午夜网站啪啪免费入口,亚洲中文字幕无码va

您所在的位置：首頁 > 新聞資訊 > 政策法規(guī) > 國家密碼管理局發(fā)布《商用密碼應用安全性評估管理辦法》及解讀

國家密碼管理局發(fā)布《商用密碼應用安全性評估管理辦法》及解讀

國家密碼管理局令

第 3 號

《商用密碼應用安全性評估管理辦法》已經(jīng)2023年9月11日國家密碼管理局局務會議審議通過，現(xiàn)予公布，自2023年11月1日起施行。

局長劉東方

2023年9月26日

商用密碼應用安全性評估管理辦法

第一條　為了規(guī)范商用密碼應用安全性評估工作，保障網(wǎng)絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權(quán)益，根據(jù)《中華人民共和國密碼法》、《商用密碼管理條例》等有關(guān)法律法規(guī)，制定本辦法。

第二條　本辦法所稱商用密碼應用安全性評估，是指按照有關(guān)法律法規(guī)和標準規(guī)范，對網(wǎng)絡與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務的合規(guī)性、正確性、有效性進行檢測分析和評估驗證的活動。

第三條　國家密碼管理局負責管理全國的商用密碼應用安全性評估工作?？h級以上地方各級密碼管理部門負責管理本行政區(qū)域的商用密碼應用安全性評估工作。

國家機關(guān)和涉及商用密碼工作的單位在其職責范圍內(nèi)負責指導、監(jiān)督本機關(guān)、本單位或者本系統(tǒng)的商用密碼應用安全性評估工作。

第四條　從事商用密碼應用安全性評估活動，向社會出具具有證明作用的商用密碼應用安全性評估數(shù)據(jù)、結(jié)果的機構(gòu)，應當經(jīng)國家密碼管理局認定，依法取得商用密碼檢測機構(gòu)資質(zhì)。

第五條　國家密碼管理局支持商用密碼應用安全性評估技術(shù)、標準、工具創(chuàng)新，完善商用密碼應用安全性評估標準體系，鼓勵設立商用密碼應用安全性評估行業(yè)組織，加強行業(yè)自律，維護行業(yè)秩序。

第六條　法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡與信息系統(tǒng)（以下簡稱重要網(wǎng)絡與信息系統(tǒng)），其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，并定期開展商用密碼應用安全性評估。

第七條　重要網(wǎng)絡與信息系統(tǒng)規(guī)劃階段，其運營者應當依照相關(guān)法律法規(guī)和標準規(guī)范，根據(jù)商用密碼應用需求，制定商用密碼應用方案，規(guī)劃商用密碼保障系統(tǒng)。

重要網(wǎng)絡與信息系統(tǒng)的運營者應當自行或者委托商用密碼檢測機構(gòu)對商用密碼應用方案進行商用密碼應用安全性評估。商用密碼應用方案未通過商用密碼應用安全性評估的，不得作為商用密碼保障系統(tǒng)的建設依據(jù)。

第八條　重要網(wǎng)絡與信息系統(tǒng)建設階段，其運營者應當按照通過商用密碼應用安全性評估的商用密碼應用方案組織實施，落實商用密碼安全防護措施，建設商用密碼保障系統(tǒng)。

重要網(wǎng)絡與信息系統(tǒng)運行前，其運營者應當自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。網(wǎng)絡與信息系統(tǒng)未通過商用密碼應用安全性評估的，運營者應當進行改造，改造期間不得投入運行。

第九條　重要網(wǎng)絡與信息系統(tǒng)建成運行后，其運營者應當自行或者委托商用密碼檢測機構(gòu)每年至少開展一次商用密碼應用安全性評估，確保商用密碼保障系統(tǒng)正確有效運行。未通過商用密碼應用安全性評估的，運營者應當進行改造，并在改造期間采取必要措施保證網(wǎng)絡與信息系統(tǒng)運行安全。

