您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
國家密碼管理局發(fā)布《商用密碼應(yīng)用安全性評估管理辦法》及解讀
國家密碼管理局令
第 3 號
《商用密碼應(yīng)用安全性評估管理辦法》已經(jīng)2023年9月11日國家密碼管理局局務(wù)會議審議通過,現(xiàn)予公布,自2023年11月1日起施行。
局長 劉東方
2023年9月26日
商用密碼應(yīng)用安全性評估管理辦法
第一條 為了規(guī)范商用密碼應(yīng)用安全性評估工作,保障網(wǎng)絡(luò)與信息安全,維護(hù)國家安全和社會公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國密碼法》、《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī),制定本辦法。
第二條 本辦法所稱商用密碼應(yīng)用安全性評估,是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評估驗(yàn)證的活動。
第三條 國家密碼管理局負(fù)責(zé)管理全國的商用密碼應(yīng)用安全性評估工作??h級以上地方各級密碼管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼應(yīng)用安全性評估工作。
國家機(jī)關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)指導(dǎo)、監(jiān)督本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評估工作。
第四條 從事商用密碼應(yīng)用安全性評估活動,向社會出具具有證明作用的商用密碼應(yīng)用安全性評估數(shù)據(jù)、結(jié)果的機(jī)構(gòu),應(yīng)當(dāng)經(jīng)國家密碼管理局認(rèn)定,依法取得商用密碼檢測機(jī)構(gòu)資質(zhì)。
第五條 國家密碼管理局支持商用密碼應(yīng)用安全性評估技術(shù)、標(biāo)準(zhǔn)、工具創(chuàng)新,完善商用密碼應(yīng)用安全性評估標(biāo)準(zhǔn)體系,鼓勵設(shè)立商用密碼應(yīng)用安全性評估行業(yè)組織,加強(qiáng)行業(yè)自律,維護(hù)行業(yè)秩序。
第六條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)(以下簡稱重要網(wǎng)絡(luò)與信息系統(tǒng)),其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng),并定期開展商用密碼應(yīng)用安全性評估。
第七條 重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段,其運(yùn)營者應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,根據(jù)商用密碼應(yīng)用需求,制定商用密碼應(yīng)用方案,規(guī)劃商用密碼保障系統(tǒng)。
重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)對商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評估的,不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。
第八條 重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段,其運(yùn)營者應(yīng)當(dāng)按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案組織實(shí)施,落實(shí)商用密碼安全防護(hù)措施,建設(shè)商用密碼保障系統(tǒng)。
重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前,其運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。網(wǎng)絡(luò)與信息系統(tǒng)未通過商用密碼應(yīng)用安全性評估的,運(yùn)營者應(yīng)當(dāng)進(jìn)行改造,改造期間不得投入運(yùn)行。
第九條 重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后,其運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估,確保商用密碼保障系統(tǒng)正確有效運(yùn)行。未通過商用密碼應(yīng)用安全性評估的,運(yùn)營者應(yīng)當(dāng)進(jìn)行改造,并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全。
第十條 對商用密碼應(yīng)用方案開展商用密碼應(yīng)用安全性評估,應(yīng)當(dāng)包括以下內(nèi)容:
(一)考量商用密碼應(yīng)用需求的全面性、合理性和針對性,對照相關(guān)標(biāo)準(zhǔn)規(guī)范選取適用指標(biāo)的準(zhǔn)確性,以及不適用指標(biāo)論證的充分性;
