《自然資源領域數據安全管理辦法》自然資發〔2024〕57號2024年6月圖解自然資源部自然資源調變監測

數據地理信

息致據《自然資源領域數據安全管理辦法》2024年3月22日，自然資源部印發《自然資源領域數據安全管理辦法

》,旨在規范自然資源領域數據處理活動，加強數據安全管理，

保障數據安全，促進數據開發利用，保護個人、組織的合法權益，

維護國家安全和發展利益。《辦法》是促進自然資源領域數據安全管理、重要數據管理制度落地的部門規章s.閑

區

，

像

費

編

貴

土

營

部(

1

.

尸

調

調

用，上海相海，即凈與油周、山原省海

.

廠器tsa

區，國林0源，4@地消壹地發其他直單位，各酒出機模，機關H8

據要工作調

t,

項同度，理再《項

安全情理辦d》日發帽你0.請錯骨際認肅嘲執行。口為重

707447月78時件日想

域

顏

支

會

理

力法aocs

a

于

m

p

a

n

設

士

留

h

a

h白sn

(t2467號t時間

4cnx

存

機

Rn力

0其文4士

s

a

8

t

酒

辦

es止記時

凝n《自然資源領域數據安全管理辦法》中華人民共和國自然資源部

政策法規庫MnstyotNstualsnorcnottheFospkirpuokotOk個人信息保護法2021年11月1日起施行密碼法2020年1月1日起施行數據安全法2021年9月1日起施行網絡安全法2017年6月1日起施行制定依據日務回鳴青曹6耳動血公開3數據安全監管的垂直化趨勢進一步顯現實戰需求驅動數據保護

合規要求夯實安全基線

護航自然資源數據安全隨著信息技術的快速發展，數據已成為國家重要戰略資源。自然資源

領域的數據安全對于國家安全、經

濟發展和社會穩定具有重要意義。期/7內容

(啟原域握虛會管虛辦法)f

社律師事務所、《宿磨源績減教安全管建辦油》解讀漢事務所，評解讀(0者項教眉安公算

辦法》君含律事務所繼《數據安全法》施行為各行各業的數據

安全管理奠定法律基礎后，在《網絡安全

法》《數據安全法》《個人信息保護法》

《密碼法》搭建的基本法規體系框架下，

包括工業和信息化、自然資源、銀行保險

等相繼發布本領域數據安全管理規定和征

求意見稿，數據安全監管的垂直化趨勢進

一步顯現。面對需求與合規要求，有必要充分發揮監管的“指揮棒”作用，通過

強化政策要求，采取有效的措施規

范自然資源領域數據處理活動，加

強數據安全管理，保障數據安全，

促進數據開發利用。《自然資源領域數據安全管理辦法》制定背景第三章數據全生命周期安全管理12.主體責任/工作體系

13.數據收集

14.數據存儲16.數據傳輸

17.數據提供

18.數據公開20.數據出境

21.數據轉移

22.委托處理第四章數據安全監測預警與應急管理24.風險監測機制

25.安全風險評估

26.風險信息通報機制第五章監督檢查28.監督檢查和協助義務

29.數據安全審查11.重要數據/核心數據目錄報備流程及內容15.數據加工使用19.數據銷毀23.日志留存/商用密碼保護

627.應急處置30.保密要求第六章法律責任31.監管措施

32.法律責任第七章附則33.個人信息保護34.涉密排除35.行政許可36.辦法解釋

37.施行日期第一章總則1.目的依據2.適用范圍3.術語定義4.監管機構5.標準制定6.數據開發利用7.宜傳教育/人才培養整理：《自然資源領域數據安全管理辦法》總結構自然資源領域數據安全管理辦法第二章數據分類分級管理

提出密碼保護、加密的條款10.核心數據/重要改據/一般放據9.數據分類分級方法8.分類分級工作要求5建立權責一致的工作機制明確適用范圍，界定自然資源領域數據、

數據處理者及數據安全概念，構建“部-地

方-企業”三級聯動的防護體系，提出將

數

據安全納入黨委(黨組)國家安全責任制

,按照“誰管業務，誰管數據，誰管數據

安全”原則，落實監管責任。落實數據全生命周期安全管理針對不同級別數據，細化數據處理者

的主體責任，圍繞數據收集、存儲、

加工使用、傳輸、提供、公開、銷毀

、出境、轉移、委托處理、日志留存

等環節，規范安全管理和保護要求，

明確使用商用密碼技術進行保護。《管理辦法》共七章三十七條，重點解決自然資源領域數據安全

“誰來管、管什么、怎么管”的問題，主要內容包括六個方面：細化數據分類分級管理明確相關主體數據分類分級的工作要

求

及

方

法

，細化重要數據識別指標，

要求建立重要數據和核心數據目錄及

報

備

機

制

。規定了行業監管部門監督檢查及數

據處理者協助義務、自然資源部數

據安全審查義務以及數據處理者及

其委托的數據安全風險評估機構保

密要求等內容。加強數據安全監測預警與應急管理

強化監督檢查

法律責任《自然資源領域數據安全管理辦法》主要內容建立數據安全風險監測、風險評估、風

險信息通報、應急處置等工作機制。明確相關違法違規行為的法律責任

和懲罰措施。6自然資源領域數據處理者本辦法所稱自然資源領域數據處理者(以下簡稱數據處理者),

是指開展自然資源領域數據處理活動的自然資源行業各類單位。數據安全本辦法所稱數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。自然資源領域數據本辦法所稱自然資源領域數據，在開展自然資源活動中收集

和產生的數據，主要包括基礎地理信息、遙感影像等地理信

息數據，土地、礦產、森林、草原、水、濕地、海域海島等

自然資源調查監測數據，總體規劃、詳細規劃、專項規劃等

國土空間規劃數據，用途管制、資產管理、耕地保護、生態

修復、開發利用、不動產登記等自然資源管理數據。3.數據全生命周期安全管理術語定義在中華人民共和國境內開展的，或在境外履行自然資源部門職責過程中開展的自然資源領

域非涉密數據處理活動及其安全監管，應當遵守相關法律法規和本辦法的要求。4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則1

.

