《商用密码应用安全性评估管理办法.docx

《《商用密码应用安全性评估管理办法.docx》由会员分享，可在线阅读，更多相关《《商用密码应用安全性评估管理办法.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、办法制定的必要性商用密码应用安全性评估 e -是加强和规范商用密码应用的重要抓手国家密码管理局公告（第42号） 商用密码应用安全性评估试点机构目录 （共48家，以行政区划为序）中华人民共和国密码法颁布实施后，商用密码应用安全性评估制度依法确立，商用密码应用安全性评估机构纳入商用密码检测机构统一管理新修订商用密码管理条例明确了商用密码应用安全性评估相关制度要求，贯彻落实上位法规定，急需制定办法:进一步细化商用密码应用安全性评估范围、责任主体、工作原则及要求 实施规范等内容依法规范商用密码应用安全性评估工作商用密码应用安全性评估试点2017年以来，国家密码管理部门组织开展一系列 商用密码应用安全性

2、评估试点，为办法的制 定奠定了坚实的实践基础，试点过程中，商用密 码应用安全性评估的一些基本要求和思路做法， 已逐步得到相关管理部门、网络与信息系统运营 者的认同.对建设完成的网络与信息系统开展商用密码应用安全性评估要求1.立法目的2.评估要求)划定评估范围对照商用密码应用方案，了解网络与信息系统基本情况，3.实施规范确定评估指标及对象依据商用密码应用安全性评估实施方案4.监督及法律责任。3).现场评估数据采集和信息汇总，研判商用密码保障系统配置及运行情况。04编制评估报告根据客观凭据逐项对评估指标进行判定,用安全性评估报告编制形成商用密码应1.立法目的开展商用密码应用安全性评估活动应当道守法

3、律法规、标准规范要求，遵循客观实际、科学公正、诚实信用原则2.评估要求商用密码检测机构开展商用密码应用安全性评估，3匕评估结果施加影响，需提供如下支持:3.实施规范4监督及法律责任重要数据备份对网络与信息系 统的重要数据进彳设备清单和网络拓扑提供完整有效的 网络与信息系统 设备清单和网络 拓扑；5程序性事项运营维护记录提供详细的网络 与信息系统商用 密码应用方案、 密码相关管理制 度和密码配置、 运行、维护记录;9人口提供商用密码产 品管理入口、网 络交换设备接入 端口等相关信息、 数据接入分析条 件，并配合进行 数据采集；管理员安排网络与信息 系统相关网络管 理员、系统管理 员 商用密码产

4、品管理员等做好 配合；其他事项其他需要配合的 事项。2.评估要求具有与开展商用密码应用安全性 评估活动相适应的商用密码检测 设备设施；具有与开展商用密码应用安全性 评估活动相适应的专业技术人员；具有与开展商用密码应用安全性 评估活动相适应的项目管理、质 量管理、人员管理、档案管理、 安全保密管理等规章制度。3 .实施规范自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告应当符合相关国家标准、行业标准和有关规定的要求4 .监督及法律责任其他要求由本单位负责人签字确认并加盖本单位公章。5 .程序性事项注意：商用密码应用安全性评估原始记录和商用密码应用安全性评估报告应当归档留存，保证其具

5、有可追溯性，保存期限不得少于6年。运营者自行开展网络与信息系统展商用密码应用安全性评估的要求I.立法目的自行开展商用密码应用安全性评估的网络与信息系统，其运营者应当符合以下要求：重要网络与信息系统运营者应向管理部门备案评估报告1.立法目的重要网络与信息系统运营者2.评估要求应当在商用密码应用安全性评估报告形成30日肉应当责令相关运营者重新 提供商用密码应用安全性 评估报告。3.实施规范4.监督及法律责任将评估报告连同相关工作情况按照国家有关规定报送备案材料形式相关商用密码检测机构应 当配合运营者重新开展商 用密码应用安全性评估或 者重新出具商用密码应用 安全性评估报告，不得重 复收取费用。国家

