客服热线:
手机版
二维码
密码法和密评工作资料整理
一、重点解读
1、为何要制定密码法?
密码是国家重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全,制定一部密码领域综合性、基础性法律,十分必要。
核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构以及工作人员开展密码工作的保障措施等,都必须通过国家立法予以明确。
近些年密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,必须及时上升为法律规范。
- 商用密码的应用,参考GM/T 0054《信息系统密码应用基本要求》的要求:
- 物理和环境安全
- 网络和通信安全
- 设备和计算安全
- 应用和数据安全
- 基础支撑能力的提升。
- 安全性评估、审查制度。第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
传统对商用密码实行全环节许可管理的手段已不适应职能转变和“放管服改革要求,亟需在立法层面重塑现行商用密码管理规范。
密码法的出台,将大大提升密码管理科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。
2、密码法怎样保障和促进密码的发展?
法案总则对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。
规定国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新,建立密码工作表彰奖励制度(第九条)。
规定国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识(第十条)。
规定县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算(第十一条)。
规定任何组织或者个人不得窃取或者非法侵入别人的加密信息或者密码保障系统,不得利用密码从事违法犯罪活动(第十二条)。
3、为何密码法要对特定商用密码产品、服务实行强制性检测认证制度?
密码法设立该制度,是维护国家安全和社会公共利益的必须。
商用密码产品、服务是专业技术性很强的特殊产品和服务,广泛应用于国民经济和社会发展各领域,应用于关键信息基础设施,其质量与安全性直接关系国家安全和社会公共利益,必须通过检测认证的方式对其质量与安全性进行技术把关。
强制性检测认证制度仅适用于涉及国家安全、国计民生、社会公共利益的商用密码产品和使用网络关键设备和网络安全专用产品的商用密码服务,并通过制定产品、服务目录明确界定管理范围,不会对市场和产业构成不必要的限制。
密码模块,四级密码模块。
二、整体框架
密码法共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理规范以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理规范、使用要求、进出口管理规范、电子政务电子认证服务管理规范以及商用密码事中事后监管制度。第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。
绵阳AS9100认证整改案例
绵阳AS9100认证整改案例
围堵行动完成证据-N/A
纠正措施完成证据-请根据完善后的纠正措施对该部分进行补充.
纠正措施有效性证据- 没有有效性证据提供. ( 有效性证据,必须具体实例,而不是描述. 有效性证据是指按照纠正措施的要求完成后,对于新发生的事情,其结果是正确的证据.)
1、 ×××工程师(关于首件鉴定)
根本原因分析部分:
理解不透,请进1步分析为何理解不透,是由于没培训呢,还是培训不到位呢等等。
纠正措施部分:
假如措施为培训的话,怎样保证培训后能被有效实施,有何监控手段?此外,培训为现有人员,假如有新人加入,又怎样保证首件检验控制能被有效实施呢?
整改证据部分:
围堵行动完成证据-N/A
纠正措施完成证据- 请根据完善后的纠正措施进行相应增补。
纠正措施有效性证据- 请确认最近有无新的首件检验报告编制?
(请注意有效性证据为纠正措施完成后,对于新的案例实施时结果正确的证据。重新编写的首件检验报告为纠正的证据,对于纠正完成的证据进行验证,不是有效性证据!)
2、 ×××工程师(关于重量)
举一反三- 抽查了什么,请举例说明并提交证据.
根本原因分析部分:
理解不透彻,请确认该人员是否有接受过相应培训, 如有,是否对其在设计过程中的执行力有防错控制等? 如没有培训过,又请解释为何.
纠正措施部分:
培训,请考虑培训后怎样保证其能保证有效执行,有何监控或防错控制没有.此外,培训针对的现有人员,那么假如有新人员又怎样来保证不出现同样错误呢. 请进1步完善.
整改证据部分:
围堵行动完成证据- 请提供称重的批次信息,如有称重报告请同时提供.
纠正措施完成证据- 请根据完善后的纠正措施进行新证据的补充提交.
纠正措施有效性证据- 在申请注册审核时必须有有效性证据的提供,这是认证的要求. 请提供其他项目有关控制的资料证据.