(二)分析商用密碼應(yīng)用流程和機(jī)制是否具備可實(shí)施性、商用密碼保護(hù)措施是否達(dá)到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡;
(三)論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規(guī)性,密鑰管理的安全性,以及使用商用密碼解決安全風(fēng)險(xiǎn)的科學(xué)性;
(四)編制形成商用密碼應(yīng)用安全性評估報(bào)告。
第十一條 對建設(shè)完成的網(wǎng)絡(luò)與信息系統(tǒng)開展商用密碼應(yīng)用安全性評估,應(yīng)當(dāng)包括以下內(nèi)容:
(一)對照商用密碼應(yīng)用方案,了解網(wǎng)絡(luò)與信息系統(tǒng)基本情況,準(zhǔn)確劃定評估范圍;
(二)確定評估指標(biāo)及評估對象,論證編制商用密碼應(yīng)用安全性評估實(shí)施方案;
(三)依據(jù)商用密碼應(yīng)用安全性評估實(shí)施方案,開展現(xiàn)場評估,做好數(shù)據(jù)采集和信息匯總,研判商用密碼保障系統(tǒng)配置及運(yùn)行情況;
(四)根據(jù)客觀憑據(jù)逐項(xiàng)對評估指標(biāo)進(jìn)行判定,編制形成商用密碼應(yīng)用安全性評估報(bào)告。
第十二條 運(yùn)營者開展商用密碼應(yīng)用安全性評估活動,應(yīng)當(dāng)遵守法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求,遵循客觀實(shí)際、科學(xué)公正、誠實(shí)信用原則。委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估的,不得對評估結(jié)果施加不當(dāng)影響,并應(yīng)當(dāng)提供以下支持:
(一)對網(wǎng)絡(luò)與信息系統(tǒng)的重要數(shù)據(jù)進(jìn)行備份;
(二)提供完整有效的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)拓?fù)洌?/span>
(三)提供詳細(xì)的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、運(yùn)行、維護(hù)記錄;
(四)提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件,并配合進(jìn)行數(shù)據(jù)采集;
(五)安排網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、密鑰管理員、密碼安全審計(jì)員、密碼操作員等做好配合;
(六)其他需要配合的事項(xiàng)。
第十三條 自行開展商用密碼應(yīng)用安全性評估的網(wǎng)絡(luò)與信息系統(tǒng),其運(yùn)營者應(yīng)當(dāng)符合以下要求:
(一)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的設(shè)備設(shè)施;
(二)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度;
(三)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的專業(yè)人員;
(四)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的專業(yè)能力。
自行開展商用密碼應(yīng)用安全性評估形成的商用密碼應(yīng)用安全性評估報(bào)告,應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和有關(guān)規(guī)定的要求,由本單位密碼或者網(wǎng)絡(luò)安全負(fù)責(zé)人簽字確認(rèn)并加蓋本單位公章。
運(yùn)營者應(yīng)當(dāng)對商用密碼應(yīng)用安全性評估原始記錄和商用密碼應(yīng)用安全性評估報(bào)告歸檔留存,保證其具有可追溯性。商用密碼應(yīng)用安全性評估原始記錄和商用密碼應(yīng)用安全性評估報(bào)告的保存期限不得少于6年。
第十四條 重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者應(yīng)當(dāng)在商用密碼應(yīng)用安全性評估報(bào)告形成后30日內(nèi),將評估報(bào)告和相關(guān)工作情況按照國家有關(guān)規(guī)定報(bào)送國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門備案。
國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門對商用密碼應(yīng)用安全性評估結(jié)果備案材料進(jìn)行形式審查。形式審查未通過的,相關(guān)運(yùn)營者應(yīng)當(dāng)重新提交備案材料。
國家密碼管理局可以對商用密碼應(yīng)用安全性評估結(jié)果進(jìn)行抽樣檢查。抽樣檢查不合格的,相關(guān)運(yùn)營者應(yīng)當(dāng)重新開展商用密碼應(yīng)用安全性評估。
