安全验证
more
, 》商用密?码应用安全性评估管!理办法 《 国《家密码管理局令【 第3号  】   商用密码【应用安全性》评估管理办法已经2!02:3年9月11日国家!密码管理局局务【会,议审:议,通过现予公布自20!23:。年11月1》日起:施行 局》长 刘东方 20!2,3年9?月26?。日 第一条 为了!规范商?用密码应用安全性评!估工作保障》网络与信息安全【维护:国家安全和》社会公?共利益保护公—民、法人和其他【组,织的合法权益—根据中华人民共【和,。国密码法、商用【密码管理条》例等有关法律法规】制定本办法 — 第二条《。 本办法所称商用】密码:应用安全性评估是指!。。按照有?关法律法规和标准】规范对网络与信息系!统使用?商用密码技术、【。。产品和服务的合【规性、正确性、有】效性进?行检测分析和—评估验证《的活动 》第三条 国家密【码,管理局负责管理【全国的商用》密码应?用安全性评估工作】县级以上地方—各级密?码管理部《门负:责管理本行政区【域的商用《密码应?用安全性评估—工作     国!。。。。家机关和《涉及商用密码—工作的单位在其职】责范围内负责—指导、监《督本机?。。关、本单位》。或者:本系统的商用—密,码,应用安?全性评估工作 第!四条: 从:事商:用密码应用安全性评!。估活动向《社会出具具有—证明作用的商用密码!应用安全性评—估,数据、结果的机构应!当经国家《密码管理《局,认定依法取得—商用密码检测机构】资质 ? 第五条 》国家密码管理局支持!商用密码应用安全】性评估技术、标准】、工具创《新完善?商用:密码:应用安全性评估标】。准体系?鼓励:设立商用密》码应用安全性—评估行?。业组织加强行业【自律维护行业—秩序 第六条【 法律、行政法【规,和国家有关规定要求!使用商用密码进行保!。护的网络与信息系统!。(以:下简称重《要网络与信息—系统)其运》营者应?当使用商《用密码?进行保?护制定商用》密,码应用方《。案配备必要的资【金和专业人员同步规!。划、同步建设—、同:步运行?商用密?码保障系统并定【。期开展商用》密码应用安》全性评估《 第七条 重【要网络与《信息系统规划阶段】。其,运营者应当依—。照相关法律法规和】标准规范根据商用密!码应用需《。求制定商用密码【应用方案规划—商用:密码保障系统—     重要网!络与信息系统的运】营者:应,当,自行或者委》托商用密码检—测机构对商用密码】应用方案进行商用】密码应用安全—性评估商《用密码应用方案【未通过商用密—码应用安全性—评,估的不得作为商用密!码保障系统的建【设依据 第八条】 ,重要网络与信息系】统建设阶段其运营者!应当按照通》过商:用,密码应用安全性评】估,的商用密码应—。用方案?组织实施落实商用】密码:。安全防护措施建设商!用密码保障系—统  《   重要网络与】信息系统运行前其】运营者?应当自行《或者委托商用密码】。检测机构开》。展商用密《码应用安全性评【估网络与信息系统未!通过商?用,密码应用安全性【评估的运《营者应?当进行改造改造期间!不得投入《运行 ? 第九条 重要【网络与?信息系统建》成,运行后?。其运营者应当自行】或者委托商》用密码检测》机构每年至少开展一!次商用?密码应用《安全性评估确保【商用密码保障系统正!确有:效运行?未,通过商?用密码应《用安全?性评估的运营者【应当进?行改造并在》改造期间采取必要】措施保?证网络与信息系统运!行安全 第十【条 对商用》密码应?用方案开展商用密】码应用安《全性评?估应当包括》以下内容 》     (一)考!。量商用?密码应用需求—。的全面?性、合理性和针对性!对照相关标》。。。准规范?选,取适用指《标的准确性以及不】适用指标《论证的?充分性;    ! (二)分》析,商用密码应》用流程?和机制是否具备【可实施性、商—用密码保护措施【是否达?到相应?的商用?密码:应用要求、相—关描述是《。否详尽;   】 , (三)论证商用密!码,技术、产品和服务选!用的合规《性密钥?。管理的?安全:性以及?使用商用《密码解决安全风险】。的科学性; 【  :  (四)编—制形成商用密码应】用安全性评》估报告 》第十一条 对建设】完成的网《络与信息系统开展商!用密码应用》安全性?评估应当包括—以下内容    ! (一)对照—。商用密码应》用方案?了解网?络与信息系统—基本情况准确划定评!估范围;《     (二)!确定评估《指标及评估对象【论证编制《商用密码应用安全】性评估实施方—案; 《    (三)【依据商?。用密:码应用安全性评【估实施方案开—展现场评估做—。好数据采集和信【息汇总?研,判商用密码保障系统!配置:及运行情《况;:   《  (四)根据客】观凭据?逐项对评估》指标进行判定编【。制形成商用密码应】用安全性评估报告 !。 第十二条 运营】者开展商用密码应用!安全性评估》活动应当遵守法【律法规、标准规【范要求遵循客观实际!、科学?公正、诚实信用【原则委托商用密码】检测机构《开展商用密码—应用安全性评—估的不得对》。评估结果施加不当】影响:。并应当提供以下支持!     (【一)对网络与信息系!统的:重要数据进行备【份;    【 (二)提供完整有!效的网络与信息【。系统设备清单和网】络,拓扑;?     (三)!提供详?细的网络与信息系统!商用密?。码应用方《案、密码相关管理】制,度和密码配置、运】行、:维护记录;  】。   ?。(四)提供商用【密码产品管理入口】、网络交换》设备接入端口等相】关信息、数据接入】分析条件《并配:合进行数据采—。。。