图解自然资源部《自然资源领域数据安全管理办法》

《自然资源领域数据安全管理办法》自然资发〔2024〕57号2024年6月图解自然资源部自然资源调变监测

数据地理信

息致据《自然资源领域数据安全管理办法》2024年3月22日，自然资源部印发《自然资源领域数据安全管理办法

》,旨在规范自然资源领域数据处理活动，加强数据安全管理，

保障数据安全，促进数据开发利用，保护个人、组织的合法权益，

维护国家安全和发展利益。《办法》是促进自然资源领域数据安全管理、重要数据管理制度落地的部门规章s.闲

区

，

像

费

编

贵

土

营

部(

1

.

尸

调

调

用，上海相海，即净与油周、山原省海

.

厂器tsa

区，国林0源，4@地消壹地发其他直单位，各酒出机模，机关H8

据要工作调

t,

项同度，理再《项

安全情理办d》日发帽你0.请错骨际认肃嘲执行。口为重

707447月78时件日想

域

颜

支

会

理

力法aocs

a

于

m

p

a

n

设

士

留

h

a

h白sn

(t2467号t时间

4cnx

存

机

Rn力

0其文4士

s

a

8

t

酒

办

es止记时

凝n《自然资源领域数据安全管理办法》中华人民共和国自然资源部

政策法规库MnstyotNstualsnorcnottheFospkirpuokotOk个人信息保护法2021年11月1日起施行密码法2020年1月1日起施行数据安全法2021年9月1日起施行网络安全法2017年6月1日起施行制定依据日务回鸣青曹6耳动血公开3数据安全监管的垂直化趋势进一步显现实战需求驱动数据保护

合规要求夯实安全基线

护航自然资源数据安全随着信息技术的快速发展，数据已成为国家重要战略资源。自然资源

领域的数据安全对于国家安全、经

济发展和社会稳定具有重要意义。期/7内容

(启原域握虚会管虚办法)f

社律师事务所、《宿磨源绩减教安全管建办油》解读汉事务所，评解读(0者项教眉安公算

办法》君含律事务所继《数据安全法》施行为各行各业的数据

安全管理奠定法律基础后，在《网络安全

法》《数据安全法》《个人信息保护法》

《密码法》搭建的基本法规体系框架下，

包括工业和信息化、自然资源、银行保险

等相继发布本领域数据安全管理规定和征

求意见稿，数据安全监管的垂直化趋势进

一步显现。面对需求与合规要求，有必要充分发挥监管的“指挥棒”作用，通过

强化政策要求，采取有效的措施规

范自然资源领域数据处理活动，加

强数据安全管理，保障数据安全，

促进数据开发利用。《自然资源领域数据安全管理办法》制定背景第三章数据全生命周期安全管理12.主体责任/工作体系

13.数据收集

14.数据存储16.数据传输

17.数据提供

18.数据公开20.数据出境

21.数据转移

22.委托处理第四章数据安全监测预警与应急管理24.风险监测机制

25.安全风险评估

26.风险信息通报机制第五章监督检查28.监督检查和协助义务

29.数据安全审查11.重要数据/核心数据目录报备流程及内容15.数据加工使用19.数据销毁23.日志留存/商用密码保护

627.应急处置30.保密要求第六章法律责任31.监管措施

32.法律责任第七章附则33.个人信息保护34.涉密排除35.行政许可36.办法解释

37.施行日期第一章总则1.目的依据2.适用范围3.术语定义4.监管机构5.标准制定6.数据开发利用7.宜传教育/人才培养整理：《自然资源领域数据安全管理办法》总结构自然资源领域数据安全管理办法第二章数据分类分级管理

提出密码保护、加密的条款10.核心数据/重要改据/一般放据9.数据分类分级方法8.分类分级工作要求5建立权责一致的工作机制明确适用范围，界定自然资源领域数据、

数据处理者及数据安全概念，构建“部-地

方-企业”三级联动的防护体系，提出将

数

据安全纳入党委(党组)国家安全责任制

,按照“谁管业务，谁管数据，谁管数据

安全”原则，落实监管责任。落实数据全生命周期安全管理针对不同级别数据，细化数据处理者

的主体责任，围绕数据收集、存储、

加工使用、传输、提供、公开、销毁

、出境、转移、委托处理、日志留存

等环节，规范安全管理和保护要求，

明确使用商用密码技术进行保护。《管理办法》共七章三十七条，重点解决自然资源领域数据安全

“谁来管、管什么、怎么管”的问题，主要内容包括六个方面：细化数据分类分级管理明确相关主体数据分类分级的工作要

求

及

方

法

，细化重要数据识别指标，

要求建立重要数据和核心数据目录及

报

备

机

制

。规定了行业监管部门监督检查及数

据处理者协助义务、自然资源部数

据安全审查义务以及数据处理者及

其委托的数据安全风险评估机构保

密要求等内容。加强数据安全监测预警与应急管理

强化监督检查

法律责任《自然资源领域数据安全管理办法》主要内容建立数据安全风险监测、风险评估、风

险信息通报、应急处置等工作机制。明确相关违法违规行为的法律责任

和惩罚措施。6自然资源领域数据处理者本办法所称自然资源领域数据处理者(以下简称数据处理者),

是指开展自然资源领域数据处理活动的自然资源行业各类单位。数据安全本办法所称数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。自然资源领域数据本办法所称自然资源领域数据，在开展自然资源活动中收集

和产生的数据，主要包括基础地理信息、遥感影像等地理信

息数据，土地、矿产、森林、草原、水、湿地、海域海岛等

自然资源调查监测数据，总体规划、详细规划、专项规划等

国土空间规划数据，用途管制、资产管理、耕地保护、生态

修复、开发利用、不动产登记等自然资源管理数据。3.数据全生命周期安全管理术语定义在中华人民共和国境内开展的，或在境外履行自然资源部门职责过程中开展的自然资源领

域非涉密数据处理活动及其安全监管，应当遵守相关法律法规和本办法的要求。4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则1

.

