一、《密码法》

按照中央确定的密码管理原则和应用政策，规定了密码应用的主要制度和要求。一是强调国家积极规范和促进密码应用，提升使用密码保障网络与信息安全的水平，保护公民、法人和其他组织依法使用密码的权力。二是建立商用密码检测认证体系，鼓励从业单位自愿接受商用密码检测认证。三是明确关键信息基础设施使用密码和进行密码应用安全性评估的要求，规定法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用面膜应用安全性评估。四是建立安全审查机制，规定对可能影响国家安全的、涉及商用密码的网络产品和服务按照国家安全审查的要求进行安全审查。五是规定国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认证。

二、《网络安全法》

对网络运营者应该履行的安全保护义务做出了明确要求，而维护网络数据的完整性、保密性、真实性及不可否认性，都需要发挥密码技术的核心支撑作用。第十条：“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”第十六条：“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业，研究机构和高等学校等参与国家网络安全技术创新项目。”而安全可信的网络产品和服务，需要以密码为基因构建。第二十一条：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：……采取数据分类、重要数据备份和加密等措施。”

三、《商用密码管理条例》

《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理，规定“商用密码产品，必须经过国家密码管理机构指定的产品质量检测机构检测合格”，“任何单位和个人只能使用经过国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”等。

四、《关键信息基础设施安全保护条例（征求意见稿）》

《关键信息基础设施安全保护条例（征求意见稿）》明确了在关键信息基础设施保护工作中，依据密码管理法律法规开展有关密码管理工作，充分体现了密码管理在国家网络安全大局中的重要地位和作用。其中规定，“运营单位对保护工作部门开展的网络安全检查工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的检查应当予以配合”，“对使用未经或未通过安全审查网络产品和服务的责任单位处采购金额一倍以上十倍以下罚款，对责任人员处一万元以上十万元以下罚款”，“关键信息基础涉及密码的使用和管理，还应当遵守密码法律，行政法规的规定”。该《条例》明确了关键信息基础设施的密码要求，压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任，为密码管理部门开展网络空间密码保护工作，尤其是网络安全检查和安全审查等工作提供了法律依据，同时也为开展密评工作提供了强有力的支撑。

五、《网络安全等级保护条例 （简称“等保2.0”）》

2018年6月27日，《网络安全等级保护条例（征求意见稿）》向社会公开征求意见，其中设置了密码管理专章，体现了秘密管理在网络安全等级保护工作中的重要作用，明确了网络安全等级保护密码管理的主要思路、方式和手段，强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务，突出了商用密码安全性评估作为等级保护密码管理主要抓手的地位和作用，强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权，明确规定了“国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理”，还从网络安全等级保护的事前备案审核、事中应用要求、以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。

在新的政策和形势下，随着《中华人民共和国密码法》的颁布，对密码应用、密码安全、密码发展促进、监督管理等方面都提出了新的要求，等级保护应在设计、建设、以及测评等各方面依照新政策新标准的相关要求，科学指导密码技术合规、正确、有效使用。

等保2.0对密码技术要求进行了加强；对身份鉴别、数据完整性、数据保密性等相关内容要求应采用密码技术保证安全性；安全测试报告应含密码应用安全性评估相关内容；密钥管理要求，应遵循密码相关的国家标准和行业标准；应使用国家密码管理主管部门认证核 准的密码技术和产品；四级要求应采用硬件密码模块实现密码运算和密钥管理

六、《信息安全等级保护商用密码管理办法》

《信息安全等级保护商用密码管理办法》规定：“信息安全等级保护中使用的商用密码产品，应当是国家密码管理局准予销售的产品“，“信息安全等级保护中第二级及以上的信息系统使用商用密码产品应当备案，填写《信息安全等级保护商用密码产品备案表》”，“国家面膜管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”，明确了商用密码产品的使用要求和各级密码管理部门的监管要求。

七、《电子认证服务密码管理办法》

《电子认证服务密码管理办法》主要规定面向社会公众提供电子认证服务应当使用商用密码，明确了申请电子认证服务使用密码许可应当具备的基本条件和程序，对电子认证服务系统的运行和技术改造等做出了规定。同时，要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位，按照GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求承建，并通过国家密码管理局组织的安全性审查。

八、《政务信息系统政府采购管理暂行办法》

2017年12月26日，财政部印发的《政务信息系统政府采购管理暂行办法》第八条规定:“采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。”第十二条规定:“ 采购人应当按照国家有关规定组织政务信息系统项目验收，根据项目特点制定完整的项目验收方案。验收方案应当包括项目所有功能的实现情况、密码应用和安全审查情况、信息系统共享情况、维保服务等采购文件和采购合同规定的内容，必要时可以邀请行业专家、第三方机构或相关主管部门参与验收。”

九、《国家政务信息化项目建设管理办法》

2019年12月30日，《国家政务信息化项目建设管理办法》发布，对国家政务信息系统的规划、审批、建设、共享和监管做出规定，其中明确规定了多项密码应用有关要求。政务信息化项目建设单位，应同步规划、同步建设、同步运行密码保障系统并定期进行评估；按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告；项目的密码应用和安全审查情况应当作为项目验收的重要内容之一，密码应用安全性评估报告应当作为提交验收申请的必要材料；对于不符合密码应用和网络安全要求的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统；国务院有关部门对密码应用情况实施监督管理，不符合要求的，视情予以通报批评、暂缓安排投资计划、暂停项目建设直至终止项目；国务院各部门应当严格按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。