？ ， 商用密码应用】。安全性评估管理【办法 ？ ？国家：。密码管理局令 【 第3？号    — 商：用密码应用安—。全性评估管理办法】已经2023年9】月1：1日：国家密码管理局局务！会议审议通》过现予公布自202！3年11《月1日起施行— 局？长 刘东方 — ，202？3年9月《2，6日 《第一条　为了规范】商用密码应用—安全性评估工作保障！网络与信息安—。全维护？。国家：安全和社会公—共，利益保护公》民，、法：人和：其他：组织的合法权益根据！中华：人，民共：和国密码法、商【用密码管理条例等有！关法律法规制定本办！法 第《二条：　本办法《所称商用密码—应，用安全性评估—是，指按：照有关法律法规和标！准规范对网络与信】息系统使用商用密】码技：术、产品和》服务的合规性、正确！性、有？。。效性进行检》测分析和评估验【。证的活动 》 第三条　国家密】码管理局负责管理全！国的商用密码应用】安全：性评估？工，作县级以上地方【各级密码管理部门】负，责管：理本行？政区域的商》用密码应用安全性】评，估工作   【 ， 国家机《关，和涉及？商，用密码工《作，的单位在其职责【范围：内负责指导、监督本！机关、本单位—或者：本系统的商》用密：码，应用安全性评估【工作 第四条　从！事商用密码应用安】全性评估《活动向社会出—具具：有证明作用》的商用？密码应用安全性【评估数据《、结果？的机构？应当经国家密码管】理局认定依》法取得商《用密码检测机构【资质 第五条【　国家密码管理局】支持商用密码—应用安全性评估技】术、标准、》工具创？新完善？商用密码应用安全性！。评估标准体系—鼓，励设立商用》密码应？用安全性评估行【业组织加强行业自律！维，护行业秩序》 第六条　法律、！行政法规和》国家有关《规定要求使用—商用密码《进行保护《的网络与《信息系统（以—下，简称重？要网络与信息系统）！其运营者应当使【用，商用密？码，进行保护制定商【用密：码应用方案配备必要！的资金和《专业人员同步规划、！同步建设《、同步运行商—用密码？保障系统并》定期开展商用密码应！用安全？。。。。。性评估 》第七：条　重要网络与【信息系统规划阶段】。。。其运营？者应当？依，照相：关法律法《。规和标准《规范：根据商用密码应用需！求制：。定商用密码应用【。方案规划商用密【码保障系《统， ，   ？  ：重要网络与信息系】统的运营者应—。当自行？或者委托《商用密码检》。测机：构对商？用密码应用》方案进？行商用密《码，应用安全性评估【商，用密码应用方—。案未通过商用密码】应用：安，全性：。评估的不得作为【商用密码《保障系统的建设依】。据 ： 第八条　重要网络！与信息？。。系统建设阶段—其运营者应》当按照通过商用密】码，应用安？全性：评估的商用密码应用！方案组织实施落【实商用密码安—全防护？措施建设商用密【码，保障系统 —    重要—网络与信息系统【运行前其运营者应】。当自行或者委托商用！。密码检测《机构开？展商用密码应用安全！性，评估网络与信息系统！未通过商用密码应】用安全性评估的运营！者应当进行改—造改造期间》不得投？入运行？ ， 第九条　重要网络！与信息？系统建成《运行后其运营者【应当自行或者委托】商用密？码检测机构》每年至少开展一【次商用密《。码，应用安全性》评估确保商用密码】保障系统正》确有效运行未通过商！。用密码应用安全【。性评：估，。的运：营者应当进行—改造并在改造期【间采取必要措—施保证网《络与信息系统运行】安全 ？ 第十条《　对商用密码—应用方案《开展商？用密：码应：用安全性评估应【当包括以下内容 】  ：   （一）考量商！用密码应用需求的全！面性、合《理性和针《对，性对照相关标—准规范？选取：适用指？标的准？确性以及《不适用指标论证的】充分性；    ！ （二）分析商用】密码应用流》程，和机：。制是否具备可—实施性、商用—密码保护措施是【。否达到？相应的商《用密：码应用？要求、相关描述【是否详尽； —     （三）】论证商？用密码技术》、产品和服务选【用，的合规性密钥管理】的安全性以及使用】。商用密码解决安【全风险的科学—性；     】（四）编制形—成商用？密码应用安》全性评？估，报告 《第十一条　》对建设完成》的网络与信息系【统开展商用密码应】用，。安，全，性，评估应当《包括以下内容 】    （》。一）：对照商用密码应用】方案了解网络与信息！系统基本情况—准确划定《。评估范围； 【    （二—）确定评估指标【及，评估对象论证编制商！用密码应《用安全性《评估实施方》案，。； ？  ：  （三）依据【商用：。密码应用安全性【评估实施方案开展】现场评估做好数据采！集和信息汇总研【判商用密码保—障系：统配置？及运行情况；—     （四）！根据客？观凭据逐项对评估指！标进行判定》编制形成商用密【码应用？。安全性评估报告【 第十二条—。　运：营者开展《商用密码应用安全】性评估活动应当遵】守法律法《规、标准规范要求】遵循客观《实际、科学公—正、诚实信》用原则委托商用密码！。检测机构开展商用】密码：应，用安：全性评估的不得对评！估结果施加》。不当影响并应当提供！以下支持   】  （一）对网【络与信息系统的重】要数据？。进行备份； 【    （二）【提供完整有效的网络！与信息系统设备清】单和网络拓扑；【 ， ，   ？ （三）提供—详，细的网络与》信息系统商用密码】应用：方案、密码相关管理！制度和？密，码配置？、运行、维护记录；！     —（四）？