總則

適用范圍明確適用范圍及術語定義自然資源調查監測數據自然資源管理數據地理信息數據

國土空間規劃數據2.數據分類分級管理7自然資源部在國家數據安全工作協調機制統籌協調下，自然資源部承

擔自然資源行業、領域數據安全監管職責，負責督促指導各省、自治區、直轄市自然資源主管部門、海洋主管部門

(以下統稱地方行業監管部門)開展數據安全監管。國家林業和草原局具體承擔森林草原、濕地荒漠等數據安全監管職責，參照本辦法制定具體制度。地方行業監管部門分別負責對本地區自然資源領域數據處理活動和安全保護

進行監督管理。1.總則2.數據分類分級管理3.數據全生命周期

安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則統稱為行業監管部門·

行

業

監

管

部

門將數據安全納

入

黨

委

(

黨

組

)

國

家

安

全

責

任制·

按

照

“誰管業務，誰管數據

,誰管數據安全”原

則·

落實本行業本地區本領域數

據安全指導監管責任將數據安全納入黨委(黨組)國家安全責任制，“誰管業務，誰管數據，誰管數據安全標準制定·

推

進自

然

資

源

領域數據開發

利用和數據安

全標準體系建

設·

組

織

開

展

相

關標準制修訂及推

廣

應

用81

.

總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則數據開發利用·

鼓勵自然資源領域數據依法共享開放和開發利用，支持數據創新應用。·

積極構建數據開發利用和安全產業協調共進的發展

模式

，不斷提升數據安全

保障能力，維護國家安全、社會穩定、組織和個人

權益。宣傳教育/人才培養·

支持開展經常性的自然

資源領域數據安全宣傳

教育。·

采取多種方式培養數據

開發利用技術和數據安

全

專

業

人

才

，促進人才

交流。鼓勵自然資源領域數據開發利用，支持數據安全宣傳教育及人才培養91.總則相關主體

分類分級工作要求上

報102.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則自然資源部組織制定自然資源領域數據分類分級、重要數據和核心數據識別認定、數據安

全保護等標準規范，指導開展數據分類分級管理工作，編制行業重要數據和核

心數據目錄并實施動態管理。國家林業和草原局按照自然資源領域數據分類分級標準規范，結合工作需要編制林草領域數據安全標準規范，指導開展林草數據分類分級工作，編制林草重要數據和核心數據目錄并實施動態管理。地方行業監管部門按照自然資源領域數據分類分級標準規范，分別組織開展本地區自然資源領域

數據分類分級管理及重要數據和核心數據識別審核工作，編制本地區自然資源領域重要數據和核心數據目錄，并上報自然資源部，目錄發生變化的，應及時

上報更新。數據處理者應當定期按照自然資源領域數據分類分級標準規范梳理填報重要數據和核心數據目錄。清晰劃分自然資源領域相關主體數據分類分級職責，要求建立重要數據和核心數據目錄2.數據分類分級管理數據分類數據分級根據行業特點和業務應用，自然資源領域數據分類類別包括但不限于：地理信息

自然資源調查監測呼應《數據安全法》和網安標委《數據分類分級規則》,給出自然資源數據分類分級方法·

通

過

對自

然

資

源

領

域

數

據重要性、精度、規模、安全風險·

數據價值、可用性、可共享性、可開放性等進行綜合分析國土空間規劃

自然資源管理

其他具體參照自然資源領域數據分類分級標準規范。·判斷數據遭到篡改、破壞、泄露或者非法獲取、非法利用

后的影響對象、影響程度、影響范圍進行分級，分為：一般數據

重要數據

核心數據4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則數據處理者可在此基礎上細分數據的類別和一般數據級別。3.數據全生命周期安全管理1.總則11結合自然資源領域數據特點，滿足以下兩項(含)以上參考指標的為重要數據。1.

支撐黨中央和國務院賦予的“兩統一”職責產生具有不可替代性和行業唯一性的，一旦發生數據篡改、

泄露或服務中斷等安全事故，將影響自然資源部門履行職責，對全國范圍內服務對象產生重要影響的數

據。2.

涉及國民經濟和重要民生的，為其他行業、領域提供自然資源基礎數據支撐的，一旦發生數據安全事故

會對其他行業、領域造成重要影響的數據。3.

覆蓋多個省份甚至全國，規模大、精度高，且極具敏感性、重要性的數據。4.

直接影響國家關鍵信息基礎設施正常運行服務的數據。5.

危害國家安全、國家經濟競爭力、危害公眾接受公共服務、危害公民生存條件和安定工作生活環境、危

害公民的生命財產安全和其他合法利益、導致社會恐慌等的數據。6.

我國法律法規及規范性文件規定的其他自然資源重要數據。核心數據是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、

一定深度的重要數據，

一旦被非法使用或共享，可能直接影響政治安全。核心數據主要包括關系國家安全重點領域的數據，關系國

民經濟命脈、重要民生和重大公共利益的數據，經國家有關部門評估確定的其他數據。重要數據是指特定領域、特定群體、特定區域或達到一定精度和規模，

一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。一般數據是指除重要數據、核心數據以外的其他數據。1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則符合重要數據指標，且關

系國家經濟命脈、重要民

生和重大公共利益、影響

政治安全的數據為核心數

據

。12自然資源領域數據識別的參考指標核心

數據重

要數據一般數據GB/T43697-2024《數據安全技術數據分類分級規則》一附錄G《重要數據識別指南》其中列舉的重要數據識別考慮因素包括了涉及自然資源領域數據的相關內容：序號重要數據識別考慮因素a)直接影響領土安全和國家統一，或反映國家自然資源基礎情況，如未公開的領陸、領水、領空數據；b)可被其他國家或組織利用發起對我國的軍事打擊，或反映我國戰略儲備、應急動員、作戰等能力，如滿足一定精度指標的地理數據或與戰略物資產能、儲備量有關的數據；j)反映水資源、能源資源、土地資源、礦產資源等資源儲備和開發、供給情況，如未公開的描述水文觀測結果、耕

地面積或質量變化情況的數據；m)關系我國在太空、深海、極地等戰略新疆域的現實或潛在利益，如未公開的涉及對太空、深海、極地進行科學考察、開發利用的數據，以及影響入員在上述領域安全進出的數據。《汽車數據安全管理若干規定(試行)》(

一

)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則(拓展)涉及自然資源領域重要數據識別的其他法律法規相關要求第