总则

适用范围明确适用范围及术语定义自然资源调查监测数据自然资源管理数据地理信息数据

国土空间规划数据2.数据分类分级管理7自然资源部在国家数据安全工作协调机制统筹协调下，自然资源部承

担自然资源行业、领域数据安全监管职责，负责督促指导各省、自治区、直辖市自然资源主管部门、海洋主管部门

(以下统称地方行业监管部门)开展数据安全监管。国家林业和草原局具体承担森林草原、湿地荒漠等数据安全监管职责，参照本办法制定具体制度。地方行业监管部门分别负责对本地区自然资源领域数据处理活动和安全保护

进行监督管理。1.总则2.数据分类分级管理3.数据全生命周期

安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则统称为行业监管部门·

行

业

监

管

部

门将数据安全纳

入

党

委

(

党

组

)

国

家

安

全

责

任制·

按

照

“谁管业务，谁管数据

,谁管数据安全”原

则·

落实本行业本地区本领域数

据安全指导监管责任将数据安全纳入党委(党组)国家安全责任制，“谁管业务，谁管数据，谁管数据安全标准制定·

推

进自

然

资

源

领域数据开发

利用和数据安

全标准体系建

设·

组

织

开

展

相

关标准制修订及推

广

应

用81

.

总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则数据开发利用·

鼓励自然资源领域数据依法共享开放和开发利用，支持数据创新应用。·

积极构建数据开发利用和安全产业协调共进的发展

模式

，不断提升数据安全

保障能力，维护国家安全、社会稳定、组织和个人

权益。宣传教育/人才培养·

支持开展经常性的自然

资源领域数据安全宣传

教育。·

采取多种方式培养数据

开发利用技术和数据安

全

专

业

人

才

，促进人才

交流。鼓励自然资源领域数据开发利用，支持数据安全宣传教育及人才培养91.总则相关主体

分类分级工作要求上

报102.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则自然资源部组织制定自然资源领域数据分类分级、重要数据和核心数据识别认定、数据安

全保护等标准规范，指导开展数据分类分级管理工作，编制行业重要数据和核

心数据目录并实施动态管理。国家林业和草原局按照自然资源领域数据分类分级标准规范，结合工作需要编制林草领域数据安全标准规范，指导开展林草数据分类分级工作，编制林草重要数据和核心数据目录并实施动态管理。地方行业监管部门按照自然资源领域数据分类分级标准规范，分别组织开展本地区自然资源领域

数据分类分级管理及重要数据和核心数据识别审核工作，编制本地区自然资源领域重要数据和核心数据目录，并上报自然资源部，目录发生变化的，应及时

上报更新。数据处理者应当定期按照自然资源领域数据分类分级标准规范梳理填报重要数据和核心数据目录。清晰划分自然资源领域相关主体数据分类分级职责，要求建立重要数据和核心数据目录2.数据分类分级管理数据分类数据分级根据行业特点和业务应用，自然资源领域数据分类类别包括但不限于：地理信息

自然资源调查监测呼应《数据安全法》和网安标委《数据分类分级规则》,给出自然资源数据分类分级方法·

通

过

对自

然

资

源

领

域

数

据重要性、精度、规模、安全风险·

数据价值、可用性、可共享性、可开放性等进行综合分析国土空间规划

自然资源管理

其他具体参照自然资源领域数据分类分级标准规范。·判断数据遭到篡改、破坏、泄露或者非法获取、非法利用

后的影响对象、影响程度、影响范围进行分级，分为：一般数据

重要数据

核心数据4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则数据处理者可在此基础上细分数据的类别和一般数据级别。3.数据全生命周期安全管理1.总则11结合自然资源领域数据特点，满足以下两项(含)以上参考指标的为重要数据。1.

支撑党中央和国务院赋予的“两统一”职责产生具有不可替代性和行业唯一性的，一旦发生数据篡改、

泄露或服务中断等安全事故，将影响自然资源部门履行职责，对全国范围内服务对象产生重要影响的数

据。2.

涉及国民经济和重要民生的，为其他行业、领域提供自然资源基础数据支撑的，一旦发生数据安全事故

会对其他行业、领域造成重要影响的数据。3.

覆盖多个省份甚至全国，规模大、精度高，且极具敏感性、重要性的数据。4.

直接影响国家关键信息基础设施正常运行服务的数据。5.

危害国家安全、国家经济竞争力、危害公众接受公共服务、危害公民生存条件和安定工作生活环境、危

害公民的生命财产安全和其他合法利益、导致社会恐慌等的数据。6.

我国法律法规及规范性文件规定的其他自然资源重要数据。核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、

一定深度的重要数据，

一旦被非法使用或共享，可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据，关系国

民经济命脉、重要民生和重大公共利益的数据，经国家有关部门评估确定的其他数据。重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模，

一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。一般数据是指除重要数据、核心数据以外的其他数据。1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则符合重要数据指标，且关

系国家经济命脉、重要民

生和重大公共利益、影响

政治安全的数据为核心数

据

。12自然资源领域数据识别的参考指标核心

数据重

要数据一般数据GB/T43697-2024《数据安全技术数据分类分级规则》一附录G《重要数据识别指南》其中列举的重要数据识别考虑因素包括了涉及自然资源领域数据的相关内容：序号重要数据识别考虑因素a)直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据；b)可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据；j)反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的描述水文观测结果、耕

地面积或质量变化情况的数据；m)关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据，以及影响入员在上述领域安全进出的数据。《汽车数据安全管理若干规定(试行)》(

一

)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则(拓展)涉及自然资源领域重要数据识别的其他法律法规相关要求第

