商用】密码应用安全—性评估管理办法【。 国》家密码管理局令 ！第3号     ！商用密码应用安全】性评估管理办—法已经202—。3年9？月11日国家密码管！理局局务会》议审议？通过现予《公布自202—3年：11：月1日起施行 】局，长 刘东方 2】023年《9，月26日 》 第一条　为了规范！商用密？码应用安全性评估工！作保障网《络与信息安全—。维护国家安》全和社会公共利益保！护公民？、法人和其他—组织的？。合法：权益根据中华人民】共和国密码法、商】用密码管理条例等有！。关法律法规制—定本办法 》。 ，第二条　本办法所】称商用密《码应用安全性评估是！指按照有关》法律法规《和标准规范对网络】与信：息系统？使用商用密》码技术、产品和服务！的，合规性、正确—性、有效性》进行检测分》析和评估验》。证的活动《。 第三条　—国家密码管》理局负？责管理全国》的商用密码应用安】。全性评估《工作县级《以上地方《各级密？码管理部门负责管理！本，行政：区域的商用密码应用！。安全性？评，估工作     ！国家机关和涉及商用！密码工作的单位在】其，职责：范围：内负责指导、—监督本机关、本单】位或者本系统的【商，用密码应《用安全性评估工【作 ： 第四？条　从事商用密码】应用安全性》评估活动向》社会出具具有证明作！用的商用密》码应用安全性评【估数：据、结果的机—构应当经国家密码管！。理局认定依法取得商！用密码？检测机构资质 】第五条？　国家密《码管理局支持—商用：密码应用安》全，性评估技《术、标准、工—。具创新完善》商用密码应用安全】性评估？标准：体系鼓励设立商【用密码应用安全【性，评估行业组织加强】。行业自律维护行【业秩：。。序 第六》条　法律、行政【。法规和国《家有关规定要—求使用商用密码进】行保护？。的网络与信息系统】（以：下简称重要网络与】信息系统《）其：运营者？。应当使用商用密码】进行保护制定商用】密码应用方》案配备必要的资【金和专业人员同【步规划、同步建【。设、同步运行商【用密码保障》系统并？。定期开展商》用密码应《。。用安：全，性评估 第七条】　重要？网络与信息系统规划！阶段其运营者应当依！照，相，关法律法规》和标准规范根—据商：。用密码应用需求【制定商用密码—应用方案规》划商用密码保障系】统  《   重《。要网络与信息系统的！运，营，者应当自《行或：者委托？商用密码《检测机构对商用密码！应用方案进》行，商用密码应》用安全？性评估商用密码应】。用方案未通过商【用密码应用安全性评！估的不得作为商【用密码保障》系统的建设依据 ！第八条？　，重要网络与信息【系统建设阶段其【。运，营者应当《按照通过商用密【码应用？安，全性评估的商用密码！应用方案《组织实施落实—商，用密码安《。全防护措施建设商用！。密码保障系统—    》。 重要网络》与信息系统运行前其！运营者应当自—行或者委托商用密码！检测机构开展商用密！码应：用安全性《。。评估网络与信—息系统未通过商用】密码：应用安全性》。评估的运营者应当】进行：改造改造《。期间不？得投入运行 第】九条　重要》。网络与信息系统建】成运行后其》运营者应当自—行或者委托商用密码！检测：机构每年《至少开展一次商用密！码应用安全性评【估确保商用密码保障！。。系统正确有效运行未！通过商用密码应用】安，。全性评估的运营【者，应当进行改造并在】。改造期间采取必【要措施？保证网络与》信，息，。。系统运行安》全 第十条　【对商用密码》。应用方？案开展商用密—码应用安《全性评估《应，当，包括以？。。下内容     ！。（一：）考量商用密码【应用需求的全面【性、：合理性和针对—性，对照相关标准规【范选：取适用指标的—准确性以及不适用指！标论证的《充分性；   】  （二）分析商】用密码应用流程【和机制？是否具备《可实施性《、商用密码保护措】施，是否达到相应的商用！密码：应用：要求、相关描述是否！详尽；   【  （？三）论证《商用密码《。技术、产品和服务选！用的合？。规性密钥管理的【。安全性以及使用【。商用密码解决安【全风险的《科学性；    ！ （四）《编制形成商用密码】应用安全性评估【报告 《第十一条　对建设】。完成的网络与信息】系统开展商用密码】应用安全性》评估应当包括—以下内容  【   （一）—对照商用密码应用】方案：了解网络与信息系统！。基本情况准确划【。定评估范围； 【     （二）确！定评估指标及评估】对，象论证编制商用【密码应用安全—性评估？实施：方案；     ！（三）依据商—用密码应用安全【性，评估实施方案—开展现场评》估做好数据采集和信！息汇总研《判商用？密码：保，障系统配置及运【行情况？；     （】四）根据客观凭据】逐项对评估》指标进行判定编制形！成商用密码应用【安全：性评：估报告 》第十二条　运营【者开展商用密码应】用安全性评估活动应！当遵守法律法规、标！。准规范要求遵循客观！实际、科《学，公正、？诚，实，信，用原则委托》商，用密：。码检测？。机构：开展商用密码—应用安？全性评估的不得对】评估结果施加—不当影响并应当提】供以下支持   ！  （一）对—网络与信息系统的重！要，数据进？行，备份；     ！（二）？。提供完整有效的【网，络与信息系统设备】清单和网络拓扑；】 ：    （三—）提供详细》的网络与信》息系统？。商，。用密码应用方—案、密码相关管理】制度和密码配置【、运行、维护—记录； 《     》（四）提供商用【。密码产品管》理，入口、网络交换设备！接，。入端口等相关信息、！