6、密码管理局按季度抽取备案材料并技术复核1.立法目的11112.评估要求省、自 治区、 直辖市 密码管 理部门检测机构3.实施规范4.监督及法律责任按警度rI本地区商用 密码应用安 全性评估工 作开展情况国家密码管理局按季度抽取备案材料进行J技术复核相关商用密码检测机构应当暂停承接新的 商用密码应用安全性评估业务，配合运营 者重新开展商用密码应用安全性评估并履 行备案程序，并不得重复收取费用。网络与信不合格责令相关运营者重新提供商用密码应用安全性评估报告密码相关重大事件必要时启动应急处置方案1.立法目的密码相关重大事件2.评估要求4.监瞥及法律责任运营者发现密码相关重大安全事件、重 大密码安全隐

7、患或者特殊紧急情况的， 应当及时向国家密码管理局或者网络与 信息系统所在地省、自治区、直辖市密 码管理部门报告，必要时启动应急处置 方案并开展商用密码应用安全性评估。专项检查县级以上地方各级密码管理部门、国 家机关和涉及商用密码工作的单位可以 根据工作需要，对本地区、本机关、本 单位或者本系统的重要网络与信息系统 商用密码应用安全性评估情况开展专项检查。重要网络与信息系统运营者法律责任1.立法目的主体违法行为处罚（一）未按要求开展商用密码应用安全性评估的：2.评估要求重要网络与 信息系统的 运营者违反中华人 民共和国密码 法、商用密码管理条例和本办法规定（二）垂要网络与信息系统未通过商用密码应

8、用安全 性评估且未进行改造的；由密码管理部门责令改正，给予警告：拒不改正或者有其他严重情节的，处10万元 以上100万元以下罚款，对直接负责的主管 人员处1万元以上10万元以下罚款。3.实施规范（三）不符合要求自行开展商用密码应用安全性评估 或者商用密科应用安全性评估实施违反相关法律法规、标准规范的：4.监督及法律责任5.程序性事项（四）未为商用密码应用安全性评估活动提供必要支 持，或者对商用密码应用安全性评估结果施加影响的：（五）未按照要求进行商用密码应用安全性评估结果 备案的.正建和已运行的重要网络与信息系统的评估要求1 .立法目的2 .评估要求本办法施行前正在建设的重要网络与信息系统，其

9、运营者应当加强商用密码应用方案编制论证, 建设完善商用密码保障系统，并按照本办法第八条规定开展商用密码应用安全性评估。3 .实施规范本办法施行前已经投入运行的重要网络与信息系统，其运营者应当按照本办法第九条规定 开展商用密码应用安全性评估。4 .监督及法律货任本办法自X X XX年XX月XX日起施行。细化落实“三同步一评估”要求落实g密码法3 条例规定， 办法3对 依法应当使用商用密码进行保护的网络与信 息系统明确要求间步规划 同步建设.同步运行商 用密码保障系统，井定期进行商用密码应用 安全性评估绢化商用密码应用安全性评估要求，从规划、 建设 运行各个阶段分别提出落实安排.明 确程序条件建立

10、起商用密码应用安全性评估制度的基本 板架体现商用密码应用安全性评估工作系统性原则 办法秉持商用密码应用安全性评估工作 系统性原则，将密码保障系统规划方案评怙、网珞与僖息系校运行前评估 网络与信息系 统运行后定期评估统一纳入商用密码应用安 全性评估工作体系 体现“按照同一套标准、遵循同一套程序、 It括同一套活动“开展商用密码应用安全性 评估工作的系统性原则 依据密码法条例.将商用密码应用 安全性评估机构管理统一纳入商用密码检测机构管理明确商用密码应用安全性评估活动实施依据按照年密码法3 条例关于运注者自行或 者委托商用密码应用安全性评估机构开展评 估的规定，办法分即界定了相关要求， 并就两者需

11、共同遵守的活动内容作出规定明确了商用密码应用安全性评估活动的实施 依据.有助于规范并提升商用密码应用安全 性评估工作质量办法共19条第5条一 立法目的规定了立法目的，商用密码应用安全性评估定义 管理体制、保障措旅等内容第1015条实施规范为商用密码应用安全性评估实施规的，规定运营者委托商用密 码应用安全性评估机构或者自行开展商用密码应用安全性评估 的主要内容、配合义务以及出具报告 备案等强制性要求第69条评估要求为商用密码应用安全性评估要求，规定了总体要求，以及规划、建设、运行各阶段的具体要求)第1617条监督及法律责任为监督及法律责任，规定管理部门的能力检查、工作监管职责以及运营者的违法情形