三

條

(

部

分

)13報備內容發生重大變化的

,數據處理者應當在發生

變化的三個月內履行變更

手續。*重大變化是指數據內容發生變化導致原有級別不再適

用的，或某類重要數據和核

心數據規模變化30%以上

的

，等等。1.總則2.數據分類分級管理3.數據全生命周期

安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則中華人民共和國自然資源部MinistryofNaturalResourtesof

thePeople's

RepublicofChina國家林業和草原局NationalForestryandGrasslandAdministration本地區行業監管部門審核中華人民共和國自然資源部MinistryofNaturalResources

ofthe

People's

Republc

ofChina報備內容包括但不限于數據類別、級別、規模、精度、來源、載體、使用范圍、對外共享、

跨境傳輸、安全情況及責任單位情況等，不包括數據內容本身。報備本單位重要數據

和核心數據目錄報備本單位重要數據

和核心數據目錄報備本單位重要數據

和核心數據目錄自然資源部所屬的數據處理者國家林業和草原局所屬的數據處理者其他數據處理者不符合要求符合要求重要數據審核認定

(

20個工作日完成)自然資源領域重要數據和核心數據報備核心數據審核認定國家數據安全工作協調機制提交報備申請/收到反饋后15個工作日內再提交地方行業監管部門及時反饋并說明理由20個工作日內完成數據處理者業1.總則

數據處理者應當對數據處理活動安全負主體責任，對各類數據實行分級防護，不同級別數據同時被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護，確保數據持續處于有效保護和合法利用的狀態。落實制度要求利用互聯網等信息網絡

開展數據處理活動時，要落實網絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護和

保密等制度要求。開展教育培訓定期對從業人員開展數據安全知識和技能相關教

育

培

訓。配備管理人員根據需要配備數據安全

管理人員，統

籌

負

責

數

據處理活動的安全監督

管理，協助行業監管部

門開展工作。制定應急預案根據應對數據安全事件的需要，制定應急預案

并開展應急演練。建立管理制度建立數據安全管理制度，針對不同級別數據，制定

數據全生命周期各環節的

具體分級防護要求和操作

規程。嚴格權限管理合理確定數據處理活動的操作權限，嚴格實施

人員權限管理。采取技術措施應當采取相應技術措施和

其他必要措施保障數據安全，防范數據被篡改、破

壞、泄露或者非法獲取、非法利用等風險。其他措施法律法規等規定的其他措

施。2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任自然資源領域數據處理者數據安全保護的一般義務7.附則15建立數據安全工作體系·建立覆蓋本單位相關部門的數據安全工作體系，

明

確數據安全負責人和管理

機構，建立常態化溝通與

協作機制。·本單位法定代表人或主要

負責人是數據安全第一責

任人，領導班子中分管數

據安全班子成員是直接責

任

人

，其他成員對職責范

圍內的數據安全工作負領

導責任，履行數據安全保

護義務，接受監督。明確關鍵崗位和

崗位職責·

明確數據處理關鍵崗位和崗位職責，并要求關鍵崗位人

員簽署數據安全責任書，責

任書內容包括但不限于數據

安全崗位職責、義務、處罰

措施、注意事項等內容。·應當按照業務工作需要和最

小授權原則，依據崗位職責

設定數據處理權限，控制重

要數據接觸范圍，人員變動

時應及時調整權限。·涉及核心數據相關關鍵崗位

人員、信息系統建設和運維

單位等，提交公安機關、國

家安全機關進行國家安全背

景審查。涉重要數據信息系統建設、運維要求·涉重要數據信息系統建設、

運維項目未經委托方批準不

得轉包、分包。·建設運維人員未經委托方明

確授權，不得處理委托方的

重要數據。·在提供涉重要數據信息系統

建設、運維過程中收集、產生的數據，不得用于其他用

途，服務完成后按照與委托

方約定處理或及時刪除。人員和經費保障

應當加強人員和經費保障。161.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則建立內部登記、

審批機制·建立內部登記、審批機制，對重要數據和核心數據的處

理活動進行嚴格管理并留存

記錄不少于六個月。綜合運用安全技術手段·在數據全生命周期各環節，

應當綜合運用加密、鑒權、

認證、脫敏、校驗、審計等

技術手段進行安全保護，并

按照法律法規和國家有關規

定要求使用商用密碼進行保

護

。自然資源領域重要數據與核心數據處理者數據安全保護的特殊義務重要數據和核心數據處理者，還應當：1.總則數據收集

數據存儲數據處理

數據傳輸數據提供數據公開數據銷毀

其他情況2.數據分類分級管理關鍵詞詳情關鍵詞詳情基本原則數據處理者收集數據應當遵循合法、正當

的原則，不得竊取或者以其他非法方式收

集數據。法律法規對收集數據的目的、范

圍有規定的，應當在法律法規規定的目的

和范圍內收集。安

全

管

控數據處理者應當依據法律法規規定的方式和期限存儲數據，可以從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面，加強數據存儲安全管控，保障存儲數據的完整性、保密性、真實性和可用性。3.數據全生命周期安全管理4.數據安全監測預警

與應急管理安全措施數據收集過程中，應當根據數據安全級別

采取相應的安全措施，加強重要數據和核

心數據收集生產人員、設備的管理，并對

收集來源、時間、類型、數量、精度、區

域、頻度、流向等進行記錄。5.監督檢查分級保護存儲重要數據的，要落實第三級及

以上網絡安全等級保護要求。存儲

核心數據的，要落實關鍵信息基礎

設施安全保護要求或第四級網絡安

全等級保護要求。6.法律責任其他情況通過間接途徑獲取重要數據和核心數據的，

數據處理者應當與數據提供方通過簽署相

關協議、承諾書等方式，明確雙方法律責7.附則任。17需加強數據存儲安全管控，保障存儲數據的完整性、保密性、真實性和可用性數據公開

數據銷毀

其他情況V通用安全要求策

略

制

定數據處理者應當根據傳輸的數據類型、級別和

應用場景，制定安全策略并采取保護措施。其他情形安全要求1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則涉及重要數據和核心數據傳輸重要數據和核心數據的，應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施。18安

全

管

控數據處理者開展數據加工使用處理活

動，應當采取訪問控制、數據防泄露

、操作審計等管控措施，確保過程安

全、合規、可控、可溯源，防范數據

關聯挖掘、分析過程中有價值信息和

個人隱私泄露的安全風險，明確數據

使用加工過程中的相關責任，保證數

據的正當加工使用。涉及重要數據和核心數據加工使用重要數據和核心數據，還應

當實施嚴格的訪問控制，建立數據可

信可控、日志留存審計、風險監測評估、實時監控、應急處置、數據溯源等相關技術和管理機制。涉及自動化決策涉及利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。數