第十條　對商用密碼應用方案開展商用密碼應用安全性評估，應當包括以下內(nèi)容：

（一）考量商用密碼應用需求的全面性、合理性和針對性，對照相關(guān)標準規(guī)范選取適用指標的準確性，以及不適用指標論證的充分性；

（二）分析商用密碼應用流程和機制是否具備可實施性、商用密碼保護措施是否達到相應的商用密碼應用要求、相關(guān)描述是否詳盡；

（三）論證商用密碼技術(shù)、產(chǎn)品和服務選用的合規(guī)性，密鑰管理的安全性，以及使用商用密碼解決安全風險的科學性；

（四）編制形成商用密碼應用安全性評估報告。

第十一條　對建設完成的網(wǎng)絡與信息系統(tǒng)開展商用密碼應用安全性評估，應當包括以下內(nèi)容：

（一）對照商用密碼應用方案，了解網(wǎng)絡與信息系統(tǒng)基本情況，準確劃定評估范圍；

（二）確定評估指標及評估對象，論證編制商用密碼應用安全性評估實施方案；

（三）依據(jù)商用密碼應用安全性評估實施方案，開展現(xiàn)場評估，做好數(shù)據(jù)采集和信息匯總，研判商用密碼保障系統(tǒng)配置及運行情況；

（四）根據(jù)客觀憑據(jù)逐項對評估指標進行判定，編制形成商用密碼應用安全性評估報告。

第十二條　運營者開展商用密碼應用安全性評估活動，應當遵守法律法規(guī)、標準規(guī)范要求，遵循客觀實際、科學公正、誠實信用原則。委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估的，不得對評估結(jié)果施加不當影響，并應當提供以下支持：

（一）對網(wǎng)絡與信息系統(tǒng)的重要數(shù)據(jù)進行備份；

（二）提供完整有效的網(wǎng)絡與信息系統(tǒng)設備清單和網(wǎng)絡拓撲；

（三）提供詳細的網(wǎng)絡與信息系統(tǒng)商用密碼應用方案、密碼相關(guān)管理制度和密碼配置、運行、維護記錄；

（四）提供商用密碼產(chǎn)品管理入口、網(wǎng)絡交換設備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件，并配合進行數(shù)據(jù)采集；

（五）安排網(wǎng)絡與信息系統(tǒng)相關(guān)網(wǎng)絡管理員、系統(tǒng)管理員、密鑰管理員、密碼安全審計員、密碼操作員等做好配合；

（六）其他需要配合的事項。

第十三條　自行開展商用密碼應用安全性評估的網(wǎng)絡與信息系統(tǒng)，其運營者應當符合以下要求：

（一）具有與開展商用密碼應用安全性評估活動相適應的設備設施；

（二）具有與開展商用密碼應用安全性評估活動相適應的項目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度；

（三）具有與開展商用密碼應用安全性評估活動相適應的專業(yè)人員；

（四）具有與開展商用密碼應用安全性評估活動相適應的專業(yè)能力。

自行開展商用密碼應用安全性評估形成的商用密碼應用安全性評估報告，應當符合相關(guān)國家標準、行業(yè)標準和有關(guān)規(guī)定的要求，由本單位密碼或者網(wǎng)絡安全負責人簽字確認并加蓋本單位公章。

運營者應當對商用密碼應用安全性評估原始記錄和商用密碼應用安全性評估報告歸檔留存，保證其具有可追溯性。商用密碼應用安全性評估原始記錄和商用密碼應用安全性評估報告的保存期限不得少于6年。

第十四條　重要網(wǎng)絡與信息系統(tǒng)的運營者應當在商用密碼應用安全性評估報告形成后30日內(nèi)，將評估報告和相關(guān)工作情況按照國家有關(guān)規(guī)定報送國家密碼管理局或者網(wǎng)絡與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門備案。

國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門對商用密碼應用安全性評估結(jié)果備案材料進行形式審查。形式審查未通過的，相關(guān)運營者應當重新提交備案材料。

國家密碼管理局可以對商用密碼應用安全性評估結(jié)果進行抽樣檢查。抽樣檢查不合格的，相關(guān)運營者應當重新開展商用密碼應用安全性評估。

省、自治區(qū)、直轄市密碼管理部門應當按季度向國家密碼管理局報送本地區(qū)商用密碼應用安全性評估工作開展情況。

第十五條　運營者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的，應當及時向國家密碼管理局或者網(wǎng)絡與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報告，并啟動應急處置方案，必要時開展商用密碼應用安全性評估。