三

条

(

部

分

)13报备内容发生重大变化的

,数据处理者应当在发生

变化的三个月内履行变更

手续。*重大变化是指数据内容发生变化导致原有级别不再适

用的，或某类重要数据和核

心数据规模变化30%以上

的

，等等。1.总则2.数据分类分级管理3.数据全生命周期

安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则中华人民共和国自然资源部MinistryofNaturalResourtesof

thePeople's

RepublicofChina国家林业和草原局NationalForestryandGrasslandAdministration本地区行业监管部门审核中华人民共和国自然资源部MinistryofNaturalResources

ofthe

People's

Republc

ofChina报备内容包括但不限于数据类别、级别、规模、精度、来源、载体、使用范围、对外共享、

跨境传输、安全情况及责任单位情况等，不包括数据内容本身。报备本单位重要数据

和核心数据目录报备本单位重要数据

和核心数据目录报备本单位重要数据

和核心数据目录自然资源部所属的数据处理者国家林业和草原局所属的数据处理者其他数据处理者不符合要求符合要求重要数据审核认定

(

20个工作日完成)自然资源领域重要数据和核心数据报备核心数据审核认定国家数据安全工作协调机制提交报备申请/收到反馈后15个工作日内再提交地方行业监管部门及时反馈并说明理由20个工作日内完成数据处理者业1.总则

数据处理者应当对数据处理活动安全负主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。落实制度要求利用互联网等信息网络

开展数据处理活动时，要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和

保密等制度要求。开展教育培训定期对从业人员开展数据安全知识和技能相关教

育

培

训。配备管理人员根据需要配备数据安全

管理人员，统

筹

负

责

数

据处理活动的安全监督

管理，协助行业监管部

门开展工作。制定应急预案根据应对数据安全事件的需要，制定应急预案

并开展应急演练。建立管理制度建立数据安全管理制度，针对不同级别数据，制定

数据全生命周期各环节的

具体分级防护要求和操作

规程。严格权限管理合理确定数据处理活动的操作权限，严格实施

人员权限管理。采取技术措施应当采取相应技术措施和

其他必要措施保障数据安全，防范数据被篡改、破

坏、泄露或者非法获取、非法利用等风险。其他措施法律法规等规定的其他措

施。2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任自然资源领域数据处理者数据安全保护的一般义务7.附则15建立数据安全工作体系·建立覆盖本单位相关部门的数据安全工作体系，

明

确数据安全负责人和管理

机构，建立常态化沟通与

协作机制。·本单位法定代表人或主要

负责人是数据安全第一责

任人，领导班子中分管数

据安全班子成员是直接责

任

人

，其他成员对职责范

围内的数据安全工作负领

导责任，履行数据安全保

护义务，接受监督。明确关键岗位和

岗位职责·

明确数据处理关键岗位和岗位职责，并要求关键岗位人

员签署数据安全责任书，责

任书内容包括但不限于数据

安全岗位职责、义务、处罚

措施、注意事项等内容。·应当按照业务工作需要和最

小授权原则，依据岗位职责

设定数据处理权限，控制重

要数据接触范围，人员变动

时应及时调整权限。·涉及核心数据相关关键岗位

人员、信息系统建设和运维

单位等，提交公安机关、国

家安全机关进行国家安全背

景审查。涉重要数据信息系统建设、运维要求·涉重要数据信息系统建设、

运维项目未经委托方批准不

得转包、分包。·建设运维人员未经委托方明

确授权，不得处理委托方的

重要数据。·在提供涉重要数据信息系统

建设、运维过程中收集、产生的数据，不得用于其他用

途，服务完成后按照与委托

方约定处理或及时删除。人员和经费保障

应当加强人员和经费保障。161.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则建立内部登记、

审批机制·建立内部登记、审批机制，对重要数据和核心数据的处

理活动进行严格管理并留存

记录不少于六个月。综合运用安全技术手段·在数据全生命周期各环节，

应当综合运用加密、鉴权、

认证、脱敏、校验、审计等

技术手段进行安全保护，并

按照法律法规和国家有关规

定要求使用商用密码进行保

护

。自然资源领域重要数据与核心数据处理者数据安全保护的特殊义务重要数据和核心数据处理者，还应当：1.总则数据收集

数据存储数据处理

数据传输数据提供数据公开数据销毁

其他情况2.数据分类分级管理关键词详情关键词详情基本原则数据处理者收集数据应当遵循合法、正当

的原则，不得窃取或者以其他非法方式收

集数据。法律法规对收集数据的目的、范

围有规定的，应当在法律法规规定的目的

和范围内收集。安

全

管

控数据处理者应当依据法律法规规定的方式和期限存储数据，可以从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面，加强数据存储安全管控，保障存储数据的完整性、保密性、真实性和可用性。3.数据全生命周期安全管理4.数据安全监测预警

与应急管理安全措施数据收集过程中，应当根据数据安全级别

采取相应的安全措施，加强重要数据和核

心数据收集生产人员、设备的管理，并对

收集来源、时间、类型、数量、精度、区

域、频度、流向等进行记录。5.监督检查分级保护存储重要数据的，要落实第三级及

以上网络安全等级保护要求。存储

核心数据的，要落实关键信息基础

设施安全保护要求或第四级网络安

全等级保护要求。6.法律责任其他情况通过间接途径获取重要数据和核心数据的，

数据处理者应当与数据提供方通过签署相

关协议、承诺书等方式，明确双方法律责7.附则任。17需加强数据存储安全管控，保障存储数据的完整性、保密性、真实性和可用性数据公开

数据销毁

其他情况V通用安全要求策

略

制

定数据处理者应当根据传输的数据类型、级别和

应用场景，制定安全策略并采取保护措施。其他情形安全要求1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则涉及重要数据和核心数据传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。18安

全

管

控数据处理者开展数据加工使用处理活

动，应当采取访问控制、数据防泄露

、操作审计等管控措施，确保过程安

全、合规、可控、可溯源，防范数据

关联挖掘、分析过程中有价值信息和

个人隐私泄露的安全风险，明确数据

使用加工过程中的相关责任，保证数

据的正当加工使用。涉及重要数据和核心数据加工使用重要数据和核心数据，还应

当实施严格的访问控制，建立数据可

信可控、日志留存审计、风险监测评估、实时监控、应急处置、数据溯源等相关技术和管理机制。涉及自动化决策涉及利用数据进行自动化决策的，应当保证决策的透明度和结果公平合理。数