據

收

集

數

據

存

儲

數據處理

數據傳輸

數

據

提

供通用安全要求分

級

保

護加工使用過程中，應當按照數據級別采

取相應的措施保護數據的安全性，所使

用的數據必須是真實可靠的，數據來源

、收集過程須經過審查和核實。開展數據加工使用處理活動，應當采取訪問控制、數據防泄露、操作審計等管控措施其他情形安全要求分類關鍵詞詳情基礎要求明確信息明確提供的范圍、類別、條件、程序等最小范圍提供的數據應當限于實現數據接收方處理目的的最小范圍分級保護告知數據接收方按照對應級別進行分類分級保護安全保護采取必要的安全保護措施涉及重要數據簽訂協議與數據接收方簽訂數據安全協議加強管控重要數據在共享、調用過程中應當加強安全管控定期監測采取技術措施定期監測數據共享、調用的情況措施配備配備風險隔離、認證鑒權、威脅告警等安全保護措施涉及提供、共享核心數據采取措施應當采取必要的安全保護措施信息上報上報自然資源部風險評估自本年度1月1日起可能累計達到總量30%及以上的，應當經自

然資源部報國家數據安全工作協調機制組織風險評估注

：涉及國家機關依法履職或單位內部流動的除外2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則數據收集

數據存儲

數據處理

數據傳輸

數據提供

數據公開數據銷毀其他情況數據處理者應當按照有關規定安全有序提供數據，具體如下表所示：提供的數據應當限于實現數據接收方處理目的的最小范圍1.總則)分類

關鍵詞

詳情不得公開情形數據公開數據處理者應當在數據公開前分析研判可能對國家安全、公共

利益產生的影響，存在顯著負面影響或風險的，不得公開公開基本原則政府機關部門應當遵守公正、公平、便民的原則，按照規定及時、準確地公開政務數據，依法不予公開的除外制度建立數據處理者應當建立數據銷毀制度，明確銷毀對象、規則、流程和技術等要求，對銷毀活動進行記錄和留存數據銷毀依據法律法規規定、合同約定等請求銷毀的，數據處理者應當銷毀情況銷毀相應數據銷毀重要數據和核心數據的，要采取必要的安全保護措施，并安全保護事前向行業監管部門報告數據銷毀方案引起重要數據和核心數據目錄變化的，應當及時向行業監管部報備情況

門報備，不得以任何理由、任何方式對銷毀數據進行恢復1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則數據處理者應當建立數據銷毀制度，明確銷毀對象、規則、流程和技術等要求

數據收集數據存儲數據處理

數據傳輸數據提供

數據公開

數據銷毀其他情況201.總則2.數據分類分級管理其他情況3.數據全生命周期安全管理境內數據一般情況數據處理者在中華人民共和國境內收集和產生的重要數據，應當在境內存儲4.數據安全監測預警與應急管理確需向境外提供的數據處理者應當落實國家網信部門數據出境安全評估有關規定5.監督檢查一般情況數據處理者因重組等原因需要轉移數據的，應當明確數據轉移

方案6.法律責任7.附則數據轉移涉及重要數據的應當采取必要的安全保護措施，事前向行業監管部門報告數據

轉移方案。應當及時向行業監管部門報備情況場景說明要求數據轉移涉及重要數據的應當采取必要的安全保護措施引起重要數據目錄發生

變化的21情況場

景

說

明要求委托處理一般情況數據處理者委托他人處理、與他人共同處理數據的，數據安全責任不因委托而改變，應當通過簽訂合同協議等方式，明確委

托方與受托方的數據安全責任和義務。涉及重要數據的委托方要把安全作為重要考慮因素，應當對受托方的數據安全保護能力、資質進行評估或核實，經過嚴格的審批程序，明確受托方的數據處理權限和保護責任，并監督受托方履行數據安

全保護義務。涉及數據提供的除法律法規等另有規定外，未經委托方同意，受托方不得將數

據提供給第三方。日志記錄一般情況數據處理者應當在數據全生命周期處理過程中，記錄數據處理、權限管理、人員操作等日志，并采用商用密碼技術保護日志的

完整性。日志留存一般數據的日志留存時間不少于六個月，涉及重要數據安全事件處置、溯源的，相關日志留存時間不少于一年；涉及向他人提供、委托處理、共同處理重要數據的，相關日志留存時間不少于三年。涉及核心數據安全事件處置、溯源的相關日志留存

時間不少于三年。2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則數據傳輸

數據提供

數據公開

數據銷毀

其他情況數據處理者應當采用商用密碼技術保護日志的完整性數據收集

數據存儲

數據處理1.總則2數據處理者應當開展數據安全風險

監測，及時排查安全隱患，采取必

要的措施防范數據安全風險。地方行業監管部門分別建設本地區數據安全監測預警機制織開展本地區自然資源領域數據安全風險監測按照有關規定及時發布預警信息，通知本地區數據處理者及時采取應對措施。23日自然資源部門按照國家相關標準和流程組織建立自然資源領域數據安全風險監測機制中建立自然資源領域數據安全風險監測預警體系，劃分數據安全風險和事件等級國家林業和草原局組織建立林草數據安全風險監

測預警機制劃分林草數據安全風險和事件

等級組織建設林草數據監測預警技術手段1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任建立自然資源領域數據安全風險監測機制7.附則h重要數據處理者評估周期應當自行或委托第三方評估機構，每年對其數據處理活動至少開展一次風險評估，及時整改風險問題，并向行業監管部門報送風險評估報告。報告內容風險評估報告應當包括處理的重要數據的類別、數量，開展數據處理活動的情況，面臨的數據安全風險、應對措施及其有效程度等。保留期限數據處理者應當保留風險評估報告至少三年。核心數據處理者優先使用第三方評估機構開展風險評估。國家林業和草原局指導開展自然資源領域數地方行業監管部門負責組織開展本地區自然資源領域數據安全風險評估工作數據處理者日志審計數據處理者在組織重要數據安

全風險評估時，應當對其數據

查詢、下載、修改、刪除等重

點操作的日志開展審計分析，

發現違規或異常行為，應及時

采取相應處置措施。1.總則2.數據分類分級管理3.數據全生命周期

安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則開展自然資源領域數據安全風險評估工作組織指導開展林草數據安全風險評估等工作據安全風險評估等工作自

