？ 商用》密，码应用安全性评【。估管理办《法 》国家密码管理局令】 第3号 【   ？ 商用密码应用安】全性：评，估管理办《法已经202—3年9月1》1日国家密码管理】局局务会议审议通过！现予公布自20【23年1《1月1日起施—行 局长 刘东方！ ：202？3年9月26日 】 第一条　为了【规范商用密》码应：用安全性《评估工作保》障网络与信息—安全维护《国家安全和社—会公共利《益保护？公民、？法人和？。其他组织的》合法权益根据中华人！民共和国《密码法？、商用密码》管理条例等有关【法律法规制定本办】法 第二条　【本办法所称商用密】码，应用安？全性评估《是指按照《。有关：法，律法：规和标？准规：范对网络与信息系】统使用商用密码技术！、产：品和服务的合规性、！正确：性、有？效，性进行检测分析【和评估验《证的活动 —第三条　国家—密，码管理？局，负责管理全国的商】用密码应《用安全性评估工作】县级以上地方各级密！码管：理部门负《责管理本《行政区域的》商，用密码应用安全性评！估工作？     国家机！。关，和涉及商用》密，码工作的《单位：。。在其职责范》围，内负：。责指：。导、监？。督本机关《、，本，。。单位：或者本系统的—商用密码应用—安全性评《估，工作 第四条　从！事商用密码应用安】全性评估活动向社】会出：具具有证明作用【的商用？密码应用安》全性：评估：。数，据、：结，果的机？。构应当？经国家密码管—理局认定依法—取，得商用密码检测【机构资质 第【五条：　，国家密码《管，。理局支持商用密【码应用？安全性评估技术、标！准、工具创新完善】商用密码《应用安全性评估标准！体系鼓励设立商【用密：码应用？安全：性，评估：行业组？织加强行业自律维护！行业秩序《。 第六条　法律】、行：政法规和国家有关】规，定要求使用商用密码！进行保护的网络与】信息系统（以下简称！重要网络与信息【系统）其运》营者应当使用商用密！码进行保《护制定商用密—码应用方《案配备必要的资【金和专业人员—同步规划《、，同步建设、同步【运行商用密》码保：障系统？并定期？开展商用密码—应用：安全性评估》 第七条　重要】。网络与信息系统规】划，阶段其？运营者？应当：依照相？关法律法规和标【准规范？根据商用密码应用需！求制定商用》密码应用方案规划商！。用密码保障系统 ！   ？ 重：要网：络与信息系》统的运营《。者应当自行或者委】托商用密码》检测机构对》商用密码应用方【。案进行商用》密码应？用安：全性评估商用—密码应用《方案未通过商—用密码应用》安全性评估》。的不得作为商用【密，码保障系统》的建：设依据 》第，八条　？重要网络与信息【系统建设《阶段其运营者—应当按照通过商用】密，码应用安全性评【估的商用密码—应用方案组织实施】。落，。实商用密码安全【防护措施《。建设商用《密码：保障系？统 ：     重要网】络与信息系统运行前！。。其运营者应当自行】或者委？托商用密码检测机构！开展商用《。密，码应：用安全性评估—。网络与信息系统未通！过商用？密码应用安全性【。评，估的运营者应当进】行改造改造期间不】得投入运行 第九！条　重要网络与信】息系统建成运行【后其运营《者应当自行》或者委？托商用密码》检测机构每年至【少，开展一次商用密码应！用安全？性评估确保商用密码！保障：系统正确有效运行未！通过商用密码应【用安：全性：评估的运营者应【当进行改造》并在改？造期间采取必要措施！保证网络与信息【系统运行安全 【 第十条《　对商用密码—应用方案《。开，展商用密《码应用安全性—。评估：应当包？括以下内《容 ？    （一）考量！商用：密码应用需求—的全面性《、合理性《和针对性对照相关】标，准规范？。选取适用指标的准】确性：以及不适《。用指：。标论证的充》分性；？     —（二）分析》商用密码应用流程和！机，制，是否：具备可实施性、【商，用密：码保护？措施：是否达到《相应的商用密码应用！。要求、相关》描述是否详尽； 】     》（三）论证商用【密码技术、产品和服！务选用的合》规性：。密钥管理的》安全性以及使用【商用密码《解决安全风险—的科学性； —   ？。  （四）编制形成！商用密码应用安全】性评估报《告， 第十一条　【对建设完成的—网络与信息系统开】展商用密《码应：用安全性评估应当】。包括以下内容 】   ？ ，（一）对《照商用密码应用方】案了解网络与信息】。系统基本情况准【确划定评估范围【；   》  （二）》确定评估《指，标及评估对象论证编！。制商用密码》。应用：安全性评估实施【方案； 《     》（三）依《据，商用密？码应用安全》性评估实施方案开】展现：场评：估做好？数据采集和信息【汇总研？判商用？密码保障系统配置及！运行情况；   ！  （四）根—据客观凭据逐项对评！估指标进行判定编】。制形成商用密码应】用安全性评》估报告 第—十二条　运营者开】展商用密码应—用安全性《评估活动《应当遵？守法：律法：规、标准规范要【。求遵循客观实际【、科：学公正、《诚实信？用原则委《托商用密《码检：测机构开展商用密】码应用安全性评估的！不得对评估结果施加！不当影响并应—当提供以下支持 】    《 （一）对网络与信！息系：统，的重要数据》进，行备：。份；    【 （二）提供完整有！效的网？络，与信息系统设备清】单和网络拓扑；【     （三】）提供详细的—网络与信息系统商】用，密码应用方》。案、密码《相关：管理制度和密码配置！。、运行、维护记录】；   》  （四《）提：供商用密码产品【管理入口、网络交换！