【密码丰会】炼石-密码安全一体化打造实战型数据保护

密码安全一体化打造实战型数据保护北京炼石网络技术有限公司创始人CEO因密而安，密码丰会创新●应用安全需求：内在数据风险、外部合规要求国际竞争力的数字产业集群”使用产品创新网络安全审查和供应链提升国家数据安全保障能力配合调取数据数据交易中介特殊类型数据《密码法》《个人信息保护法》加速个人信息法制化进程因密而安，密码丰会|创新●应用《网络安全法》《密码法》《数据安全法》《个人信息保护法》商用密码管理条例(2023年正式稿)密码法商用密码应用安全性测评机构管理办法(试行)本次解读信息安全技术信息系统密码应用基本要求信息系统密码应用基本要求信息系统密码应用方案评估规范商用密码应用安全性评估机构能力要求和评价规范(报批稿)商用密码应用安全性评估监督检查规范(送审稿)信息系统密码安全管理体系(送审稿)工业控制系统密码应用技术要求(送审稿)信息系统密码应用设计技术要求(征求意见稿)信息系统密码应用测评要求信息系统密码应用测评过程指南信息系统密码应用方案评估过程指南人员测评密码技术应用员国家职业技能标准(征求意见稿)信息系统密码应用实施指南(报批稿)政务信息系统密码应用与安全性评估工作指南(2023版)信息系统密码应用高风险判定指引施细则(试行)密码术语商用密码应用安全性评估行业自律公约商用密码应用安全性评估量化评估规则密评联委会，2021年12月17日发布本次解读商用密码应用安全性评估FAQ第一章总则2.适用范围和关键定义3.监管机构4.人才培养5.宣传教育6.字术和行业目律/政府8.成果转化机制9.审查鉴定机制第九章附则67.条例施行日期22.能力要求25.认证资质取得条件23.密码使用要求24.服务机构资质认定27.外商投资安全审查30.电子签名法律效力12.商密检测认证体系15.检测机构资质申请流程18.商密认证机构能力要求13.商密检测机构资质认定16.商密检测实施要求19.商密认证实施要求14.检测资质取得条件17.商密认证制度21.网络关键设备和网络安全专用产品使用要求第五章进出口程第八章法律责任罚用37.应用促进协调机制40.关基运营者采购商密产品和服务的安全审查机制45.监督检查职权47.保密义务48.商密监督管理49.举报机制03修订发布主要过程01修订必要性国家密码管理局全面贯彻党中央关于新时代商用密码工作的度进行了结构性重塑。为了贯彻落实行政审批制度改革精神，细2019年10月26日化密码法相关制度，有必要对原《条例》进行全面修订。《密码法》颁布后，国家密码管理局依法对《条例》修订所涉及的坚持创新发展与保坚持放宽准入与规处理好条例与相关2020年6月至9月障安全相结合范监管相结合法律法规关系征求意见稿印发各省(区、市)密码管理部门征求意见，征求44家在促进商用密码科技按照行政审批制度改注重与密码法、网络中央和国家机关单位和14家企业意见，并在国家密码管理局门户网创新和科技成果转化革要求，放宽市场准安全法、出口管制法、站面向社会公开征求意见，充分吸收各方面意见的基础上对征求意的同时，对涉及国家入，由原《条例》规电子签名法、认证认见稿进行进一步修改完善，形成修订草案送审稿安全、国计民生、社定的全环节严格管控，可条例、关键信息基会公共利益的商用密调整为对关键环节进础设施安全保护条例2020年10月修订草案送审稿报送国务院管，更好激发市场活2023年5月24日管，更好激发市场活2023年5月24日实战与合规辩证推动基于密码安全一体化的数据保护发展实战是检验安全能力的唯一标准HVV攻防演练网络攻破后数据不泄露将偶发的、高技术水平的对抗风险，转化成常态的、可重复验证的非对抗风险敏感数据外部黑客密文特权账号人员系统管理员直接低安全意识人员应用服务器密文SQL注入攻击等保三级等保一级境安全全全和数据安全人员管理应急处置《数据安全管理认证实施规则》《数据安全管理认证实施规则》《网络安全法》《数据安全法》《网络安全法》认证对象管理体系认证对象管理体系“数据安全管理认证”并不是“数据安全认证”的总称，与“个人信息保护认证”不存在包含关系，也不能简单说两者是并列关系；“个人信息保护认证”包含“移动互联网应个人信息保护认证是全集，个人信息出境认证是其中的子集，但其针对个人信息出境场景还有特殊要求，故精确说其属于“子集”+“补集”。产品、服务、管理体系数据安全管理认证移动互联网应用程序(APP)安全认证与权限体系结合的解密策略，无法被绕过与权限体系结合的解密策略，无法被绕过面向运维重构数据边界：·无法从应用后台获取敏感数据明文信息企业网络在数据控制点可实施多样安企业网络安全需求和业务纽结缠绕、难以改造，让用户陷入两难数据访问风险业务操作身业务操作身业务人员越权访问风险业务人员越权访问风险发风险数据外发合规风险数据外发合规风险银行应用功能架构图示例银行应用功能架构图示例影响业务连续炼石免改造产品矩阵：全面数据保护，支持灵活部署管理：合规内控、治理评估、迎接检查敏感数据识别敏感资产可视共享接口审计文件下载水印数据加密系统匿名化拓全面支持云化虚拟化部署炼石服务体系：4通用服务+2专项咨询炼石是以“免改造”为创新特色的数据安全产品厂商，并为客户提供专业数据安全服务