部、分部及国网直属单位的密码服务提供和管理;负责监控分析公司商用密码应用情况,对省级商用密码管理机构开展技术监督和指导。(二)国网信通公司负责总部级商用密码基础设施的运维与监测。(三)国网电商公司、国网电动汽车公司、国网客户服务中心、国网大数据中心等业务单位负责业务管辖范围内的密码应用管理和推广。(四)南瑞集团、国网信通产业集团等产业单位负责密码关键技术研发、产品研制和行业产业链培育。第八条分部,省(区、市)公司各相关部门履行以下职责:(-)各分部、省(区、市)公司密码
5、办公室负责本单位及所辖各单位密码归口管理工作,指导密码管理工作,组织和协调密码应用工作。(二)分部调控中心是分部密码系统的归口管理部门,负责分部生产控制大区、管理信息大区和互联网大区的密码应用管理;负责分部密码应用规划、技术支撑体系及监督体系建设。(三)省(区、市)公司互联网部是本单位及所辖各单位密码系统的归口管理部门,负责管理信息大区和互联网大区的密码应用管理;负责密码应用规划、技术支撑体系及监督体系建设;负责商用密码基础设施的应急管理。(四)省(区、市)公司调控中心负责本单位及所辖各单位电力监控系统的密码应用管理;负责电力监控系统密码应用规划、技术支撑体系及技术监督建设;负责电力监控系统密
6、码基础设施的应急管理。(五)各业务部门负责业务管辖范围内商用密码应用管理;负责推动商用密码基础设施在本专业业务系统中的应用与推广。第九条省(区、市)公司直属单位履行以下职责:(-)省级商用密码管理机构作为本单位及所辖各单位密码基础设施的技术支持机构,负责商用密码基础设施的建设、运营和管理;评审信息系统密码应用方案;参与密码产品安全检测和安全性评估工作;参与组织安全防护方案密码相关内容审查;参与密码应用和运维故障的调查、分析和处理;负责省公司及下属单位的密码服务的提供和管理,每年将密码应用情况向国家电网商用密码管理中心备案。(二)省信通分公司参与省级商用密码基础设施的建设、升级和改造;负责省级商
7、用密码基础设施的基础运维与监测。(三)省公司下属其他单位负责本单位建设和运行信息系统的密码应用管理。第三章密码应用与服务管理第十条公司商用密码应用与服务遵循“谁签发谁负责,谁保管谁负责,谁使用谁负责”的原则。第十一条公司自主开发的信息系统原则上使用公司统一密码服务平台提供服务,对于因法律、法规或监管部门要求或因行业标准、业务性质和特点等原因需要使用第三方密码服务的,须经公司密码应用管理部门审核。第十二条公司生产、经营、管理活动使用的可靠的电子签名(如电子公文、电子签章、电子证照等),与手写签名或实体印章具有同等的效力。(-)制作电子签名的数字证书可由用户自行保管或委托商用密码管理中心保管。托管
8、数字证书时需要指定授权经办人,仅授权经办人有权调用托管的数字证书。(二)重要的电子签名可采用密码分割技术加强对业务的安全保障,多方授权经办人员联合同意后方可调用托管的数字证书。(三)应对授权经办人身份采取严格的验证措施,确保授权经办人的身份合法可信。第十三条商用密码管理中心和数字证书用户需加强对电子签名及相关材料的保管,避免丢失和泄露。(-)商用密码管理中心对制作数字证书所需的材料(如公章图片、证照图片、申请表单)具有保管义务,不得泄露或非法向他人提供,通过签订保密协议保障双方的合法权益。(二)对用户自行保管的数字证书,用户具有保管义务,如发生证书载体丢失或毁坏,应立即告知商用密码管理中心进行
9、挂失或注销。(三)对托管的数字证书,商用密码管理中心具有保管义务,应采用技术手段,不允许授权经办人以外的人员非法使用数字证书。第十四条网络安全等级保护第三级及以上网络与信息系统,应遵循同步规划、同步建设、同步运行的原则使用商用密码进行保护,将商用密码应用纳入信息系统在各环节的网络安全审查范围内。(-)在设计阶段,应在可研报告、概要设计、安全防护方案中明确密码应用方案,结合报告的审查制度同步开展评审。(二)在开发阶段,应遵循公司统一技术路线,对接使用公司统一密码服务平台。(三)在测试阶段,应结合第三方安全测试,完成密码服务应用功能的测试。(四)在上线阶段,运维单位和商用密码管理中心应按照安全防护
10、方案对密码服务应用情况进行审核。(五)商用密码管理中心在密码应用各环节提供咨询服务,对技术方案进行审查,定期开展密码应用安全性评估。第四章密码系统安全管理第十五条密码系统主要包括数字证书系统和密码服务平台,是支撑公司信息系统安全防护的重要基础设施。第十六条密码系统的物理环境,应遵循以下要求:(-)数字证书系统应按照密码管理部门要求部署在有屏蔽措施的环境中;密码服务平台中承载有关键密钥数据的软硬件,以及用于传输关键密钥数据的网络环境,应置于电磁屏蔽机房或电磁屏蔽机柜所保护的屏蔽区中运行。(二)应设置门禁访问控制措施,相关门禁的开关过程应做好记录。()访问存放于屏蔽区的设备时应严格采用双因子认证机