据

收

集

数

据

存

储

数据处理

数据传输

数

据

提

供通用安全要求分

级

保

护加工使用过程中，应当按照数据级别采

取相应的措施保护数据的安全性，所使

用的数据必须是真实可靠的，数据来源

、收集过程须经过审查和核实。开展数据加工使用处理活动，应当采取访问控制、数据防泄露、操作审计等管控措施其他情形安全要求分类关键词详情基础要求明确信息明确提供的范围、类别、条件、程序等最小范围提供的数据应当限于实现数据接收方处理目的的最小范围分级保护告知数据接收方按照对应级别进行分类分级保护安全保护采取必要的安全保护措施涉及重要数据签订协议与数据接收方签订数据安全协议加强管控重要数据在共享、调用过程中应当加强安全管控定期监测采取技术措施定期监测数据共享、调用的情况措施配备配备风险隔离、认证鉴权、威胁告警等安全保护措施涉及提供、共享核心数据采取措施应当采取必要的安全保护措施信息上报上报自然资源部风险评估自本年度1月1日起可能累计达到总量30%及以上的，应当经自

然资源部报国家数据安全工作协调机制组织风险评估注

：涉及国家机关依法履职或单位内部流动的除外2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则数据收集

数据存储

数据处理

数据传输

数据提供

数据公开数据销毁其他情况数据处理者应当按照有关规定安全有序提供数据，具体如下表所示：提供的数据应当限于实现数据接收方处理目的的最小范围1.总则)分类

关键词

详情不得公开情形数据公开数据处理者应当在数据公开前分析研判可能对国家安全、公共

利益产生的影响，存在显著负面影响或风险的，不得公开公开基本原则政府机关部门应当遵守公正、公平、便民的原则，按照规定及时、准确地公开政务数据，依法不予公开的除外制度建立数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存数据销毁依据法律法规规定、合同约定等请求销毁的，数据处理者应当销毁情况销毁相应数据销毁重要数据和核心数据的，要采取必要的安全保护措施，并安全保护事前向行业监管部门报告数据销毁方案引起重要数据和核心数据目录变化的，应当及时向行业监管部报备情况

门报备，不得以任何理由、任何方式对销毁数据进行恢复1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求

数据收集数据存储数据处理

数据传输数据提供

数据公开

数据销毁其他情况201.总则2.数据分类分级管理其他情况3.数据全生命周期安全管理境内数据一般情况数据处理者在中华人民共和国境内收集和产生的重要数据，应当在境内存储4.数据安全监测预警与应急管理确需向境外提供的数据处理者应当落实国家网信部门数据出境安全评估有关规定5.监督检查一般情况数据处理者因重组等原因需要转移数据的，应当明确数据转移

方案6.法律责任7.附则数据转移涉及重要数据的应当采取必要的安全保护措施，事前向行业监管部门报告数据

转移方案。应当及时向行业监管部门报备情况场景说明要求数据转移涉及重要数据的应当采取必要的安全保护措施引起重要数据目录发生

变化的21情况场

景

说

明要求委托处理一般情况数据处理者委托他人处理、与他人共同处理数据的，数据安全责任不因委托而改变，应当通过签订合同协议等方式，明确委

托方与受托方的数据安全责任和义务。涉及重要数据的委托方要把安全作为重要考虑因素，应当对受托方的数据安全保护能力、资质进行评估或核实，经过严格的审批程序，明确受托方的数据处理权限和保护责任，并监督受托方履行数据安

全保护义务。涉及数据提供的除法律法规等另有规定外，未经委托方同意，受托方不得将数

据提供给第三方。日志记录一般情况数据处理者应当在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志，并采用商用密码技术保护日志的

完整性。日志留存一般数据的日志留存时间不少于六个月，涉及重要数据安全事件处置、溯源的，相关日志留存时间不少于一年；涉及向他人提供、委托处理、共同处理重要数据的，相关日志留存时间不少于三年。涉及核心数据安全事件处置、溯源的相关日志留存

时间不少于三年。2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则数据传输

数据提供

数据公开

数据销毁

其他情况数据处理者应当采用商用密码技术保护日志的完整性数据收集

数据存储

数据处理1.总则2数据处理者应当开展数据安全风险

监测，及时排查安全隐患，采取必

要的措施防范数据安全风险。地方行业监管部门分别建设本地区数据安全监测预警机制织开展本地区自然资源领域数据安全风险监测按照有关规定及时发布预警信息，通知本地区数据处理者及时采取应对措施。23日自然资源部门按照国家相关标准和流程组织建立自然资源领域数据安全风险监测机制中建立自然资源领域数据安全风险监测预警体系，划分数据安全风险和事件等级国家林业和草原局组织建立林草数据安全风险监

测预警机制划分林草数据安全风险和事件

等级组织建设林草数据监测预警技术手段1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任建立自然资源领域数据安全风险监测机制7.附则h重要数据处理者评估周期应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向行业监管部门报送风险评估报告。报告内容风险评估报告应当包括处理的重要数据的类别、数量，开展数据处理活动的情况，面临的数据安全风险、应对措施及其有效程度等。保留期限数据处理者应当保留风险评估报告至少三年。核心数据处理者优先使用第三方评估机构开展风险评估。国家林业和草原局指导开展自然资源领域数地方行业监管部门负责组织开展本地区自然资源领域数据安全风险评估工作数据处理者日志审计数据处理者在组织重要数据安

全风险评估时，应当对其数据

查询、下载、修改、删除等重

点操作的日志开展审计分析，

发现违规或异常行为，应及时

采取相应处置措施。1.总则2.数据分类分级管理3.数据全生命周期

安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则开展自然资源领域数据安全风险评估工作组织指导开展林草数据安全风险评估等工作据安全风险评估等工作自

然

资

源

部

门数据处理者及时将可能造成较大及以上安全事件的风险向行业监管部门报告。25地方行业监管部门汇总分析本地区自然资源领域数

据安全风险，根据数据安全风险

的发展态势、规模大小、关联程度、现实危害等综合研判，及时

将可能造成重大及以上安全事件的风险向自然资源部报告。1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则自然资源部门组织建立自然资源领域数据