然

資

源

部

門數據處理者及時將可能造成較大及以上安全事件的風險向行業監管部門報告。25地方行業監管部門匯總分析本地區自然資源領域數

據安全風險，根據數據安全風險

的發展態勢、規模大小、關聯程度、現實危害等綜合研判，及時

將可能造成重大及以上安全事件的風險向自然資源部報告。1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則自然資源部門組織建立自然資源領域數據

安全風險信息通報機制，統一匯集、分析、研判、通報數據安全風險信息。國家林業和草原局組織建立林草數據安全

風險信息通報機制。建立自然資源領域數據安全風險信息通報機制數據處理者日志審計

報

告

周

期

告

知

風

險在數據安全事件發生后，應當按照應急預案，及時開展應急處置，涉及重要數據和

核心數據的安全事件，第一時間向行業監管部門、屬地公安部門報告，事件處置完成后一周內形成總結報告。每年向行業監管部門報告數據安全事件處置情況。數據處理者對發生的可能損害用戶合法權益的數據安全事件，應當及時告知用戶，并提供減輕危害措施。1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則自然資源部門組織制定自然資源領域數據安全

事件應急預案，組織協調重要數

據和核心數據安全事件應急處置

工作。組織開展本地區自然資源領域數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件，應當立即報

自然資源部，并及時報告事件發展和

處置情況。組織建立林草數據安全事件應急預案，組織協調重要數據和

核心數據安全事件應急處置工

作。制定自然資源領域數據安全事件應急預案地方行業監管部門國家林業和草原局6保護個人信息、商業秘密安全數據處理者及其委托的數據

安全風險評估機構工作人員

對在履行職責中知悉的個人

信息、商業秘密等，應當嚴

格保密，不得泄露或者非法

向他人提供。27數據安全審查在國家數據安全工作協調

機制統一組織下，自然資源部依法配合有關部門，對影響或者可能影響國家安全的自然資源領域數據處理活動開展數據安全審查工作。1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則監督檢查行業監管部門對數據處理

者落實數據分類分級保護

及本辦法要求的情況進行

監督檢查。數據處理者應當對行業監管部門監督檢

查予以配合。各方落實監督檢查、數據安全審查和保護個人信息、商業秘密安全責任主體行為處罰行業監管部門在履行數據安全監督管理職責中，

發現數據處理活動存在較大安全

風險的可以按照規定權限和程序對數據處

理者進行約談，并要求采取措施進

行整改，消除隱患。依照《中華人民共和國數據安全法》及有關法律法規予以處理，根據情對于違反有關規定的節嚴重程度給與相應行政處罰，構成犯罪的，依法追究刑事責任。1.總則2.數據分類分級管理3.數據全生命周期

安全管理4.數據安全監測預警

與應急管理5.監督檢查6.法律責任7.附則落實各方法律責任28主體行為開展涉及個人信息的數據處理活動應當遵守有關法律法規的規定。涉及國家秘密信息或自然資源領域數據匯聚關聯應當符合國家及部相關保密規定。后屬于國家秘密事項的數據處理活動法律法規規定開展數據處理活動應當取得行政許

可的數據處理者應當依法取得許可。1.總則2.數據分類分級管理3.數據全生命周期安全管理4.數據安全監測預警與應急管理5.監督檢查6.法律責任7.附則

本辦法由自然資源部負責解釋。

本辦法自印發之日起施行。29其他重要要求自然資源領域數據安全實踐30自然資源數據保護技術實踐基于產品與服務，事前事中事后全防護31根

據IBM最新發布的《2023年數據泄露成本報告》,數據泄露的平均成本創下445萬美

元

的歷史新高，較過去3年均值增長了15%。某餾行被處商420萬

銀保監1號物單538億務數露，0.177比特形

某反聯網平臺數面法露同絡安全法個人信息保護法數據安全法密碼法查

金

護

是O

要

全側陰

安

全

條商用密得管理條例等保關保數評密評信創安全產業自身數據安全產業的發展階段性(歷史是先發展再治理，今天已到拐點)、

和自身特殊性(經濟學外部效應帶來的密集法律法規),形成市場非線

性增長驅動力。數據入表財政部《企業數據資源相關會計處理暫行規定

》,將數據入財務報表并體理其真實價值與業

務

責

獻

，對數據資源確認范圍和會計處理適用

準則等作出規定，2024年1月起施行。加快發展數字經濟，促進數字經濟和實體經濟深度融合，打造具有國

際競爭力的數字產業集群。健全國家安全體系，強化經濟、重大基礎設施、金融、網絡、數據、生物、

資源、核、太空、海洋等安全保障體系建設。信息技術產業國際形勢變化帶來的空前安全需求，重要性(數字安全和幾乎全部安全

領域相交)和長期性(未來幾十年新常態)。總體國家安全觀7EE安全需求：內在風險、外部合規、增量價值外部合規：“五法一典”過程與結果雙合規經濟學外部效應：數據泄露給他人造成損害，對企業影響反而不大。解決

辦法是通過立法，讓“防數據泄露”成為公共安全產品，類似環保。內在風險：數據風險如影隨形伴生數據處理增量價值：“數據入表”讓安全從成本走向價值現在，過數報安全手段消風片，在新會

計準下可以讓數據成為企業實實在在的_

表內資戶"過去，數通過提升運營效率問接為企業,而生俱定的風險證數銀成為企業

不可部視的表外負值二十大報告國家安全機關破獲段國首例涉及高鐵迅行安全

的危害國家安全類案件2億備中國公我數據在暗網被公開售賣畫

數據外發合規風險數據安全建設面臨“兩難”:·

數據保護體現為面向應用的功能型安全需求，要在應用中融合實現，但改造存量應用成本高、風險大、周期長，新應用的業務開發與安全排期也不匹配，安全機制總是滯后或缺失·

而數據保護不落實，則合規風險越來越大、因泄露導致的業務風險會快速累積身份鑒別密級標識

以網絡為中心的安全數據分類數據安全成為當前建設重點零信任網絡SIEM端點安全IDS防火墻落地痛點：安全建設從網絡到數據，安全和業務紐結纏繞難以改造數據態勢解密細控泄露檢測

數據審計

數據鑒權

存儲加密通信加密數據過量訪問風險業務操作身份風險數據違規外發風險未授權的數據訪問風險運維人員

內控風險業務人員越權訪問風險終端管控移動安全反病毒沙箱檢測VPN訪問審計重要

數據脫敏以數據為中心的安全風險簽名數據訪問內控風險33平臺主界面產品體系：免改造平臺靈活交付多重安全能力，易部署易擴展數據審計追溯系統數據安全合規系統管理：合規內控、治理評估、迎接檢查技術：滿足數掘處理活動認證要求數據安全主平臺控制面安全度略