12、与法律责任)第1819条程序性事项规定有关过渡, 施行等程序性事项)炼石整理：商用密码应用安全性评估管理办法（征）总览商用密码应用安全性评估管理办法（征）-、立法目的二、评估要求实施规范四、监督及法律责任五、程序性，项10.方案评估要求12.运营者开展评估活动要求14.运营者报送备案11.已建成系统评估内容13.自行开展评估条件16.监管专项检查17.运营者违规行为和处罚18.办法施行前正建和已运行系统要求19.施行日期15.密码相关重大安全事件贯彻落实上位法，保障网络与信息安全1.立法目的2.评估要求3.实施规范4.监督及法律责任立法目的为了规焚商用密码应用安全 性评估工作保障网络与信息安全

13、，维护 国家安全和社会公共利益保护公民、法人和其他组织 的合法权益制定依据根据中华人民共和国密码 法 商用密码管理条例 等有关法律法规，制定本办 法本办法所称商用密码应用安全性评估是指按照有关法律法规和标准规 范，对网络与信息系统使用商用 望码技术、产品和服务的合规性、 正确性、有效性进行检测分析和 评估脸证的活动。商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理1.立法目的2.评估要求3.实施规范4监督及法律责任国家密码管理局负责管理全国的商用密码应用安全性评估工作支持商用密码应用安全性评估技术、标准、工具、手段创新完善商用密码应用安全性评估标准体系鼓励设立商用密码应用安全性评怙行

14、业组织，加强行业自律，维护行业秩序县级以上地方各级密码 管理部门负责管理本行政区域的商用密码应用安全性评估工作.国家机关和涉及商用密 码工作的单位在其职贡范围内负贡指导、监督本机关、本单位或者本系统的商用密码应用安全性评 估工作.评估机构从出商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性 评估数据、结果的机构.应当经国家密码管理局认定，依法取得商用密码枪测机构资 质。落实“三同步一评估”要求1.立法目的法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统重要网络与信息系统2评估要求其运营者3.实施规范应当使用商用密码进行保护I品制定商用密码应用方案，配备

15、必要的资金和专业人员4.监督及法律责任I同步规划、同步建设、同步运行商用密码保障系统I并定期开展商用密码应用安全性评估细化重要网络与信息系统规划、建设、建成阶段的评估要求1.立法目的应当依照相关法律法规和标准规范，根据商用密 码应用需求应当按照通过商用密码应用安全性评估的商用密码 应用方案组织实施2.评估要求3.实施规范_制定商用密码应用方案，规划商用密 回码保障系统I应当自行或者委托商用密码检测机构对商用密码应用方品进行商用密码应用安全评估落实商用密码安全防护措施，建设商用密码保障系统重要网络与信息系统运行前应当自行或者委托商用密码检测机构开展商用密码应用安全性评估4.监督及法律责任商用图码

16、应用方案未通过商用密码应用安全性评估的不得作为商用密码保障系统的建设依据网络与信息系统未通过商用密码应用安全性评估的运营者应当进行改造，改造期间不得投入运行应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估确保商用密码保障系统正确有效运行I未通过商用密码应用安全性评估的应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全商用密码应用方案开展应用安全性评估要求1.立法目的2.评估要求考量考量商用密码应用需求的全面性、 合理性和针对性，对照相关标准 规范选取适用指标的准确性，以 及不适用指标论证的充分性。3.实施规范方肯评G分析4.监督及法律责任分析商用密码应用流程和机制是 否具备可实施性、商用密码保护 措施是否达到相应的商用密码应 用要求、相关描述是否详尽。编制编制形成商用密码应用安全性评 估报告。论证商用密码技术、产品和服务 选用的合规性，密钥管理的安全 性，以及使用商用密码解决安全 风险的科学性。