安全风险信息通报机制，统一汇集、分析、研判、通报数据安全风险信息。国家林业和草原局组织建立林草数据安全

风险信息通报机制。建立自然资源领域数据安全风险信息通报机制数据处理者日志审计

报

告

周

期

告

知

风

险在数据安全事件发生后，应当按照应急预案，及时开展应急处置，涉及重要数据和

核心数据的安全事件，第一时间向行业监管部门、属地公安部门报告，事件处置完成后一周内形成总结报告。每年向行业监管部门报告数据安全事件处置情况。数据处理者对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则自然资源部门组织制定自然资源领域数据安全

事件应急预案，组织协调重要数

据和核心数据安全事件应急处置

工作。组织开展本地区自然资源领域数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件，应当立即报

自然资源部，并及时报告事件发展和

处置情况。组织建立林草数据安全事件应急预案，组织协调重要数据和

核心数据安全事件应急处置工

作。制定自然资源领域数据安全事件应急预案地方行业监管部门国家林业和草原局6保护个人信息、商业秘密安全数据处理者及其委托的数据

安全风险评估机构工作人员

对在履行职责中知悉的个人

信息、商业秘密等，应当严

格保密，不得泄露或者非法

向他人提供。27数据安全审查在国家数据安全工作协调

机制统一组织下，自然资源部依法配合有关部门，对影响或者可能影响国家安全的自然资源领域数据处理活动开展数据安全审查工作。1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则监督检查行业监管部门对数据处理

者落实数据分类分级保护

及本办法要求的情况进行

监督检查。数据处理者应当对行业监管部门监督检

查予以配合。各方落实监督检查、数据安全审查和保护个人信息、商业秘密安全责任主体行为处罚行业监管部门在履行数据安全监督管理职责中，

发现数据处理活动存在较大安全

风险的可以按照规定权限和程序对数据处

理者进行约谈，并要求采取措施进

行整改，消除隐患。依照《中华人民共和国数据安全法》及有关法律法规予以处理，根据情对于违反有关规定的节严重程度给与相应行政处罚，构成犯罪的，依法追究刑事责任。1.总则2.数据分类分级管理3.数据全生命周期

安全管理4.数据安全监测预警

与应急管理5.监督检查6.法律责任7.附则落实各方法律责任28主体行为开展涉及个人信息的数据处理活动应当遵守有关法律法规的规定。涉及国家秘密信息或自然资源领域数据汇聚关联应当符合国家及部相关保密规定。后属于国家秘密事项的数据处理活动法律法规规定开展数据处理活动应当取得行政许

可的数据处理者应当依法取得许可。1.总则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.监督检查6.法律责任7.附则

本办法由自然资源部负责解释。

本办法自印发之日起施行。29其他重要要求自然资源领域数据安全实践30自然资源数据保护技术实践基于产品与服务，事前事中事后全防护31根

据IBM最新发布的《2023年数据泄露成本报告》,数据泄露的平均成本创下445万美

元

的历史新高，较过去3年均值增长了15%。某馏行被处商420万

银保监1号物单538亿务数露，0.177比特形

某反联网平台数面法露同络安全法个人信息保护法数据安全法密码法查

金

护

是O

要

全侧阴

安

全

条商用密得管理条例等保关保数评密评信创安全产业自身数据安全产业的发展阶段性(历史是先发展再治理，今天已到拐点)、

和自身特殊性(经济学外部效应带来的密集法律法规),形成市场非线

性增长驱动力。数据入表财政部《企业数据资源相关会计处理暂行规定

》,将数据入财务报表并体理其真实价值与业

务

责

献

，对数据资源确认范围和会计处理适用

准则等作出规定，2024年1月起施行。加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国

际竞争力的数字产业集群。健全国家安全体系，强化经济、重大基础设施、金融、网络、数据、生物、

资源、核、太空、海洋等安全保障体系建设。信息技术产业国际形势变化带来的空前安全需求，重要性(数字安全和几乎全部安全

领域相交)和长期性(未来几十年新常态)。总体国家安全观7EE安全需求：内在风险、外部合规、增量价值外部合规：“五法一典”过程与结果双合规经济学外部效应：数据泄露给他人造成损害，对企业影响反而不大。解决

办法是通过立法，让“防数据泄露”成为公共安全产品，类似环保。内在风险：数据风险如影随形伴生数据处理增量价值：“数据入表”让安全从成本走向价值现在，过数报安全手段消风片，在新会

计准下可以让数据成为企业实实在在的_

表内资户"过去，数通过提升运营效率问接为企业,而生俱定的风险证数银成为企业

不可部视的表外负值二十大报告国家安全机关破获段国首例涉及高铁迅行安全

的危害国家安全类案件2亿备中国公我数据在暗网被公开售卖画

数据外发合规风险数据安全建设面临“两难”:·

数据保护体现为面向应用的功能型安全需求，要在应用中融合实现，但改造存量应用成本高、风险大、周期长，新应用的业务开发与安全排期也不匹配，安全机制总是滞后或缺失·

而数据保护不落实，则合规风险越来越大、因泄露导致的业务风险会快速累积身份鉴别密级标识

以网络为中心的安全数据分类数据安全成为当前建设重点零信任网络SIEM端点安全IDS防火墙落地痛点：安全建设从网络到数据，安全和业务纽结缠绕难以改造数据态势解密细控泄露检测

数据审计

数据鉴权

存储加密通信加密数据过量访问风险业务操作身份风险数据违规外发风险未授权的数据访问风险运维人员

内控风险业务人员越权访问风险终端管控移动安全反病毒沙箱检测VPN访问审计重要

数据脱敏以数据为中心的安全风险签名数据访问内控风险33平台主界面产品体系：免改造平台灵活交付多重安全能力，易部署易扩展数据审计追溯系统数据安全合规系统管理：合规内控、治理评估、迎接检查技术：满足数掘处理活动认证要求数据安全主平台控制面安全度略