集中式管控、分布式保護

密鑰管理數據脫敏系統收擊行為識B收擊特征溪化安全告臂申計分級分類處理響應處理聯動檢到響應可視化數據資原識別數據樣本抽取敏感數據識別資產風險評估數據分類分級岐感資產可視免改造密碼機面向密評密改合規場景數據安全網關面向數據安全實戰防護產品形態數據檢測響應系統數據詩問儲存

共事接口審計數掘導出水印

文件下醒水印數據資產管理系統數據加密系統動態脫敏的態稅破營露進騰身份喜陰存律加密輻點解出解密損權99梁數據安全SDK集成安全能力前臺系統

后臺系統

CipherSuite序非結構化數據應用代理AOE

插件模塊

保護結構化數據數據安全管理平臺用戶提供用戶訪問傳輸加工敏捷部署：旁路平臺結合主路控制面，免改造應用攔截數據施加保護數據資產管理系統使用存儲數據審計追溯系統KMS密管系統收集MySQL

文件系統/數據庫結構化數據訪問

DBDB

代理AOE代理模塊保護結構化數據TDE/UDF

模

塊保護結構化數據TFE/FDE模

塊保護非結構化數據

CRM

應用公開35TFE文件安全模塊

FDE全磁盤加密密文應

用程序1未授權進程只能讀密文FE安全模塊讀取文件明文數據安全管理平臺

os密

文磁盤存儲密文密鑰管理系統模15田nl_8000215000231211400025412095000002173807032198769D5yL118htn

0

業3/4071j2Yh0/s/Mmnyet1Ba2/10024075662916066550413304994219T

144貿e26640

十戶

020王"

86馬

”

se0

非常有

020.024000ogG常容N8OWkdylyOo813570417164菲常容u

1mgp9914735816218非常客3vBzWU9gmS4e10250726110非覺容391vtoguH313156901590非堂容0s4WUBamgG+11965283955非堂客4GWVSVo2yT常容”urs·的

8

·

owanuLj1eTs?010910051091000000109100010910000109100010V400150n421100000021950210000084387700002190159謂

理

氣

者

即

里

帝

里

等

事430041…096事

毒

告

事

事

柔

壹

音

:存儲

使用

加工

傳輸

提供域內數據：存儲加密、使用解密/脫敏不影響業務人員使用、不影響DBA

運維支持ABAC

的訪問控制策略，實

現用戶與字段文檔級防護結構化數據非結構化數據應用服務器AOE插件主體到人細粒度

訪問控制國峰5217A林21047中量樹大街面向用戶側動態脫敏1-jfn371n41lda43面向服務側存儲加密密鑰管理系統數據安全管理平臺皮用

應用程序2

程序3用戶態DBA工具查看脫敏數據應用查看脫敏后數據DBA

工具查看密文應用看到密文DE安全模塊內核態應

用

程序2用戶志AOE代理客體到字段授權進程可

讀取文件明文數據庫應用

程序3竊取數據磁盤存

儲密文掛載磁盤或卷后可用戶3密文內核態程序1明文明文os控防數據持有者/提供方防無關方源數據庫

共享數據管理系統

共享數據庫數據受控共享平臺專屬密鑰加密密文共享數據庫D.檢測數據接收方密文專用加解密模塊應用系統專用DBA工具P.

防

護有限明文客戶訪問端1.識別數據已成為企業間可以交易的商品，但交易后存在“數據失控”問題困擾著數據持有者：·

數據的接收方有沒有對數據進行濫用?·

對方有沒有再次將數據外發給第三方?·

這些數據在接收方的有效期如何控制?公開/刪

除提供傳輸加工使用存儲收集數據持有方數據受控共享平臺共享數據管理系統共享數據庫密文存儲

使用

加工

傳輸

提供專屬安全環境業

務

查

詢

環境專屬安全環境業

務

查

詢

環境跨域數據：輕改造落地“數據可見不可轉”業務部門下屬部門

業務合作機構外協治理團隊

外協運維團隊

網絡黑客組織R響應

R.恢復

C.反制

372.在線場景：實現數據可查不可數據查詢方數據查詢方1.離線場景：實現數據可見不可轉相關方8指標免開發改造的本方案(以加密為例)改造應用方案(以加密為例)數據庫外掛安全方案(以加密為例)實施成本實施工作量小，免改造應用代碼實施工作量大，需改造應用代碼，集成加密機客戶端SDK實施工作量中，需針對目標數據庫的每個版本做適配可靠性可靠性高，插件成為應用程序的一部分，不單獨啟進程，插件可靠性取決于應用自身可靠性可靠性中，數據需要傳輸給集中部署的加密機進行加解密，

形成性能瓶頸和單點故障風險可靠性低，外掛模塊需要在數據庫服務器單獨啟進程，增

加了單點故障風險，同時需要對數據庫改表名、加規則性能性能高，基于高性能國密算法、脫敏算法性能中，需要將數據傳入傳出加密機，額外增加網絡延時性能低，針對字段添加觸發器和多層視圖兼容性支持絕大多數數據庫，與數據庫解耦支持絕大多數數據庫，取決于SDK編程語言類型僅支持Oracle等部分數據庫，對國產數據庫、NoSQL、

乃至DB2、SQL

Server等兼容性差數據流不改變原數據流轉路徑和網絡拓撲，免改造模塊

原地加解密數據、脫敏數據改變數據流轉路徑，明文先經過SDK傳入到加密機，加密

后將密文返回SDK,最終存入數據庫改變數據流轉路徑，明文先經過外掛模塊傳入到加密機，加密后將密文返回外掛模塊，最終存入數據庫擴展性可靈活擴展，統一可視化策略管理，橫向覆蓋更

多應用，不影響已部署應用的加解密性能擴展成本高，加密策略需要通過硬代碼實現，任何策略改

動，都需要改動代碼，不靈活而且風險大擴展成本中，需適配新數據庫及改表名，對集中式加密資

源增加壓力，會分攤到已部署數據庫的加解密算力應用升級影響不影響應用升級，加解密等功能與應用輕耦合應用升級需要維護加密代碼，加解密與應用代碼緊耦合應用升級要評估數據庫，占用數據庫服務器寶貴性能資源應用系加密機用戶

