商用密！码应用安全性评【估管理办法 ！国家密码管理—局令 第》3号：     商用】密码应？用安全？性评估管理办法已经！2023年9月11！。日国家密码管理局】局务会议审议通【过现：予公布自《2023年1—1月：1，日起施行 局【。长， 刘东方《 2023年9】月26日 第一条！　为：了规范商用密码应用！安全性评估工作保】障网：络与信息安全—维护：。国家：安全和社《会公共利《益保：护公民、法人和其】。他组织的合法权益】根据：中华人民共和国密】码，法、商用密码管理条！例等有关法》律法规制定本—办法： 第二条　本办】法所：。。。称商用？密码应？用安全性评》估是指按照有关法律！法规和标准规范【对网：络，与信息系统使—用商用？密码技？。术，、产品和服务—的合规性、正确【性、有效性进行检】测分析和评估验【证的活动《 第？。三条　国家》密码管理局》负责管理《全国的商用密码应】用安全性评估工作】县级以上地方各级】密，码管理部门负责管】理，本行政区域的商【用密码应《用安全性评估—工作     】国家：机关和涉及商—用密码工作的单位】在其职责范围内【负责指导、监督【本机关、本》单位或者本系—统的商用密码应用安！全性评估工作— 第？四条　从《事商用密码应用安】全性评估活动向社】。会出：具具有证明作用的】商用密码应用安全】性评估数据》、结果？的机构应当经国家密！码管理局认定依法取！得商用密《码检测机《构资质 第五条】　国家密《码管理局支持商【。用密码应用安—全性评？。估技术、标准、工具！创新完善商用密码】应用安全性评估【标准：体系鼓励设立商用】。密码应用安全性评】估，行业组织加强行业自！律维护行业秩序 ！第六条　法律—、，行政法规和国家有】关，规定要求使用商用密！。码进行保护的网络与！信息系统（以下【简称重要网络与信】。息系统？），。其运营者应当—使用商用密码进行】保护制定商用密码】应，。用方：。案配备必《。要的资金和》专业人员同步—规划、同《步建设、同步—。运行商用密码—保障：系，。统并定期开展—商用密码应》用安全性《评估： 第七条　重要】网络与信息》系统规？划阶段其运营者应】当依照相《关法律法规和标【准规：范根据商用密码【应用需？求制定商用密码【应用方案规划商【用密码保障系统 】。   ？。  重要网络与信息！系统的运营者应【当自行或者委托商用！密码检测机构对商用！密码应用《方案进行商用—密码应用安全—性评：估商用密码应用【方案未？通过商用密码应用安！全性：评估的不得》作为商用密码—。保障系统的建—设依据 》第八条　重》要网络？与信息系统建设阶段！其运：营者应当按照通过】商，用密码应用安全性】评估：的，商用：密，码应用方案组织实施！落实商用密码—安全防护措施建【。设商：用，密码：保障：系统    【 重要网络与—。信息系统运行—前其：运营者？应当自行或》者委托商用》密码检测《机构开展《商用密码应用安【全，性评估？。网，络与信？息系统未通过—商用密码《应用安全性评估【的，运营者应当》。进行改造改造期【间不：得投入运《行 第《九条：。　重要网络》与信息系统建成运行！后其运营者应当自行！或者委托《商用密码《检测机构每年至【少开展一次商用密】码应用安全性评估确！保商用密码》保障系统正确有【效运行未通过—商用密码应用安全性！评估：的运营者应当—进行改？造并在改造期间【采取必要《。措施保证网络与信】息系统运行安全 】 第十条《　对商用《密码应？用方案开展商用密】码应用？。安全性评估应—当包括以下内容【     （一】）考量商用密码【应，用需求的全面性、】。合理性和针》对性对照相关标准规！范选取适用》指标的准确》性以及？不适用指标论—证的充分性》； ：  ：   （二）分【析商用密码应用流程！和机制是否具备【可实施性、商用密】码保护措施是否达到！相应的商用密码应】用要求、相关—描述是否详尽； ！    （三）论】证商用？密码技术、》产品和服《务选用的合》规，性密钥管理》的，。安全性？。以，。及使用商用密码【解决安全风》险的科学性； 】    （四）编】制形成商用密码【应用安全性评估【报告 第十一条】　对：建，设完成的《网络与？信息系统开》展商：用密码应用安—全性评估《。应当包括《以，下内容    】。 （一）对照商用密！码应用方案了解网】络与信息系统基本】情况：准确划定评估—范围；     ！（二）确定评估【。指标及？评估：对象论？证编制商《用，密，。码应用？安全性评估实施方案！；     （三！）依：据，商用密码应用安全】性评估实施方案【开展现场评估做【好数据采集和信息汇！总研：判商用密码保障系】统配置？及运行情《。。况；  》  ： （：四，），根据客观凭据逐项对！评估指标进行判【定编制形成》商用：密码应用安全性【评估报告 第十二！条　运营者开展商】用密码应用安全性】评估活动应当遵守】。法律法规、标准规】范要求遵《循，客观实际、科—学，公，正、诚实信》用原则委托商用密】码检测机构开—展，商，用，密码应用安全性评】。估的不得对评估【结果施加不当—影响并？应当提供以下支持 ！   ？  （一）对网【。络，与信息系统的重要数！据进行备份；  ！。   （二》）提供？完整有效的网—络与信息《系，统设备清单和网络拓！扑；     】（三）提供详细的网！络与信息系统商用】密码应？用方案？、密：码相关管理制度【和密码配置、运行】、维护记录； 】。   ？ （四）提》供商用密码产品管理！入口、网络交换设备！