集中式管控、分布式保护

密钥管理数据脱敏系统收击行为识B收击特征溪化安全告臂申计分级分类处理响应处理联动检到响应可视化数据资原识别数据样本抽取敏感数据识别资产风险评估数据分类分级岐感资产可视免改造密码机面向密评密改合规场景数据安全网关面向数据安全实战防护产品形态数据检测响应系统数据诗问储存

共事接口审计数掘导出水印

文件下醒水印数据资产管理系统数据加密系统动态脱敏的态税破营露进腾身份喜阴存律加密辐点解出解密损权99梁数据安全SDK集成安全能力前台系统

后台系统

CipherSuite序非结构化数据应用代理AOE

插件模块

保护结构化数据数据安全管理平台用户提供用户访问传输加工敏捷部署：旁路平台结合主路控制面，免改造应用拦截数据施加保护数据资产管理系统使用存储数据审计追溯系统KMS密管系统收集MySQL

文件系统/数据库结构化数据访问

DBDB

代理AOE代理模块保护结构化数据TDE/UDF

模

块保护结构化数据TFE/FDE模

块保护非结构化数据

CRM

应用公开35TFE文件安全模块

FDE全磁盘加密密文应

用程序1未授权进程只能读密文FE安全模块读取文件明文数据安全管理平台

os密

文磁盘存储密文密钥管理系统模15田nl_8000215000231211400025412095000002173807032198769D5yL118htn

0

业3/4071j2Yh0/s/Mmnyet1Ba2/10024075662916066550413304994219T

144贸e26640

十户

020王"

86马

”

se0

非常有

020.024000ogG常容N8OWkdylyOo813570417164菲常容u

1mgp9914735816218非常客3vBzWU9gmS4e10250726110非觉容391vtoguH313156901590非堂容0s4WUBamgG+11965283955非堂客4GWVSVo2yT常容”urs·的

8

·

owanuLj1eTs₈010910051091000000109100010910000109100010V400150n421100000021950210000084387700002190159谓

理

气

者

即

里

帝

里

等

事430041…096事

毒

告

事

事

柔

壹

音

:存储

使用

加工

传输

提供域内数据：存储加密、使用解密/脱敏不影响业务人员使用、不影响DBA

运维支持ABAC

的访问控制策略，实

现用户与字段文档级防护结构化数据非结构化数据应用服务器AOE插件主体到人细粒度

访问控制国峰5217A林21047中量树大街面向用户侧动态脱敏1-jfn371n41lda43面向服务侧存储加密密钥管理系统数据安全管理平台皮用

应用程序2

程序3用户态DBA工具查看脱敏数据应用查看脱敏后数据DBA

工具查看密文应用看到密文DE安全模块内核态应

用

程序2用户志AOE代理客体到字段授权进程可

读取文件明文数据库应用

程序3窃取数据磁盘存

储密文挂载磁盘或卷后可用户3密文内核态程序1明文明文os控防数据持有者/提供方防无关方源数据库

共享数据管理系统

共享数据库数据受控共享平台专属密钥加密密文共享数据库D.检测数据接收方密文专用加解密模块应用系统专用DBA工具P.

防

护有限明文客户访问端1.识别数据已成为企业间可以交易的商品，但交易后存在“数据失控”问题困扰着数据持有者：·

数据的接收方有没有对数据进行滥用?·

对方有没有再次将数据外发给第三方?·

这些数据在接收方的有效期如何控制?公开/删

除提供传输加工使用存储收集数据持有方数据受控共享平台共享数据管理系统共享数据库密文存储

使用

加工

传输

提供专属安全环境业

务

查

询

环境专属安全环境业

务

查

询

环境跨域数据：轻改造落地“数据可见不可转”业务部门下属部门

业务合作机构外协治理团队

外协运维团队

网络黑客组织R响应

R.恢复

C.反制

372.在线场景：实现数据可查不可数据查询方数据查询方1.离线场景：实现数据可见不可转相关方8指标免开发改造的本方案(以加密为例)改造应用方案(以加密为例)数据库外挂安全方案(以加密为例)实施成本实施工作量小，免改造应用代码实施工作量大，需改造应用代码，集成加密机客户端SDK实施工作量中，需针对目标数据库的每个版本做适配可靠性可靠性高，插件成为应用程序的一部分，不单独启进程，插件可靠性取决于应用自身可靠性可靠性中，数据需要传输给集中部署的加密机进行加解密，

形成性能瓶颈和单点故障风险可靠性低，外挂模块需要在数据库服务器单独启进程，增

加了单点故障风险，同时需要对数据库改表名、加规则性能性能高，基于高性能国密算法、脱敏算法性能中，需要将数据传入传出加密机，额外增加网络延时性能低，针对字段添加触发器和多层视图兼容性支持绝大多数数据库，与数据库解耦支持绝大多数数据库，取决于SDK编程语言类型仅支持Oracle等部分数据库，对国产数据库、NoSQL、

乃至DB2、SQL

Server等兼容性差数据流不改变原数据流转路径和网络拓扑，免改造模块

原地加解密数据、脱敏数据改变数据流转路径，明文先经过SDK传入到加密机，加密

后将密文返回SDK,最终存入数据库改变数据流转路径，明文先经过外挂模块传入到加密机，加密后将密文返回外挂模块，最终存入数据库扩展性可灵活扩展，统一可视化策略管理，横向覆盖更

多应用，不影响已部署应用的加解密性能扩展成本高，加密策略需要通过硬代码实现，任何策略改

动，都需要改动代码，不灵活而且风险大扩展成本中，需适配新数据库及改表名，对集中式加密资

源增加压力，会分摊到已部署数据库的加解密算力应用升级影响不影响应用升级，加解密等功能与应用轻耦合应用升级需要维护加密代码，加解密与应用代码紧耦合应用升级要评估数据库，占用数据库服务器宝贵性能资源应用系加密机用户