省、自治區(qū)、直轄市密碼管理部門應(yīng)當(dāng)按季度向國家密碼管理局報(bào)送本地區(qū)商用密碼應(yīng)用安全性評估工作開展情況。
第十五條 運(yùn)營者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的,應(yīng)當(dāng)及時(shí)向國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報(bào)告,并啟動應(yīng)急處置方案,必要時(shí)開展商用密碼應(yīng)用安全性評估。
第十六條 縣級以上地方各級密碼管理部門、國家機(jī)關(guān)和涉及商用密碼工作的單位可以根據(jù)工作需要,對本地區(qū)、本機(jī)關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評估情況開展專項(xiàng)檢查。
第十七條 重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者違反《中華人民共和國密碼法》、《商用密碼管理?xiàng)l例》和本辦法規(guī)定,有下列情形之一的,由密碼管理部門責(zé)令改正,給予警告;拒不改正或者有其他嚴(yán)重情節(jié)的,處10萬元以上100萬元以下罰款,對直接負(fù)責(zé)的主管人員處1萬元以上10萬元以下罰款:
(一)重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段,未對商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評估的;
(二)重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段,未按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的;
(三)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前,未開展商用密碼應(yīng)用安全性評估的;
(四)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前,未通過商用密碼應(yīng)用安全性評估且未進(jìn)行改造的;
(五)重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后,未定期開展商用密碼應(yīng)用安全性評估的;
(六)重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后,未通過定期開展的商用密碼應(yīng)用安全性評估且未進(jìn)行改造的;
(七)違反法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求開展商用密碼應(yīng)用安全性評估的;
(八)不符合相關(guān)要求自行開展商用密碼應(yīng)用安全性評估的。
第十八條 重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者違反本辦法規(guī)定,有下列情形之一的,由密碼管理部門責(zé)令改正;逾期未改正或者改正后仍不符合要求的,處1萬元以上10萬元以下罰款,對直接負(fù)責(zé)的主管人員處5000元以上5萬元以下罰款:
(一)對商用密碼應(yīng)用安全性評估結(jié)果施加不當(dāng)影響的;
(二)未為商用密碼應(yīng)用安全性評估活動提供必要支持的;
(三)未按照要求進(jìn)行商用密碼應(yīng)用安全性評估結(jié)果備案的。
第十九條 從事商用密碼應(yīng)用安全性評估監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人隱私、舉報(bào)人信息的,依法給予處分。
第二十條 本辦法施行前正在建設(shè)的重要網(wǎng)絡(luò)與信息系統(tǒng),其運(yùn)營者應(yīng)當(dāng)加強(qiáng)商用密碼應(yīng)用方案編制論證,建設(shè)完善商用密碼保障系統(tǒng),并按照本辦法第八條規(guī)定開展商用密碼應(yīng)用安全性評估。
本辦法施行前已經(jīng)投入運(yùn)行的重要網(wǎng)絡(luò)與信息系統(tǒng),其運(yùn)營者應(yīng)當(dāng)按照本辦法第九條規(guī)定開展商用密碼應(yīng)用安全性評估。
第二十一條 本辦法自2023年11月1日起施行。
《商用密碼應(yīng)用安全性評估管理辦法》解讀
根據(jù)《中華人民共和國密碼法》(以下簡稱《密碼法》)、《商用密碼管理?xiàng)l例》(以下簡稱《條例》)等法律法規(guī),國家密碼管理局研究制定了《商用密碼應(yīng)用安全性評估管理辦法》(國家密碼管理局令第3號)(以下簡稱《辦法》),現(xiàn)就《辦法》的有關(guān)內(nèi)容解讀如下。
一、制定的必要性