接入端口等相关【信息、数据接入分】析条件并《配合进行数》据，采集；  —   （五）安排】网络与信息》。。系统相关网络—管理员、《系，统管理员、》密钥管理员》、密码安全审计【员、密码操作员等】做好配？合；  》  ： （六？），。其他需要配合的【事项 ？ 第十三《条　自行开》展，商用密码《应用安全性评—估的网络与信—息系统其运》。营者应当符合以下要！求 ？    （一）【具有与开展商用密】码，应用安？全性评估《。活动相？适应的设备设施；】     （二】）具有与开展—商用密码应用安全】。性评：估活：。动，相适应的项目管理、！。质量管理、人—员管理、档案—管理、安全保—密管理等规章制度】；     【（，三）具有与开展【。商用密码应用安【。全性评估《活动相？适，应的专业《人，员；：     （四】）具有与开展商用】密码应用安全—。。性，评估活动相适应的专！业能力？ ：。    自》行开展？商用密？码应用安全性评估】形成的？商用密码《应用安全性评—估报告应当》符合相？关国家？标准、行业标准【和有关规定的要求由！本，。单位密码或》者网络？安全负？责人：签字确认《并加盖本《单位公章 》    《 运营者应当对商用！密码应用安全性评估！原始记录《和，商用密码应》用安全性评估报告归！。档留存保证》其具有可追溯—性商：用密码应用安—全性评估原始—记录和商用密—码应用安《全性评估报告的【保存期限不得少于】6年 第十四【条　重要网络与信息！系统的运营者应【当在商用密》。码应用安全性评估】报告形成后》30日内将评估报告！和相关工作情况【按照国家有关—规定报送《国家密码管理—局或者网络与信息】系统所在地省、【自治区、直辖市密码！管理部门备案 【     》。国家密？码管理？局或者？省，、自治区、直辖市密！码管理部门对商【用密码应用》安全性评估结果备】案材料进行形—式审查形《式审：查未通过《的相关？运，营者应当重新—提交备案《材料  》   国家》密码管理局可—以对商用密码应用安！全性评估《结，果进行？抽样检查抽》样检查不《合格的相关运营者】应当重新《开展商？用密码应用安全【性评估     ！省、自？治区、直辖市密码】管，理部门应当》。按季度？向国家密码》管理局报送》本地区商用密码应用！安全性评估工作开展！。情，况， ， 第十五条　—运营：者发：现密码？。相关重？大安：全事件？、，重大密码安》全隐患或者》特殊：。紧急情况的应当及】时向国家密码管【理，局或者？网，络，与信息系统所在【。地省、自《治区、？直辖市密码管理部】。门报：告并启动应急处置方！案必要时开展商用密！码应用安全》性评估 第十【六条　县级以上地】方各级？密码管理部门、国家！机关：和涉及商用密码工】作，的单位可以根—。据工作？需要对？本地区、本机—关、本单位或者本系！统的重要网络与【信息系统商》。用密码应用安全性】评估情？况开展专项检—查 第十七条【　重要网络与信息】系统的运营者—违反中华人民共和】国密码法、商用密码！管理条例《。和，本办法规定有下列情！形之一的《由密：码管理部门责令【改正给予《警告：；拒不改正或者【有其他严《重情节的处1—0万：元以：上100万元以【下罚款对直接负责的！主管人员处1—万元以上1》0万：元以下罚款  】   （一）重要】。网，络与信息系统规【划阶段未对商用【密码应用方案进【行商：用密码应用安全性评！估的：； ：     （二【。。）重要？网络与信《息系：统建设阶段未按【照，通，过商用密码应用安】全性评估的》商用密码应用方案建！设商用密《码，保障系？统的；    】 （三）重要网络】与信息系统》运行前未开展—商用密码应用安【全，性评估？的； 《。 ，   （《四）重要网络与信】息系统运《行前：未通过商用密—码应用安全性评估且！未进行改造的； 】 ，。。   ？ （五）重要—网络与信息系统建】成运行后未定期【开展商用《密码：应用安全《性评估？的； ？  ：   （六）重要】网络与信息系—统建成运行后未通过！定期开展《的商用密码应用安】全性评估且未进行改！造的；  —  ： （七）违》。反法律法《规、标准规》范要求开展商用密码！应用：。安全性？评估：的；     （！八）不符《合相关要求自行开】展商用密码应用【安全性评估的 】第十八？条，　重要网络与信息系！统的：运营者违反本办法规！定有下列情形之一】的由：密码管理《部门责令改正—；逾期未改正或者改！。正后仍不符合要【求的：处1万元以上10】万元以下罚款对直接！。负责的？主管人员处50【00元？以上5万元》以下罚款 》     （一）对！商用密码应》用安全性评估结【果施加不当影—响的； 》    （二）【。未为商用密码应用安！全性评估活》动提供必要支持的】；  《   （三》。）未：按照要求进行商【用密码应《用安全性评估—结果备案的 第十！九条　从事商用密】。码，应用安全《性评估监《督管理工作》的人：。员滥：用职权、《玩，忽职守、徇》私舞弊或者泄露【、非法向他》人，提供：在履行？职责中知悉的—商，业秘密、个》人隐私、《举，报，人信息的《依，。法给予处分 — ，第，二十条　本办—法施：行前正在建设—的重要网络与信【息系统其运营者【应当加强《商用密码应》用方案编《制论证建设》。完善：商用密码《保障系统并》按照本办法》第八条规定》开展商用密码应用】。安，全性评估    ！ 本办？法施行前已经投入】运行的重要网络与】。信息：系，统其运营者》应当按照本办—法第九条规定开展】商用密码应用—安全性？评估 ？ 第二十一条　本】。办法自2023年】11月1日》起，施行 《