应用系统数据库数据库运维端管理平台+KMS用户

应用系统技术对比：“主路型数据安全”典型路线数据库38应用服务端数据库用户端脱敏后数据免改造数据安全模块非授权用户无法获取明文GBASE达梦数据库SQLServerFanset

redis

用户端数据安全管理平台

密钥管理系统数据库

管理员覆盖事前事中事后的

防绕过保护机制方案优势：兼容多、交付快、防护好免改造应用敏捷实施sQLiteORACLEDATABASEteradata.Grenplum适应大多数企业应用架构Java/C/Python等应用服务数据锚点解密

强制细控消除数据库侧

安全威胁基于属性的

访问控制南大通用数据库39主平台：对流动数据的高覆盖率识别与控制免改造交付多重安全能力，易部署易扩展，实现安全与业务有机融合关系型数据率线收集离线收集

NoSQLSQL

HDFS数据安全态势感知数据安全主平台ClpherGatewoy统一策略管理加密脱敏模块结构化数据非结构化数据半结构化数据OLTP离线计算白单机存储全文检索引擎任务调度系统HOLAPMOLAP实时收集

关系型数据库自分布式存储可视化工具

网页数据实时收集数据库对库同步可视化平台中间件传输接口传输数据转换数据集成文件传输可视化库实时收集实时计算资源管理日志数据日志数据数据清洗ROLAP40HW攻防演练网络攻破后数据不泄露结果合规数据安全风险评估

数据安全管理认证

个人信息保护认证数据安全能力成熟度认证将偶发的、高技术水平的对抗风险，转化成常态的、可重复验证的非对抗风险过程合规形成实战

最佳实践

对抗免改造数据安全实现“

一

实战、双合规”实战之三体密

评商用密码应用安全性评估：

合规、正确、有效敏捷交付国密合规改造实战是检验安全能力的唯一标准实战对抗41自然资源数据保护国密合规实践一站式密改套餐敏捷交付42《密码法》第二十七条规定：运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等保测评制度相衔接，避免重复评估、测评。《密码法》第三十七条规定：关键信息基础设施的运营者未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万

元以下罚款。《“十四五”数字经济发展规划》,明确提出支持开展常态化安全风险评估，加强网络安全等级保护和密码应用安全性评估。商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合

规

性

、

正

确

性

、

有

效

性

进行评估。中华人民共和国

密

码

法含草案说明中国法制出版社密评合规提供安全基线计划

(Plan)密码应用方案制定实施(Do)

检查(Check)改进(Act)改

进信息系统运行监

控密码应用方案

建设实施初次/

定期/

应急评估方

案

评

估整

改43·“十四五”时期，是数字化引领密评高质量发展

重要机遇期，密评加速推广发展。本阶段，密评

在金融、政务、教育、电信、水利等行业将实现

规模化布局，在评估机制、试点机构规模、技术

自主创新能力、检测认证和标准支撑体系、产业

生态环境、产融合作试点、人才队伍建设等方面

将形成较强综合竞争力，为数字经济高速发展构

建安全屏障。2016.9-2017.4再次集结期·

国密局成立密评领导小组，确定密评体系总体架构，

起草14项制度文件。·2017年9月27日，国密局印发《商用密码应用安全性测评机构管理办法(试行)》等，密评制度体系初步

建立。·

国密局成立起草小组，起草《商用密码应用安全性评

估管理办法(试行)》。·2017年4月22日，国密局印发《关于开展密码应用安

全性评估试点工作的通知》(国密局(2017)138号

文)在七省五行业开展密评试点。体系建设期2017.5-2017.92016-2021试点建设期·2017年10月，商用密码应用安全性评估试点工作开展；2018年2月，

国密局经过评审，第一批共有10家测评机构符合测评机构能力要求。.2019年上半年，对第一批密评试点做了评审总结，对参与试点的27家

机构进行能力再评审，择优选出16家扩大试点，对另11家机构给予6

个月的能力提升整改期。·2019年10月，开启第二批密评试点工作；2020年7月，评估试点机构

增至24家。·2021年6月，国家密码管理局第42号公告，发布最新的《商用密码应

用安全性评估试点机构目录》,明确48家商用密码应用安全性评估试

点机构。·

2

0

0

7

年

1

1

月

2

7日

，国家密码管理局印发11号文

件《信息安全等级保护商用密码管理办法》,要

求信息安全等级保护商用密码测评工作由国家密

码管理局指定的测评机构承担。·

2009年12月15日，国家密码管理局印发管理办

法

实

施

意

见

，明确与密码测评有关的要求。推广发展期2021年起制度奠基期2007.11-2016.8密评发展历程2017.10-2021试点开展期44商用密码应用安全性评估管理办法(试行)国家密码管理局，2017年发布信息安全等级保护商用密码管理办法国家密码管理局，2007年11月27日发布信息安全技术信息系统密码应用设计指南GBI42072023信息系统密码应用测评过程指南GM/T0116-2021,国家密码管理局发布商用密码应用安全性测评机构管理办法

(试行)国家密码管理局，2017年9月27日发布商用密码检测机构管理办法国家密码管理局_

2023年6月9日发布_信息安全技术信息系统密码应用测评要求GB/T43206-2023密码术语GM/T0001-2013,国家密码管

理局发布商用密码管理条例(2023年正式稿)国务院，2023年7月1日蓝行_促进商用密码产业高质量发展的若干措施国家密码管理局，2021年发布信息安全技术信息系统密码应用基本要求GBT39786-2021,国家市场监督管理总局、国家标准化

管理委员会发布信息系统密码应用基本要求GM/T0054-2018,国家密码管理局发布信息系统密码应用方案评估规范T/GDCCA0001-2022,广东省商用密码协会发布商用密码应用安全性测评机构能力评审实

施细则(试行)国家密码管理局，2017年9月27日发布_商用密码应用安全性评估管理办法国家密码管理局，2

023年6

月9日发布注：虚线框中文件是2023年新发布的版本测

评政务信息系统密码应用与安全性评估工

作指南在评联委会，

2020年9月24日发布商用密码应用安全性评估报告模板(2023版)评金，2023年1月20日发市信息系统密码应用高风险判定指引中国在码学会密评联委会，2021年12月17日发布人