商用密碼應(yīng)用安全性評估是加強(qiáng)和規(guī)范商用密碼應(yīng)用的重要抓手。隨著《密碼法》頒布實(shí)施,商用密碼應(yīng)用安全性評估制度依法確立,商用密碼應(yīng)用安全性評估機(jī)構(gòu)納入商用密碼檢測機(jī)構(gòu)統(tǒng)一管理,新修訂的《條例》第三十八條、第四十一條進(jìn)一步明確了商用密碼應(yīng)用安全性評估相關(guān)制度要求。為有效貫徹落實(shí)上位法規(guī)定,急需制定《辦法》,統(tǒng)籌細(xì)化商用密碼應(yīng)用安全性評估對象范圍、責(zé)任主體、工作原則、程序內(nèi)容、實(shí)施規(guī)范等規(guī)定,依法規(guī)范商用密碼應(yīng)用安全性評估工作。2017年以來,國家密碼管理部門組織開展一系列商用密碼應(yīng)用安全性評估試點(diǎn),在試點(diǎn)過程中,商用密碼應(yīng)用安全性評估的基本要求和思路做法已逐步得到相關(guān)管理部門、運(yùn)營者和評估機(jī)構(gòu)的認(rèn)同,為《辦法》的制定奠定了堅(jiān)實(shí)的實(shí)踐基礎(chǔ)。
二、總體思路
《辦法》的制定細(xì)化《密碼法》、《條例》關(guān)于商用密碼應(yīng)用安全性評估工作主體、方式、程序、備案等方面要求,吸收繼承商用密碼應(yīng)用安全性評估試點(diǎn)經(jīng)驗(yàn)做法,結(jié)合工作實(shí)際,注重合法性、合理性和可操作性,力求做到內(nèi)容完備、邏輯嚴(yán)密。主要體現(xiàn)了以下三方面思路:
(一)細(xì)化落實(shí)“三同步一評估”要求。按照《密碼法》、《條例》規(guī)定,《辦法》對依法應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)的重要網(wǎng)絡(luò)與信息系統(tǒng),明確要求同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng),并定期進(jìn)行商用密碼應(yīng)用安全性評估。細(xì)化商用密碼應(yīng)用安全性評估要求,從規(guī)劃、建設(shè)、運(yùn)行各個(gè)階段分別提出落實(shí)安排、明確評估程序及內(nèi)容,建立起商用密碼應(yīng)用安全性評估制度的基本框架。
(二)體現(xiàn)商用密碼應(yīng)用安全性評估系統(tǒng)性原則?!掇k法》將商用密碼應(yīng)用方案評估、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前評估、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行后定期評估統(tǒng)一納入商用密碼應(yīng)用安全性評估工作體系,在實(shí)施中“按照同一套標(biāo)準(zhǔn)、遵循同一套程序、囊括同一套活動”,確保重要網(wǎng)絡(luò)與信息系統(tǒng)全生命周期落實(shí)商用密碼應(yīng)用安全性評估要求。同時(shí),將商用密碼應(yīng)用安全性評估機(jī)構(gòu)統(tǒng)一納入商用密碼檢測機(jī)構(gòu)管理,進(jìn)一步體現(xiàn)工作的系統(tǒng)性整體性。
(三)明確商用密碼應(yīng)用安全性評估實(shí)施依據(jù)。按照《密碼法》、《條例》關(guān)于運(yùn)營者自行或者委托商用密碼應(yīng)用安全性評估機(jī)構(gòu)開展評估的規(guī)定,《辦法》分別明確了相關(guān)要求,并就兩者需共同遵守的行為規(guī)范作出規(guī)定,從而明確了商用密碼應(yīng)用安全性評估活動的實(shí)施依據(jù),有助于規(guī)范提升商用密碼應(yīng)用安全性評估工作質(zhì)量。
三、主要內(nèi)容
《辦法》共21條。主要內(nèi)容包括:
(一)總體要求。一是明確概念定義,商用密碼應(yīng)用安全性評估是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評估驗(yàn)證的活動。二是規(guī)定管理體制,包括縣級以上各級密碼管理部門、國家機(jī)關(guān)和涉及商用密碼工作的單位的監(jiān)督管理職權(quán)。三是明確對商用密碼應(yīng)用安全性評估從業(yè)機(jī)構(gòu)的資質(zhì)要求,以及對商用密碼應(yīng)用安全性評估行業(yè)發(fā)展的保障支持。四是規(guī)定了商用密碼應(yīng)用安全性評估的對象范圍。
(二)程序及內(nèi)容要求。一是規(guī)定“三同步一評估”的總體要求。二是明確重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行各階段的商用密碼應(yīng)用安全性評估的程序要求。三是針對商用密碼應(yīng)用方案、網(wǎng)絡(luò)與信息系統(tǒng)兩類不同對象,分別提出商用密碼應(yīng)用安全性評估的內(nèi)容要求。
(三)實(shí)施規(guī)范。一是規(guī)定開展商用密碼應(yīng)用安全性評估的通用行為規(guī)范和運(yùn)營者委托開展評估的支持配合義務(wù)。二是規(guī)定運(yùn)營者自行開展商用密碼應(yīng)用安全性評估的基本要求與行為規(guī)范。三是規(guī)定商用密碼應(yīng)用安全性評估結(jié)果備案制度。四是規(guī)定運(yùn)營者開展應(yīng)急處置的有關(guān)內(nèi)容。
(四)監(jiān)督檢查及法律責(zé)任。一是規(guī)定了縣級以上地方各級密碼管理部門、國家機(jī)關(guān)和涉及商用密碼工作的單位的監(jiān)督檢查職權(quán)。二是明確了運(yùn)營者的違法情形及法律責(zé)任。三是規(guī)定了商用密碼應(yīng)用安全性評估管理人員的責(zé)任義務(wù)。
(五)其他事項(xiàng)。規(guī)定了本辦法實(shí)施的過渡安排和施行時(shí)間。
來源:國家密碼管理局網(wǎng)站