第十六條　縣級以上地方各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位可以根據(jù)工作需要，對本地區(qū)、本機關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡與信息系統(tǒng)商用密碼應用安全性評估情況開展專項檢查。

第十七條　重要網(wǎng)絡與信息系統(tǒng)的運營者違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法規(guī)定，有下列情形之一的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）重要網(wǎng)絡與信息系統(tǒng)規(guī)劃階段，未對商用密碼應用方案進行商用密碼應用安全性評估的；

（二）重要網(wǎng)絡與信息系統(tǒng)建設階段，未按照通過商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統(tǒng)的；

（三）重要網(wǎng)絡與信息系統(tǒng)運行前，未開展商用密碼應用安全性評估的；

（四）重要網(wǎng)絡與信息系統(tǒng)運行前，未通過商用密碼應用安全性評估且未進行改造的；

（五）重要網(wǎng)絡與信息系統(tǒng)建成運行后，未定期開展商用密碼應用安全性評估的；

（六）重要網(wǎng)絡與信息系統(tǒng)建成運行后，未通過定期開展的商用密碼應用安全性評估且未進行改造的；

（七）違反法律法規(guī)、標準規(guī)范要求開展商用密碼應用安全性評估的；

（八）不符合相關(guān)要求自行開展商用密碼應用安全性評估的。

第十八條　重要網(wǎng)絡與信息系統(tǒng)的運營者違反本辦法規(guī)定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正后仍不符合要求的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款：

（一）對商用密碼應用安全性評估結(jié)果施加不當影響的；

（二）未為商用密碼應用安全性評估活動提供必要支持的；

（三）未按照要求進行商用密碼應用安全性評估結(jié)果備案的。

第十九條　從事商用密碼應用安全性評估監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私、舉報人信息的，依法給予處分。

第二十條　本辦法施行前正在建設的重要網(wǎng)絡與信息系統(tǒng)，其運營者應當加強商用密碼應用方案編制論證，建設完善商用密碼保障系統(tǒng)，并按照本辦法第八條規(guī)定開展商用密碼應用安全性評估。

本辦法施行前已經(jīng)投入運行的重要網(wǎng)絡與信息系統(tǒng)，其運營者應當按照本辦法第九條規(guī)定開展商用密碼應用安全性評估。

第二十一條　本辦法自2023年11月1日起施行。

《商用密碼應用安全性評估管理辦法》解讀

根據(jù)《中華人民共和國密碼法》（以下簡稱《密碼法》）、《商用密碼管理條例》（以下簡稱《條例》）等法律法規(guī)，國家密碼管理局研究制定了《商用密碼應用安全性評估管理辦法》（國家密碼管理局令第3號）（以下簡稱《辦法》），現(xiàn)就《辦法》的有關(guān)內(nèi)容解讀如下。

一、制定的必要性

商用密碼應用安全性評估是加強和規(guī)范商用密碼應用的重要抓手。隨著《密碼法》頒布實施，商用密碼應用安全性評估制度依法確立，商用密碼應用安全性評估機構(gòu)納入商用密碼檢測機構(gòu)統(tǒng)一管理，新修訂的《條例》第三十八條、第四十一條進一步明確了商用密碼應用安全性評估相關(guān)制度要求。為有效貫徹落實上位法規(guī)定，急需制定《辦法》，統(tǒng)籌細化商用密碼應用安全性評估對象范圍、責任主體、工作原則、程序內(nèi)容、實施規(guī)范等規(guī)定，依法規(guī)范商用密碼應用安全性評估工作。2017年以來，國家密碼管理部門組織開展一系列商用密碼應用安全性評估試點，在試點過程中，商用密碼應用安全性評估的基本要求和思路做法已逐步得到相關(guān)管理部門、運營者和評估機構(gòu)的認同，為《辦法》的制定奠定了堅實的實踐基礎(chǔ)。

二、總體思路

《辦法》的制定細化《密碼法》、《條例》關(guān)于商用密碼應用安全性評估工作主體、方式、程序、備案等方面要求，吸收繼承商用密碼應用安全性評估試點經(jīng)驗做法，結(jié)合工作實際，注重合法性、合理性和可操作性，力求做到內(nèi)容完備、邏輯嚴密。主要體現(xiàn)了以下三方面思路：

