4.15活动-密码政策问答四

发布时间:2021-04-09 08:44:11
问:《密码法》对禁止利用密码从事违法犯罪活动做了什么样的规定?
答:密码是一把“双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动。密码一旦被用来从事违法犯罪活动,将严重危害国家安全、社会公共利益和公民个人合法权益。因此,《密码法》第十二条明确规定:“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。”
问:什么是“窃取他人加密保护的信息或者非法侵入他人的密码保障系统”?
答:窃取他人加密保护的信息,是指未经他人授权,采用非法攻击密码等方式获取他人加密保护的信息的违法行为。
非法侵入他人的密码保障系统,是指未经他人授权,采用非法攻击密码等方式进入他人的密码保障系统。这里的“密码保障系统”,是指采用密码技术、产品或者服务集成建设的,实现加密保护、安全认证功能的系统。
问:《密码法》为什么规定“任何组织和个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动”?
答:随着网络信息技术的不断发展,利用密码从事违法犯罪活动的案例屡见不鲜,造成了广泛的社会影响。例如,2017年5月,一款名为“魔哭”(WannaCry)的蠕虫勒索软件袭击全球网络。它加密受害者电脑内的重要文件,除非受害者通过比特币交出赎金,否则加密文件无法恢复。“魔哭”勒索软件的影响范围覆盖全球150多个国家和地区,超过30万台设备受到感染和影响。我国有3万多家机构、数十万台设备受到该软件袭击,给国家、社会和公民个人财产造成巨大损失,严重危害了国家安全和社会稳定。
此外,《密码法》关于不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动的规定也是与《刑法》、《治安管理处罚法》、《网络安全法》等有关法律、行政法规的规定相衔接的。
问:核心密码和普通密码遵循什么样的管理原则?
答:核心密码、普通密码用于保护国家秘密信息,其本身也属于国家秘密,直接关系国家安全。
《密码法》从以下几个方面规定了核心密码、普通密码的管理原则。
一是国家加强核心密码、普通密码的科学规划、管理和使用。为深入贯彻落实党中央对密码工作的决策部署,国家着眼密码工作长远发展,加强核心密码、普通密码的科学规划、管理和使用,确保核心密码、普通密码安全。
二是加强制度建设,完善管理措施。国家密码管理部门和有关部门制定印发了核心密码、普通密码管理的一系列法规制度和标准规范,对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节实行全生命周期的严格统一管理。
三是增强密码安全保障能力。国家加强密码保障体系和密码安全监管能力建设,强化密码安全监测预警、安全风险评估、应急处置和监督管理等工作,夯实密码安全基础。
问:《密码法》对核心密码、普通密码使用作了哪些规定?
答:《密码法》第十四条明确规定:在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
问:密码工作机构需要承担哪些安全保密管理责任?
答:《密码法》第十五条规定:从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构),应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。
《密码法》中所称密码工作机构,是指从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构。密码工作机构应当按照《密码法》和相关法律法规的要求,在科研、生产、服务、检测、装备、使用和销毁等各个环节建立健全安全管理制度,将保密措施和保密责任制规范化、制度化和体系化,有效保证核心密码、普通密码自身的安全,进而实现其所保护的国家秘密信息的安全。
问:《密码法》对核心密码、普通密码工作的监督检查作了哪些规定?
答:《密码法》第十六条规定:密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。
密码工作机构是密码管理部门的管理对象。密码管理部门按照《密码法》和其他有关法律法规的规定,对密码工作机构开展核心密码、普通密码工作的情况进行指导、监督和检查。主要内容是,密码工作机构是否严格依照法律、法规和国家有关规定开展核心密码、普通密码工作,正当行使权利和履行义务。《密码法》同时规定密码管理部门在行使上述监督检查职权时,必须以法律法规和有关政策为依据,不能随意扩大其职权。配合密码管理部门的指导、监督和检查,属于密码工作机构的法定义务,必须履行。
问:为什么要建立核心密码、普通密码安全协作机制?