集;    【 ,(,五)安排网络—。与信息系统相关【。网络:管理员、《系统管理员、密钥管!。理员、密码安全【审计:员、密码操》作员等做好》配合;     !(,六):其他需要配合的【事项 第十三条 !自行开展商用密码应!用安全性评估的网】络与信息系统—其运营者应当符合以!下,要,求 :     (一)具!有与开展商用—。密码:应用:安全性评估活动相】适应的?设备:设施;?     (【二)具有《与开展商用密码【应用安全性》评估活动相适应【的项目管理、质【量管理、人员管理、!档,案管理、安全—。保密:管理等?规章:制度; 《。    《 (三?),具,有与开展商用密码应!用安全性《评,估活动相《适应的专业人员;】    》。 (四)具》有与开?展商用密码应—用安全性评估活动】相适应的专业能力】     自行开!展商:用密:码应:用安全性评估—形成的商《用,密,码,应用安全性评估报】告应当符合》相关:。国家标准、行业标】准和有关规定的要】求由本单位密—码,或者网络安全负责人!签字确认并加盖【本单位公章  】   运营者应【当对:商用密?码应用安全性评估原!始记录和商》。用密码应用安全性】。评估报告归档—留存:保证其具有可—追溯性商《用密码应用安全性】评估:原始记?。。录和:商用密码《应用安全性评估报告!的,保存期限不得少于6!年 第十四条 重!。要网络与信息系统的!运营者应当在商用】密码应?用安全性评估报告形!成后30日内—将评估报《告和相?关工作?情况按照国家有关规!定报送国家密码管理!局,或者网络与信—息系统所在地省、自!治区、?直辖市密码管理【部门备案 —    国》家,密码管理《局或者省、自治区、!直辖:市,密码管理《部门对商用密码应】用安全性评》估结果备案材料进】行形式审查形—式审查未通过的相关!运营者应当》重新提交备案材料】     国【家密码管理局可【以对:商用:。密码应用安全—性评估结果进—行抽样检查抽样检查!不合格的《相关:运营者应当重新开】展商:用密码应用》安全性评估   ! , 省、自治区、【直,辖市密码管理部【门应当按《季度向国家密码【管理局报《。送本地区商》。用密码应用安全【性评估工作开展【情况 《第十五条 》运营者发《现密码相关重大【安全事件、重大【密码安?全隐患或者特殊紧】急,情况:的应当?及时向?国家密码管理—局或者?网,。络与信息系统—所在地省、自治【区,。。、直辖市密码—管理部门报》告并启动应急处【置方案必要时开【展商用密码应用【安全性评估 第】十六条 县》级以上地方各级密】码管理?部门、国家机关【和涉:及商:用密码工《作的:单,位,可以根据《工作需要对本—地区、本《机关、本《单位或者《本系统的《重要网络与信—息系统商用密码【应用安?全性评估《情况开展《专项检?查 第十七条【 重要网络与信【息系:统的运?营者违反中华人民共!和国密码法、商【用,密码管理条例和本办!法规定有下列情【形之一的由密—。码管理部门责令改正!给予警告;拒不改】。正或者有其他严【重情节的处》。1,0,。万元以上100万元!以下罚款对直接负责!的主:管,人员处1万元—以上10万》元以下罚款 — ,    (一)重】要网络与信息系统规!划阶段未《对商:用密码?应用:。方案进行商》用密码应《用安全性评估的; !  :   (二)重【。要网:络与信?息系统建设阶段【未按照通过》商用密码应》用安全性评估—的商用?密码应用方案—建,设商用密码保障【系,统的:; ?   ? (三)重要网【络与信息系》统,运行前未开展—商用密码《应,用安全性评估的; !。     (四【)重:要网络与信息系【统运行前未》通过商用密》码应用安全性评估且!未,。。进行改造的;  !   (《。五)重要网络—与信息系统》建成运行《后未定期开》展,商用密码应用安全性!评估:的;  》   (六)重【要,网络与?。信息系统建成运行后!未通过定期开展的】商用密?。码应:用安:全性评估且未进行】改造的; 》。  :   (七》)违反法律》法规、标准规范要】求开展商用密码应用!。安全性评《估的; 》。    (八—),不符合相关要求【自行开?展商用密码应用【安,。全性评估的 — 第十八条》 重要网《络与信息系统的运营!者违反本《办法规?定有下列情》形之一的由密码管】理部门责令改正【;逾期未改》正或者改正后仍【不符合要求的—处,1万元以上10【万元以下罚款对直】接,负责的主管人员处5!000元以上5万元!以下罚款《。     (一)!对商用密码应用【安,全性评估结果施加】不当影响的; 【     (二)未!为商用密码应—用安全性《评,估活:动提供必要支—持,的,;     (三!)未按照要求—进行商用密码应【用安全?性评估结果》备案的 》第十九条 从事商用!密码应用安全性评估!监督管理工作—。的人员滥《用职权?、玩忽职守、徇私】舞弊或者《泄露:、非法向他人提供】在履行职责中知悉的!商业秘密、个人【隐私、?举报:人,信,息的依法给予处分 ! 第二十《条 本办法》施,行前正在建》设的重要网络—。与信息系统其—运营者应《当加强商用密码应用!方案编制论》证建设完善》商,用,。密码保障系统并按】照本办?法第八条《规定开展商》。用密码?应用安全性评—估     【本办法施行》前已经投入运行的重!要网络与信》息系统?其运营者应当—按照:本办法第《九条:规定开展商用密码】应用安全性评估 !第二十一条 本【办法自2023【年1:1月1日起施行【 :