（一）細化落實“三同步一評估”要求。按照《密碼法》、《條例》規(guī)定，《辦法》對依法應當使用商用密碼進行保護的重要網(wǎng)絡與信息系統(tǒng)，明確要求同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，并定期進行商用密碼應用安全性評估。細化商用密碼應用安全性評估要求，從規(guī)劃、建設、運行各個階段分別提出落實安排、明確評估程序及內(nèi)容，建立起商用密碼應用安全性評估制度的基本框架。

（二）體現(xiàn)商用密碼應用安全性評估系統(tǒng)性原則。《辦法》將商用密碼應用方案評估、網(wǎng)絡與信息系統(tǒng)運行前評估、網(wǎng)絡與信息系統(tǒng)運行后定期評估統(tǒng)一納入商用密碼應用安全性評估工作體系，在實施中“按照同一套標準、遵循同一套程序、囊括同一套活動”，確保重要網(wǎng)絡與信息系統(tǒng)全生命周期落實商用密碼應用安全性評估要求。同時，將商用密碼應用安全性評估機構(gòu)統(tǒng)一納入商用密碼檢測機構(gòu)管理，進一步體現(xiàn)工作的系統(tǒng)性整體性。

（三）明確商用密碼應用安全性評估實施依據(jù)。按照《密碼法》、《條例》關(guān)于運營者自行或者委托商用密碼應用安全性評估機構(gòu)開展評估的規(guī)定，《辦法》分別明確了相關(guān)要求，并就兩者需共同遵守的行為規(guī)范作出規(guī)定，從而明確了商用密碼應用安全性評估活動的實施依據(jù)，有助于規(guī)范提升商用密碼應用安全性評估工作質(zhì)量。

三、主要內(nèi)容

《辦法》共21條。主要內(nèi)容包括：

（一）總體要求。一是明確概念定義，商用密碼應用安全性評估是指按照有關(guān)法律法規(guī)和標準規(guī)范，對網(wǎng)絡與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務的合規(guī)性、正確性、有效性進行檢測分析和評估驗證的活動。二是規(guī)定管理體制，包括縣級以上各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位的監(jiān)督管理職權(quán)。三是明確對商用密碼應用安全性評估從業(yè)機構(gòu)的資質(zhì)要求，以及對商用密碼應用安全性評估行業(yè)發(fā)展的保障支持。四是規(guī)定了商用密碼應用安全性評估的對象范圍。

（二）程序及內(nèi)容要求。一是規(guī)定“三同步一評估”的總體要求。二是明確重要網(wǎng)絡與信息系統(tǒng)規(guī)劃、建設、運行各階段的商用密碼應用安全性評估的程序要求。三是針對商用密碼應用方案、網(wǎng)絡與信息系統(tǒng)兩類不同對象，分別提出商用密碼應用安全性評估的內(nèi)容要求。

（三）實施規(guī)范。一是規(guī)定開展商用密碼應用安全性評估的通用行為規(guī)范和運營者委托開展評估的支持配合義務。二是規(guī)定運營者自行開展商用密碼應用安全性評估的基本要求與行為規(guī)范。三是規(guī)定商用密碼應用安全性評估結(jié)果備案制度。四是規(guī)定運營者開展應急處置的有關(guān)內(nèi)容。

（四）監(jiān)督檢查及法律責任。一是規(guī)定了縣級以上地方各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位的監(jiān)督檢查職權(quán)。二是明確了運營者的違法情形及法律責任。三是規(guī)定了商用密碼應用安全性評估管理人員的責任義務。

（五）其他事項。規(guī)定了本辦法實施的過渡安排和施行時間。

來源：國家密碼管理局網(wǎng)站

您所在的位置： 首頁 > 新聞資訊 > 政策法規(guī) > 國家密碼管理局發(fā)布《商用密碼應用安全性評估管理辦法》及解讀

您所在的位置：首頁 > 新聞資訊 > 政策法規(guī) > 國家密碼管理局發(fā)布《商用密碼應用安全性評估管理辦法》及解讀