答:《密码法》第十七条第一款规定:密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
为贯彻落实总体国家安全观,确保核心密码、普通密码安全,全天候全方位感知密码安全态势,就必须统筹协调国家有关部门共同推进密码安全管理工作,建立密码管理部门和有关部门间的监测预警、风险评估、信息通报、重大事项会商、应急处置等协作机制,准确把握密码安全风险发生的规律、动向、态势,实现密码情报信息的及时收集、准确分析、有效使用和共享,提高密码安全事件的应对处置能力。
问:核心密码、普通密码安全协作机制具体包括哪些内容?
答:《密码法》规定的密码管理部门会同有关部门建立的核心密码、普通密码安全协作机制主要包括安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制。
密码安全监测预警,是指针对包括窃取加密保护的信息,非法攻击、侵入密码保障系统等密码安全风险进行持续性监测,收集相关信息,发出预警信号,报告危险情况,最大程度降低密码安全事件造成的损害。
密码安全风险评估,是指对密码安全风险以及密码安全事件造成的影响进行科学的分析、研判和评估。
密码安全信息通报,是指密码管理部门和公安、国家安全、网信、工业和信息化、保密等有关部门相互通报密码安全风险以及密码安全事件等相关信息,通过整合多方资源、交流共享密码安全信息,实现密码安全的综合防控和主动防范。
密码安全重大事项会商,是指密码管理部门和公安、国家安全、网信、工业和信息化、保密等有关部门,共同研究、协商解决密码安全重大问题。
密码安全应急处置,是指通过制定应急预案、组织应急演练、开展应急响应等措施,将密码安全事件造成的危害后果和不利影响降低到最低限度。
问:密码工作机构发现密码泄密等安全问题时如何处置?
答:《密码法》第十七条第二款规定:密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
核心密码、普通密码属于国家秘密。密码工作具有很强的系统性,牵一发而动全身,凡是涉及密码安全的重大问题、风险隐患,都必须高度重视,及时进行处理,防止任何隐患演化为全局性问题和风险。
问:核心密码、普通密码泄密主要指哪些情形?
答:核心密码、普通密码泄密既包括核心密码、普通密码故意泄密,也包括核心密码、普通密码过失泄密,主要有以下三种情形:一是使核心密码、普通密码被不应知悉者知悉;二是使核心密码、普通密码超出了限定的接触范围,而不能证明未被不应知悉者知悉;三是核心密码、普通密码丢失,下落不明。
问:影响核心密码、普通密码安全的重大问题、风险隐患是指什么?
答:影响核心密码、普通密码安全的重大问题、风险隐患,是指核心密码、普通密码设备、部件、系统等发生损毁、中断、被攻击侵入等情况,已经或可能对密码安全构成威胁。
问:出现密码安全问题时,密码工作机构要立即采取什么样的应对措施?
答:采取应对措施是指为避免核心密码、普通密码泄密或减轻泄密后果而采取的一切合法和必要的措施。究竟如何采取应对措施以及采取何种应对措施,应根据当时的具体情况和现实条件作出决定。要求密码工作机构在发生核心密码、普通密码泄密等安全问题时及时报告,是为了让保密行政管理部门、密码管理部门及时了解情况,以便采取相应措施,及时组织查处,最大限度地减少可能造成的损害。
问:核心密码、普通密码泄密案件查处由哪些部门负责?
答:为规范和加强密码泄密案件等安全问题查处工作,参照《保守国家秘密法》的规定,同时考虑到密码工作的特性和密码管理部门的管理实践,《密码法》规定,由保密行政管理部门、密码管理部门会同有关部门组织开展核心密码、普通密码泄密案件等安全问题的调查、处置工作。
问:查处核心密码、普通密码泄密案件,主要包括哪些工作内容?
答:核心密码、普通密码泄密案件查处的主要工作内容包括:一是查明核心密码、普通密码泄密事项的内容与密级,对于密码下落不明的,分析研判去向;二是查明案件事实、主要情节和有关责任人员;三是要求有关机关、单位及时采取必要的补救措施;四是根据有关法律法规和国家有关规定对责任人员提出处理建议,并督促机关、单位作出处理;五是针对案件暴露出的问题,指导有关密码工作机构及时消除安全隐患。