應用系統數據庫數據庫運維端管理平臺+KMS用戶

應用系統技術對比：“主路型數據安全”典型路線數據庫38應用服務端數據庫用戶端脫敏后數據免改造數據安全模塊非授權用戶無法獲取明文GBASE達夢數據庫SQLServerFanset

redis

用戶端數據安全管理平臺

密鑰管理系統數據庫

管理員覆蓋事前事中事后的

防繞過保護機制方案優勢：兼容多、交付快、防護好免改造應用敏捷實施sQLiteORACLEDATABASEteradata.Grenplum適應大多數企業應用架構Java/C/Python等應用服務數據錨點解密

強制細控消除數據庫側

安全威脅基于屬性的

訪問控制南大通用數據庫39主平臺：對流動數據的高覆蓋率識別與控制免改造交付多重安全能力，易部署易擴展，實現安全與業務有機融合關系型數據率線收集離線收集

NoSQLSQL

HDFS數據安全態勢感知數據安全主平臺ClpherGatewoy統一策略管理加密脫敏模塊結構化數據非結構化數據半結構化數據OLTP離線計算白單機存儲全文檢索引擎任務調度系統HOLAPMOLAP實時收集

關系型數據庫自分布式存儲可視化工具

網頁數據實時收集數據庫對庫同步可視化平臺中間件傳輸接口傳輸數據轉換數據集成文件傳輸可視化庫實時收集實時計算資源管理日志數據日志數據數據清洗ROLAP40HW攻防演練網絡攻破后數據不泄露結果合規數據安全風險評估

數據安全管理認證

個人信息保護認證數據安全能力成熟度認證將偶發的、高技術水平的對抗風險，轉化成常態的、可重復驗證的非對抗風險過程合規形成實戰

最佳實踐

對抗免改造數據安全實現“

一

實戰、雙合規”實戰之三體密

評商用密碼應用安全性評估：

合規、正確、有效敏捷交付國密合規改造實戰是檢驗安全能力的唯一標準實戰對抗41自然資源數據保護國密合規實踐一站式密改套餐敏捷交付42《密碼法》第二十七條規定：運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等保測評制度相銜接，避免重復評估、測評。《密碼法》第三十七條規定：關鍵信息基礎設施的運營者未按照要求使用商用密碼，或者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬

元以下罰款。《“十四五”數字經濟發展規劃》,明確提出支持開展常態化安全風險評估，加強網絡安全等級保護和密碼應用安全性評估。商用密碼應用安全性評估，指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合

規

性

、

正

確

性

、

有

效

性

進行評估。中華人民共和國

密

碼

法含草案說明中國法制出版社密評合規提供安全基線計劃

(Plan)密碼應用方案制定實施(Do)

檢查(Check)改進(Act)改

進信息系統運行監

控密碼應用方案

建設實施初次/

定期/

應急評估方

案

評

估整

改43·“十四五”時期，是數字化引領密評高質量發展

重要機遇期，密評加速推廣發展。本階段，密評

在金融、政務、教育、電信、水利等行業將實現

規模化布局，在評估機制、試點機構規模、技術

自主創新能力、檢測認證和標準支撐體系、產業

生態環境、產融合作試點、人才隊伍建設等方面

將形成較強綜合競爭力，為數字經濟高速發展構

建安全屏障。2016.9-2017.4再次集結期·

國密局成立密評領導小組，確定密評體系總體架構，

起草14項制度文件。·2017年9月27日，國密局印發《商用密碼應用安全性測評機構管理辦法(試行)》等，密評制度體系初步

建立。·

國密局成立起草小組，起草《商用密碼應用安全性評

估管理辦法(試行)》。·2017年4月22日，國密局印發《關于開展密碼應用安

全性評估試點工作的通知》(國密局(2017)138號

文)在七省五行業開展密評試點。體系建設期2017.5-2017.92016-2021試點建設期·2017年10月，商用密碼應用安全性評估試點工作開展；2018年2月，

國密局經過評審，第一批共有10家測評機構符合測評機構能力要求。.2019年上半年，對第一批密評試點做了評審總結，對參與試點的27家

機構進行能力再評審，擇優選出16家擴大試點，對另11家機構給予6

個月的能力提升整改期。·2019年10月，開啟第二批密評試點工作；2020年7月，評估試點機構

增至24家。·2021年6月，國家密碼管理局第42號公告，發布最新的《商用密碼應

用安全性評估試點機構目錄》,明確48家商用密碼應用安全性評估試

點機構。·

2

0

0

7

年

1

1

月

2

7日

，國家密碼管理局印發11號文

件《信息安全等級保護商用密碼管理辦法》,要

求信息安全等級保護商用密碼測評工作由國家密

碼管理局指定的測評機構承擔。·

2009年12月15日，國家密碼管理局印發管理辦

法

實

施

意

見

，明確與密碼測評有關的要求。推廣發展期2021年起制度奠基期2007.11-2016.8密評發展歷程2017.10-2021試點開展期44商用密碼應用安全性評估管理辦法(試行)國家密碼管理局，2017年發布信息安全等級保護商用密碼管理辦法國家密碼管理局，2007年11月27日發布信息安全技術信息系統密碼應用設計指南GBI42072023信息系統密碼應用測評過程指南GM/T0116-2021,國家密碼管理局發布商用密碼應用安全性測評機構管理辦法

(試行)國家密碼管理局，2017年9月27日發布商用密碼檢測機構管理辦法國家密碼管理局_

2023年6月9日發布_信息安全技術信息系統密碼應用測評要求GB/T43206-2023密碼術語GM/T0001-2013,國家密碼管

理局發布商用密碼管理條例(2023年正式稿)國務院，2023年7月1日藍行_促進商用密碼產業高質量發展的若干措施國家密碼管理局，2021年發布信息安全技術信息系統密碼應用基本要求GBT39786-2021,國家市場監督管理總局、國家標準化

管理委員會發布信息系統密碼應用基本要求GM/T0054-2018,國家密碼管理局發布信息系統密碼應用方案評估規范T/GDCCA0001-2022,廣東省商用密碼協會發布商用密碼應用安全性測評機構能力評審實

施細則(試行)國家密碼管理局，2017年9月27日發布_商用密碼應用安全性評估管理辦法國家密碼管理局，2

023年6

月9日發布注：虛線框中文件是2023年新發布的版本測

評政務信息系統密碼應用與安全性評估工

作指南在評聯委會，

2020年9月24日發布商用密碼應用安全性評估報告模板(2023版)評金，2023年1月20日發市信息系統密碼應用高風險判定指引中國在碼學會密評聯委會，2021年12月17日發布人