员密码技术应用员国家职业技能标准人力资源社会保障部办公厅和国家密码管理局办公室，2022年7月6日发布实

施信息安全等级保护商用密码技术实施要求国家密码管理局，2009年发布信息系统密码应用实施指南(报批稿)机构商用密码应用安全性评估机构能力要求和评价规范(报批稿)商用密码应用安全性评估监督检查规范(

送

审

稿)管理信息系统密码安全管理体系(送审稿)工业控制系统密码应用技木要求(送审稿)商用密码应用安全性评估行业自律公约密评联重金，2021年发布商用密码应用安全性评估量化评估规则(2023版)密评联委会，2023年7月17日发布商用密码应用安全性评估FAQ

(

第

三

版)密评联委会，2023年10月26日发布法规政策国标行标-团

标

-网络安全法第十二届全国人民代表大会常务委员会第二十四次

会议通过，2017年6月1日起施行_密

码

法第十三届全国人民代表大会常务委员会第十四次会

议通过，2020年1月1日起施行商密有关法律法规信息系统密码应用方案评估过程指南I/GDCCA0002-2022,广东省商用密码协会发布个人信息保护法数据安全法第十三届全国人民代表大会常务委员会第三十次会

议通过，2021年11月1日起施行第十三届全国人民代表大会常务委员会第二十九次

会议通过，2021年9月1日起施行指导性文件法律

一第

一

章总则1.立法目的2.密码定义3.坚持总体国家安全观4.统一领导5.分级负责6.分类管理7核心密码、普通密码管理8.商用密码管理9.创新发展、人才建设10.密码安全教育11.纳入规划和经费预算上

.禁止行为13.管理原则16.工作监督检查19.提供免检便利21.管理原则24.标准法律效力27.关基使用要求30.行业协会职责第四章法律责任32.从事密码违法活动追责33.核心、普通密码违法使用处罚34.核心、普通密码泄密等处罚35.商用密码检测、认证违法处罚36.商用密码市场准入违法处罚37.关基运营者处罚38.进出口处罚39.电子政务电子认证服务处罚40.密码管理部门工作人员处罚41.刑事责任、民事责任44.施行时间密码法第二章核心密码、普通密码14.使用要求17.安全协作机制和问题查处20.建立安全审查制度第三章商用密码22.标准体系25.检测认证28.进口许可和出口管制31.事中事后监管和保密义务第五章附则43.解放军和武警部队密码立法15.安全保密管理18.工作机构和人员管理23.国际标准化26.产品和服务市场准入管理29.电子政务电子认证服务《密码法》总结构42.密码管理规章4650.未经认定的商密检测

或电子认证服务处罚54.电子认证服务机构违反法律

和密码技术规范的处罚58.进出口商密的处罚62.网络运营者处罚

66.刑事责任、民事责任51.商密检视机构涯为处罚55.电子政务电子认证服务机构处罚59.窃取加枣信息、非法入侵商密系统等违法活动的处罚63.阻挠商密监督管理的处罚52.商密认证机构违法行为处罚56.电子政务电子认证服务机构无法自证的承担赔偿责任60关基运营者违法处罚64.国家机关违法行为的处罚53.销售/振供未经检测认证或不合格的产品服务处罚57.政务活动中不合规的电子认证处罚全审查的产品/服务的处65私码理部门和工作人员的处罚第

三

章

检

测

认

证12.商密检测认13.商密检测机14.检测资质取证体系

构资质认定

得条件质申请流程

施要求

17.商密认证制度18.商密认证机19.商密认证实

20.网络关健设备和两络构能力要求

施要求

安全专用产品日录

21.网络关键设备和网络安全专用产品使用要求第四章电子认证24.服务机构资

质认定第一章总则1.

目的2.适用范围和关键定义3.监管机构4.人才培养5.宜传教育6.学术和行业自律政府支持第二章科技创新与标准化7创新促进机制知识产权保护/鼓励外商没资合作8.成果转化机制9.审查鉴定机制10.标准制定11.强制性和推荐性标准第九章附则67.条例施行日期第六章

应用促进35.鼓励各主体依法使用商密36.支持网络产品7服务便用商密应

用37.应用促进协调机制38.关基密评要求39.关基商密产品/服务使用要求40.关基运三者采烟商密产品和服务的安全审查机制41.网络运营者等保遵循7制足网络安全等级保护密码标准规范42.密评、关基检测、等保加强

衔接避免重复评估25.认证资质取得条件28.电子以务电子认证机构服务

要求26

.

电于以分电于认证服务机构资质

申请流程29.电子认证信

任机制27.外商投资安

全审查30.电子签名法

律效力46信用记录、监官、恶

戒、修复机制47.保密义务48.商密监督管理49.举报机制《商用密码管理条例》总结构第七章监督管理43.监督检查职责44.监督管理协作机制33.报关要求34.进出口许可申请材料及流程31.商用密码进口许可、出口管制清单商用密码管理条例32.进出口许可证45.监督检查职权15检测机构资16.商密检测实0关基道言

宋

变第八章法律责任第五章进出口23.密码使用要求22.能力要求国密合规改造方案适用于政务、金融、交通、运营商、医疗、教育、工业、能源、水利等多行业客户开展商用密码应用安全性评估工作，支持关基、等保三级、政务等重要网络与信息系统“三同步、

一评估”。②

密码合规整改交付形态：

集成服务方案；密码产品；密评工具箱a)结合GM/T0054和GB/T39786中实现要求，为客

户提供完整的密评方案，确保客户侧密评和等保

工作同步；b)

可为客户提供高性能加密组件，结构化数据AOE

模

块，非结构化数据TFE模块；③

密码测评协同交付形态：

技术支持服务结合客户侧已部署密码设施情况和密码应用

情况，协助客户建立全生命周期密钥管理，以及配套

的密码管理制度、人员培训、技能提升等。网络接入区安垒基础设施区同关①

密码方案咨询

交付形态：