提供商用密》码，产，品管理入口、网络】交换：设备接入端口等【相关信息、数据接】。入分析条件并配【合进行数据采集【； ？    《。（五）安排网络【。与信息系统相—关网络管理员、系】统管理员、》密钥管理员、密码安！全审计？员、密码操作员等】做好配合； 【 ，。   （六）—其他需要《配合的事项 【第十三条　自—行开展商用密—码应用安全性评【估的网络与》信息系统其运营【者，应当符合以下要求 ！     》（一）具有》与开展商用密—码，应用安全性评—估活动相适应的设备！设施；？。    》 （二）具有与开】展商用密码应用安】。全性评估活动相【适应的项《目管理、质量管理】、人员管理、档【案管理？、安全保密管理【。等规章？制度； 》    （三）【具有与开展商用密码！。应用：安全性评估活动【相适应的专业人员；！ ，    《 （四）具有与开展！商用：密码应用安》全性：。评估：活动相适应》。的专业能力 【    自行开展商！用密码应用安全性评！。估形成的商用密码】应用：安全性？评估：报告应当符》合相关国家标—准、：行业标准和有关规】定的要求由本单位】密码或者《网络安全负责人签】字确认并加盖本【单位公章   】  运营《者应当对商用密【码应用安全》性评估原始》记录和商用密码应】用安全性评估报告】。归档：留存保证其具—有可追溯性》商用密码应用—安全：性评估原始记录和】商用密码应用安【全性：评估：报告的保存期—限不得少于6—年 第十四条　】。重要：网络与信息系统【的运营者应》当在商用密码—应用安全性评估报】告形成后30日【内，将评估报告和—相关：工作情况按》照国家有关》规定报送《国家密码管理局或】者网络与《信息系统所》在地省、《自治区、直辖市密码！管理部门《备案     】国，家密码管理局或者省！、自治区、直辖市】密，码管理部门对—商用密码应用安【。全性评估结果—备案材料进行形式审！。查形式审查未—通，过的相关运营者应】。当重新提交备案【材料  》   国家密码【管理：局可以对商用密码应！用安全性评估结【果，进行抽样检查抽【样检查？不合格的相关运营者！。。应当：重新开？展商用密《码，应用安全性评估【 ：  ：  省、自治区【、直辖市密码—。管理部门《应当按季度》向国家密码管理局】报送本地区商用密码！应用安全性评估【。工，作开展情况 — 第十五条　—运营者？发现密码相关—重大安全《事，件、重大密码安全】隐患或者特殊紧急】情，。况的应当及时向【国家密码管理局【或者网络《与信息系统所—在地省、自治区、】直，辖市密码管理—部门报告《并启动应急处—置方：案必要时开展商用】密码：应用安？全性评估 第十六！。条　县？级以上地方各—。级密：码管理部《。门、国家机关和涉及！。商用密码工》作的单位可以根【据工作？需要对本地区、【本机关？、本单位或者本系】统的：重要网络与》信息系？统商用密码》应用：安全性评《。估情：况开展专《项检查 第—十七条？　，重要网络《与，信息系统的运营者】违反中？华人民？共和：国密码？法、商用密》。码管理条《例和本办法规定【有下列情形之—一的由密码管理【。部门责令改正给予】警告；拒不改—正或者有其他严重】情节的处10万元以！上100《万元以下《罚款：对直接负责的—主管人员《处1万元以上—10万元《以下罚款 —。    （》。。一）：重要网络《与信息系统规划阶】段未：对商用密码》应用方案进行商用】密码：应用：安全性？。评估的？；     【（二）重要网络【与信息系统建设【阶段未按照通过【商用密码应用安【全性评估的商用密】码应：用方案建设商—用密码？保障系统《的；  》 ，  （三）重要网络！与信息系统运行前未！开展商用密码应【用安全性评估的【；，     （四】）重要网络与—信息：系统运行前未通过】商用密码应》。用安：全性评？估且未进行改造【的；  》   （《五）重要网络与信息！系统建成《运行后未定期—开展商用密》码应用安《。全性评估《的；     （！六）重要网络—与信息系统建成运】行后未通过定期【开展的商用密码应】用安全性评估且未】进行改造的； 】    （七）【违反法律法规—、标准规范要—求开：展商用密码应用安】全性评？估的；   【 ， ，（八）？不符合相关要求【自行开展商用密码】应用安全《性评：估的 第十八【条　重要网》络与信息《系统的运营者违反本！办法规？定有下列情形之一】的由密码管理—部门责令改正；逾】期未改正或者改正】后仍不符合要求的处！1万元以上10【万元以下罚款对直】接负责的《主管人员处500】。0元：以，上5万元以下罚【款 ？。    （一）对】商用密码《应用安全性》。评估结果施加不当影！响的：；    — （二）未为商用】密码应？用安：全性评估活动提【供必要支持》的；   —  ：（三：。）未按照《要求进行商用密码】应用安全性》评估结果备案的 ！第，十九条　从事商用】密码应用安全性评】估监督管理工—作的人员《滥用职权、玩忽职守！、徇私舞弊或者泄】露、非法向他人提供！。在履行职责中知悉】的商：业秘密、个人隐私、！举报人信《息的依法《给予处？分 ？第二十条　本办法施！行前正？。在，建，设的重要网络与信】息系统其运》营者应当加》强，商用：密码：应，用方案编制论—证建设完善商用密码！保障系统并按照【本办：法第：八条规？定开展商用密码应】。用安全性评》估     本】办法施行前已—经投入运行的重要网！络与信？息系统其运营—者应当按照本办法】第九条规《。定开展商用密码应】。用，安全性评估 第】二十一条　本办法】自，。2023年11【月1日起《施行 《