4、×××工程师
围堵行动部分:
纠正- 不明白所叙述的是对现有状况的解释还是改善的行动, 另请确认仓库编号和生产批次间是什么关系,编号是一模一样的还是具有唯一性对应关系,如是唯一性对应关系,请提供证据.
影响评估- 请提供证明不符合项涉及的产品都能被追溯到.
举一反三- 检查了什么移库单,请举例说明并提交证据,不知提交的5份是不是,如是,则在有效性证据部分缺失.
根本原因分析部分:
概念模糊,请确认为何模糊,既然模糊为何没被及时发现.此外,按习惯进行填写,不明白习惯是什么,假如习惯不正确,又怎样要求的呢.
纠正措施部分:
培训, 怎样保证培训后能够有效实施呢,请确认! 此外,对于培训,培训的基本内容要提交或简单描述后提交.
整改证据部分:
围堵行动完成证据- 对于不符合证据提及的两份移库单和送货清单没有提交改善证据. 此外,提及的5份交库单,请确认是进行举一反三时发现的还是纠正措施完成以后的新证据?
纠正措施完成证据- 请根据完善后的纠正措施进行重新提交.
纠正措施有效性证据- 根据现有资料,没有发现纠正措施有效性证据提交,请结合上面提到的进行确认.
5、×××工程师
围堵行动部分:
纠正- 纠正描述中没有提到黑色包装膜银钎片的改善控制,请确认.
影响评估- 请提供所涉及的资料的合格证据.(每一种至少提供1个批次)
举一反三- 该部分是指有没有其他的资料控制也存在遗漏状况,不是指更改后的目录合不合格, 而是指在更改改前的控制.
根本原因分析部分:
只对主要原资料评价而不评价辅助原资料,请确认为何,是由于没要求还是有要求没执行,请进1步确认.
纠正措施部分:
请针对完善后的根本原因分析进行对纠正措施控制进行完善.另, 纠正措施中提到物资部要求对高温线的所有原资料均要评价,那么该要求怎样受控保证有效执行呢,请确认.
整改证据部分:
围堵行动完成证据- N/A
纠正措施完成证据- 对于辅料控制部分,没有纠正措施完成证据提供.
纠正措施有效性证据- 更改后的供方合格目录为围堵行动完成的证据,请不要和纠正措施有效性证据混为一谈. 请提供有效性证据!
6、×××工程师
影响评估- 请提供证据证明该物资在合格期内,并且所有发放的记录,所有发放出去的也都在有效期内.
举一反三- 请提供检查了什么资料,请举例并给出相关证据.
根本原因分析部分:
请进1步分析为何氟塑料的保存期更改了而仓库管理办法没有及时更改呢,是哪个管理环节不完善呢?
纠正措施部分:
请根据完善后的根本原因分析进行纠正措施部分的完善.
整改证据部分:
围堵行动完成证据- 缺少NP-30/125kg及 举一反三部分的证据.
纠正措施完成证据- 请根据完善后的纠正措施进行补充证据的提交.
纠正措施有效性证据- 请注意更改的仓库管理办法为纠正措施完成的证据而不是有效性的证据,请提供有效性证据!!
7、×××工程师
围堵行动部分:
纠正- N/A
影响评估- 请提供这四种产品的检验记录.
举一反三- 抽查了什么记录,请举例说明并提交证据
根本原因分析部分:
不够重视未及时填写等,都是原因而不是根本原因.请进1步考虑是员工不执行还是不易执行,不执行则在监控控制上是否到位保证其有效填写,如不易执行则考虑现有记录填写是否有不合理或可优化的地方.
纠正措施部分:
请根据完善后的根本原因分析进行纠正预防措施部分的完善.
整改证据部分:
围堵行动完成证据- 上面提及的影响评估和举一反三证据没有提供.
纠正措施完成证据-
请根据完善后的纠正措施进行新证据的提交.
纠正措施有效性证据-
抽查证据没有提供,请注意有效性证据必须实实在在的案例作为证据而不是简单的描述!!