員密碼技術應用員國家職業技能標準人力資源社會保障部辦公廳和國家密碼管理局辦公室，2022年7月6日發布實

施信息安全等級保護商用密碼技術實施要求國家密碼管理局，2009年發布信息系統密碼應用實施指南(報批稿)機構商用密碼應用安全性評估機構能力要求和評價規范(報批稿)商用密碼應用安全性評估監督檢查規范(

送

審

稿)管理信息系統密碼安全管理體系(送審稿)工業控制系統密碼應用技木要求(送審稿)商用密碼應用安全性評估行業自律公約密評聯重金，2021年發布商用密碼應用安全性評估量化評估規則(2023版)密評聯委會，2023年7月17日發布商用密碼應用安全性評估FAQ

(

第

三

版)密評聯委會，2023年10月26日發布法規政策國標行標-團

標

-網絡安全法第十二屆全國人民代表大會常務委員會第二十四次

會議通過，2017年6月1日起施行_密

碼

法第十三屆全國人民代表大會常務委員會第十四次會

議通過，2020年1月1日起施行商密有關法律法規信息系統密碼應用方案評估過程指南I/GDCCA0002-2022,廣東省商用密碼協會發布個人信息保護法數據安全法第十三屆全國人民代表大會常務委員會第三十次會

議通過，2021年11月1日起施行第十三屆全國人民代表大會常務委員會第二十九次

會議通過，2021年9月1日起施行指導性文件法律

一第

一

章總則1.立法目的2.密碼定義3.堅持總體國家安全觀4.統一領導5.分級負責6.分類管理7核心密碼、普通密碼管理8.商用密碼管理9.創新發展、人才建設10.密碼安全教育11.納入規劃和經費預算上

.禁止行為13.管理原則16.工作監督檢查19.提供免檢便利21.管理原則24.標準法律效力27.關基使用要求30.行業協會職責第四章法律責任32.從事密碼違法活動追責33.核心、普通密碼違法使用處罰34.核心、普通密碼泄密等處罰35.商用密碼檢測、認證違法處罰36.商用密碼市場準入違法處罰37.關基運營者處罰38.進出口處罰39.電子政務電子認證服務處罰40.密碼管理部門工作人員處罰41.刑事責任、民事責任44.施行時間密碼法第二章核心密碼、普通密碼14.使用要求17.安全協作機制和問題查處20.建立安全審查制度第三章商用密碼22.標準體系25.檢測認證28.進口許可和出口管制31.事中事后監管和保密義務第五章附則43.解放軍和武警部隊密碼立法15.安全保密管理18.工作機構和人員管理23.國際標準化26.產品和服務市場準入管理29.電子政務電子認證服務《密碼法》總結構42.密碼管理規章4650.未經認定的商密檢測

或電子認證服務處罰54.電子認證服務機構違反法律

和密碼技術規范的處罰58.進出口商密的處罰62.網絡運營者處罰

66.刑事責任、民事責任51.商密檢視機構涯為處罰55.電子政務電子認證服務機構處罰59.竊取加棗信息、非法入侵商密系統等違法活動的處罰63.阻撓商密監督管理的處罰52.商密認證機構違法行為處罰56.電子政務電子認證服務機構無法自證的承擔賠償責任60關基運營者違法處罰64.國家機關違法行為的處罰53.銷售/振供未經檢測認證或不合格的產品服務處罰57.政務活動中不合規的電子認證處罰全審查的產品/服務的處65私碼理部門和工作人員的處罰第

三

章

檢

測

認

證12.商密檢測認13.商密檢測機14.檢測資質取證體系

構資質認定

得條件質申請流程

施要求

17.商密認證制度18.商密認證機19.商密認證實

20.網絡關健設備和兩絡構能力要求

施要求

安全專用產品日錄

21.網絡關鍵設備和網絡安全專用產品使用要求第四章電子認證24.服務機構資

質認定第一章總則1.

目的2.適用范圍和關鍵定義3.監管機構4.人才培養5.宜傳教育6.學術和行業自律政府支持第二章科技創新與標準化7創新促進機制知識產權保護/鼓勵外商沒資合作8.成果轉化機制9.審查鑒定機制10.標準制定11.強制性和推薦性標準第九章附則67.條例施行日期第六章

應用促進35.鼓勵各主體依法使用商密36.支持網絡產品7服務便用商密應

用37.應用促進協調機制38.關基密評要求39.關基商密產品/服務使用要求40.關基運三者采煙商密產品和服務的安全審查機制41.網絡運營者等保遵循7制足網絡安全等級保護密碼標準規范42.密評、關基檢測、等保加強

銜接避免重復評估25.認證資質取得條件28.電子以務電子認證機構服務

要求26

.

電于以分電于認證服務機構資質

申請流程29.電子認證信

任機制27.外商投資安

全審查30.電子簽名法

律效力46信用記錄、監官、惡

戒、修復機制47.保密義務48.商密監督管理49.舉報機制《商用密碼管理條例》總結構第七章監督管理43.監督檢查職責44.監督管理協作機制33.報關要求34.進出口許可申請材料及流程31.商用密碼進口許可、出口管制清單商用密碼管理條例32.進出口許可證45.監督檢查職權15檢測機構資16.商密檢測實0關基道言

宋

變第八章法律責任第五章進出口23.密碼使用要求22.能力要求國密合規改造方案適用于政務、金融、交通、運營商、醫療、教育、工業、能源、水利等多行業客戶開展商用密碼應用安全性評估工作，支持關基、等保三級、政務等重要網絡與信息系統“三同步、

一評估”。②

密碼合規整改交付形態：

集成服務方案；密碼產品；密評工具箱a)結合GM/T0054和GB/T39786中實現要求，為客

戶提供完整的密評方案，確保客戶側密評和等保

工作同步；b)

可為客戶提供高性能加密組件，結構化數據AOE

模

塊，非結構化數據TFE模塊；③

密碼測評協同交付形態：

技術支持服務結合客戶側已部署密碼設施情況和密碼應用

情況，協助客戶建立全生命周期密鑰管理，以及配套

的密碼管理制度、人員培訓、技能提升等。網絡接入區安壘基礎設施區同關①

密碼方案咨詢

交付形態：