设，备接入端口等相关信！息、数据接入分析】条件并配合进行【数据采集《；    — ，（五：）安排网络与信息】系，统相关网络管理员、！系统管理员、—密钥管？理员、密码安全审】计员、密码操作员等！做好配？合；  》   （六）其【他需要配合》的事项 》。第十三条　自行开】展商用？密码应用安全—性评估？的，。网，络与信？。息系统其运营—。者应：当符合以下要求【     （一】）具有？与开：。展商用？密码：应用安全《性评估活动》相适应？的设备设《。施；     】（二）具有与开展商！用，密，码应用安全》性评估活动相适应的！项目管理、质量【管理、人员管—理、：档案管理、安全保密！管理：等规章制度》； ：   ？  ：（三）具有》与开展商用密码应用！安全性评估活动相适！应的专业人员；【   《  （四）具有与开！展商用？密码应用安全—性评估活动相适应的！专业能力 》。    《 自行开《展商用？。密码应用《安全性评估》形成的商用密码应用！安全性评估报—告应当符合》相关：国家标准、行业标准！。和有关规定的要【求，由本单位密码或者网！络安全负《。责人签字确认并加】盖本单位公》章     运】。营者应当对商—。用密码应用安—全性评估《原始记录和商—用密码应用》。安，全性评估《报告：归，档留存保证》其具有可追》溯性商用《密码应？用安：全，性评估原《始记录和商用密【码应用安全性—评估报告的保—存期限不得少于6】。年 第十四—条　重要网络与信息！系，统的运营者》应当在商《用密码应用》安全性？评估报告形成后3】0日内？将评估报告和—相关工作情况按照国！家有关规定报送【国家密？码管理局或者—网络与信息》系统所在地省、【自治区、直辖市密码！管理部门备案 】    《。国家密码管理局或者！省、自治区、直【辖市密码《管理：部门对商用密—码应用安全性—评，估结果备案材料进】行形式？审查形式审查未通】过的：相关运营《者应当重新提交备】。。案材料 》    《国家密码管理局可以！对商用密码应—用安全性评估—结，果进行抽《样检查抽样检查【不合格的相关运营】者应当重新》开展商用密码—应用安全性评估 ！    省、—自治区、直》辖市密码管理部【门应当按季度向国】家密码管理局报【送，本地区商用密码【。应用安全性评估工】作开展情《况 第十五条　】运营者发现密码相】关重大安全事件、】重大密？码安全隐《患或者特《殊紧急情况》的应当及《时向国家密》码管理局或者网络与！信息系？统所在地省》。、自：治区、直辖市密码管！理部：门报告并启动应急】处置方案必要时开展！商用密码《应用安全性评估 ！第十六条　县—级以上地方各级【。密码管理部门—、国家机关》和涉：及商用密码工—。作的单位《可以：。根据工作需要对本地！区、：。本机关、本单—。位或者本系统的【重要：网络与信息系—。统商：用密码应《用安全性评估情况开！展专项检查 — 第十七条》。　重要网络》与信息系《统的运营者违反中】华人民共和》国密：码法、商用密码【管理条例和本—办法规定有下列情】形之一的由密码管】理，部门责令改正给予】警，告；拒不改正或者】有其：他严重情节的处1】0万元以上》100万元以下罚款！对直：接负责的主管人员处！1万元以《上1：0万元以下罚款 ！    （一—）重要网络与信息】系统规划《阶段未对商用—密码应？用方案进《行商用密码应用【安，全性评估的； 【   ？ ， （二）《重要网络与信息【系统：建，设阶段未按照通过】。商用：密码：应用安全《性评：估的商用《密码：应用方案建》设商用？密码保障《系，统的；  —   （《三）重要网络—与信息系统运行【前，未开展商用密码【应用安全性》评估的；  【   （四）重要网！络，与信息系统》运行前未《通过：。商用密码应用—安全性？评估且未进》。行改造的《；  《   （五）—重要网？络，与信：息系统建成运—行，后未定期开展商用】密码应用安全性【评估：的；   —  （六）重要网】络与信？息系统建成运行后未！通过：定，期开展的商用密【。码应用安全》。性评估且未进—行，改造的；《 ：    （七）【违反法律《法规、标准规范要】。求开展商《用密码应用》。安全性评估的；【    》 （八）不符合相关！要求自行开展商用密！码应用安全》性评：估的 ？ 第十八《条，　重要网络与信息系！统的运营者违反本办！法规定有下列情形】之一的由密》码管：理部：门责：令改正；逾》期未改正或者改正后！仍不符合要求的处1！万元以上10万元以！下罚：款对直接负责的主管！。人员处5000【元以上？5，万，元以下？罚款     】（一）对商用密码】。应用安全《性，评，估结果施加不当影响！的； ？   ？  （二）未为商用！密码应用安全性【评估活动提供必要】支持的？；    — （三）《。未按照要求进行【商用：密码应用安全性评估！结果备案的 第十！九条　从事》商，用密码？应，用安全性《评估监督管》理工作的人员滥用】职权、玩忽职守【、徇私舞《弊或：者泄露、非法—向他人？提，供在履行职责中知悉！的商业秘密、—个人隐？私、举报人信息的】依法给予《处分 第二—十条　？本办法？施行前正在建设的】重要网络与信息系统！其运营者应》当，加，强商用密码》应用方案编制—论证建设完》善商用密码保障系统！并按照本办法第八条！。规，定开：展商用密码应用安】全性评估 —    《本办法施行前已经投！入运行的重要网络与！信息系统其运—营者应？当，按照本办法第九条】规，定开展？商用密？码应用安全性评【估 第《。。二十：一条：　本办法自2—023年1》1月1日起施—行 ？