数据接？。入分析？条件并配合进行数】据，采，集；    【。 （五）安排网【络与信息系统相关网！络管理员《、系：统，管理员？、密钥管理员—、，。密码安全审计员、】密码操作员》等做好配合； 】   ？ （六）其他需要】配，合的事项 》 第十三条　自行】开展商用密码—应用：安全性？评估的网络》与信息系统其—运营：者应当符合以—下要求   【  ：（一）？具有与开《展商：用密码应用》安全性评估活动相适！。应的：设备设施；》。     （二】），具有：与开展？商用密？码应用？安全性评《估，。活动相适应的—项目：管理、质量管—理、人员《管理、档案管理、安！全保密管理等规章】制度；     ！（三）具有》与开展商用密码应用！安全性评《估活动相适》应，的专业人员； 【     （四）】具有与开展》商用密码应用安全性！。评估：活动相适应的专业能！力   》  自行开展商用密！码应用安《全性评估形成—的商用密码应用【安全性评估报告应】当符合？相关国？家标准、行业—标准：和有关规定的要求】由本单位密码或者网！络，安全负责《人，签字确认并加盖本单！位公章 《     》运营者应当对商用】密码应用安》全性评？估原始记录》和商用密《码，应用安全性评估【。报告归档留存保证】。其具有？可追溯性商用—密码应用《安全性？评，估原始记《录和商用密》码，应用：安全性评估》报告的保存期限不】得少于6年 — 第十四条》　重要网《络与信？息系：。统的运营者》应当在商《用密码应用安—全性评估报》告形成后30日内将！。评估报？告和：相关工作情况—按照国家有》关规定报送国家密码！管理局或者》网络与？信息系统所在地省、！自治区、直辖市【。密码：。管理部门备案  ！   国家密码管】理局或者省》、自治区、直辖【市密码管理部—门对商用密码应用安！全性评估结果备案材！料进行形式审查【形式审查未通过的相！关运营者应当重【新提：交备案材料   ！  国家密码管理】局可：以，。对，商用密码应用—安，全性评估《结果进？行抽样检查抽—。。样检查不合》格的相关运营者应】当重新开展商—用密码应用安—全性评估   】  省、自》。治区、直辖》市密码？管理部门《应当按？季度向国《家密码管理》局报送本地区商【用密码应用安全【性评估工作开展【情况 第》十五：。条　运营者发—。现密码相关重—大安全事件、—重大密码安全隐【患或者？特殊紧？急情况的应当及【时，向国家密码管理局或！者网络与信息系【统所在地省、—自治区？、直辖市密码管【理部门报《告并：启动应急处置方【案必要？时开展？商用密码应用安全】性评估？ 第十六条—　县级以上地—方各级密码管—理部门、《国家机关和涉及商】用密码工作的单【位可以根据》工作需要《对本地区、本机关】、本单？位或者本系统的重】要，网络与信息》系统商用《。密码应用安全性评】估，情况开展专项检查】 ：第十七条《　重要网络与信息】系统的运营者违反中！华人民共和国—密码法、商》用密码管理条例和】。本办法规定有—。下列情形《。之一的由《密码：管理部？门责令改正给予【警告；拒不改正或者！有其他？。严重：情节的处10万元以！上100万元—以下罚款对直接负】责的：主管：人员处1万》元以上10万元以】下罚款 《     （一【）重要？网络与？信息系统《规划阶段未》对商用密《。码应用方《案进行商用》密码应用安全性【评估的；    ！ ，（二）重要》网络与信息系统【。建设阶段《未按照通过商用密码！应用安全性评估的】商用密码应用方案】建设商用密码—保障系统的； 】    （三）重】要网络与信》息系统运行前—未开展商用密码【应用安全性评估的】；     （】四）重要网络—与信息系统运—行前未通过》商用密码应用—安，全性评估且未—进行改？造的：； ？    （五）【。重要网络《与信息系统建成运行！后，未定期开展商用密】码，应，用安全性《评估的；    ！ （六）重要网【络，与信息系统》建成运？行后未？通过定期《开展的商用密—码应：用安全性评估—且未进行改造的；】     （七】）违反法律法—规、标准规范—要求开展商用—密码应用安》全性评估《的；    【 （八）不符合相关！。要求自行开展商用】密码应用《安，全性评估《的 第十八条【　重要网络与信【息系统的运营者违反！本办法规《定有下列情形之一】的由密码《管理部门责令改正；！逾期未改正或—者改正？后仍：不符合要求的处1】万，元以上10万元【。以下：罚款：对直：接负责的《主管人？员处5000元【以上5万《元以下罚款》。  ？   （一）对【商用密码《应用安全性评估【结，果施：。加不当影响的—；  《   （二》）未为商用密—码应用安全性评估】活动提供必要—支持的；《。     （三】）未按照要求进【行商用密码应—用安：全性评估《结果备案《的 第十九条　】从事商用密》码应用安全性评估】监督管理《工作的人《员滥用职权、玩【忽职守、徇私舞弊】或者泄？。露、非？。法向：他人提供在履—行职责中知》悉的商业秘密—、个人隐《私、举报人信息【的依法给予处分 】 第二十《条　：本办法施行前—正在建？设的重要网》络，与信：息系统其运营—者应当加强商用密】码应：用方案编制论—证建设完善》商，用密：。码保障系统并—按照本办法》第八：条规定开展》商用：密码应用安全—性评估 》  ：  ：本办法？施，行前已经投》入运行的重》。要网络与信息系统】其运营？者应当？。按照本办法第九条】规定开展商用密【码应：用安全性评估 【 第二十《一条　本办法自20！23年11月—1日：起施行 》