11、制进行保护。(四)机房环境应建立视频记录,并注意防范借由视频访问形成的窃密攻击。第十七条密码系统所在网络应独立成域,域边界应设置访问控制措施。第十八条密码系统的权限设置,应遵循以下要求:(-)密码系统对用户的鉴权,应采用双因子认证或多因子认证机制。(二)密码系统的管理权限应遵循三权分立原则,设置审计管理员、业务管理员、安全管理员。(三)密码系统的业务权限应遵循独立性原则,按照业务角色设置录入员、审核员、制证员和司法取证员等。第十九条需要专控管理的商用密码设备及其附属物,应明确流转、保管和使用流程。第二十条对密码系统的运行、服务、数据传输过程,应满足以下要求:(-)应建立实时的网络安全和运行状态
12、监测机制。(二)应建立审计机制,保障取证与审计工作。(三)应建立应急响应机制,并定期开展应急演练工作。第二十一条密码灾备系统应同样遵循本办法相关要求。第五章人员管理第二十二条公司商用密码基础设施属于公司核心网络安全基础设施,其主要运维人员应严格管控。相关从业人员需要经过严格的网络安全背景审查,人员发生调动、离职应及时调整相关权限。第二十三条公司商用密码基础设施的运维管理人员应当对其在商用密码活动中所知悉的商业秘密和个人隐私承担保密义务,不得泄露或者非法向他人提供。第二十四条公司商用密码基础设施的运维管理人员应按照权限分离和最小化的原则,设置密钥系统管理、安全审核和证书签发等角色,各角色间的权限
13、应相互制约。第二十五条公司商用密码基础设施的运维责任单位应建立人员管理制度,包括岗位责任制度、选拔培训制度、调离保密制度等。第二十六条强化对密码基础设施从业人员的培训,提升业务能力。加强密码专业技术人才队伍建设,引进优秀密码专业人才,培育密码支撑队伍。第六章密钥管理第二十七条密钥管理包括密钥的生成、存储、使用、分发、更新、导入与导出、备份与恢复、归档与销毁等,各环节均应采取相应保护措施,确保密钥全生命周期安全。第二十八条密钥分发时应确保密钥与使用主体的唯一对应。第二十九条密钥(除公钥外)不得以明文方式在密码产品外存储,应采取严格的防护措施,防止密钥被非授权访问或篡改。第三十条应采取安全机制对密
14、码系统所产生的根密钥等关键数据进行可靠备份。第三十一条密钥流转应有抗截取、防篡改和假冒措施,保证密钥机密性、完整性以及分发者、接受者、使用者身份的真实性,未获得授权不得进行任何密钥相关操作。第七章密码产品管理第三十二条密码产品的配备、使用和管理等,应采用经国家密码主管部门核准的密码产品,严格执行国家商用密码管理的有关规定。第三十三条开展密码产品全周期安全管理,做好密码产品软硬件选型、上线、运维、下线和销毁各阶段的安全管理。第三十四条公司应用的密码产品应通过国家电网商用密码管理中心的密码产品检测。第三十五条密码产品的使用单位应与密码产品提供者签订安全保密协议,明确安全保密义务与责任。第三十六条密
15、码产品的科研、生产,应在符合安全、保密要求的环境中进行。销售、运输、保管密码产品,应采取相应的安全措施。从事密码产品的科研、生产和销售以及使用密码产品的单位和人员,必须对所接触和掌握的密码技术承担保密义务。第八章密码应用安全性评估第三十七条商用密码应用安全性评估是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对密码应用的合规性、正确性和有效性等进行评估。第三十八条商用密码应用安全性评估工作由国家密码管理部门认定的密码测评机构承担。第三十九条信息系统责任单位应当在关键基础设施、重要网络与信息系统规划、建设和运行阶段,组织开展商用密码应用安全性评估工作。第四十条结合国家网络安全审查要
16、求,对密码系统所使用的软硬件设施开展风险评估,对设备的境外技术依赖性、可信任性进行评估。第四十一条按需开展密码应用安全性评估,可结合网络安全等级保护测评同步开展,避免重复评估、测评。第九章技术要求第四十二条需要通过密码技术进行防护的公司等保三级及以上信息系统、重要业务系统和核心网络安全装备应采用公司统一密码服务平台签发,以保障重要业务通信安全、数据存储安全等。通过数字证书保障人员和装置的身份可信,通过数字签名保护控制指令及数据交换安全,通过数据加解密保护电力大数据存储安全和重要音视频的传输安全,通过电子签章建立财务、法律、交易等业务系统的信任机制。第四十三条公司重要业务系统应基于软证书或安全芯片,采用公钥或轻量级密码体系,
免费区 
