《 ：商用密码应用—安全性评估管理【办法 国【家密码管理局令【。 ，。 第3号  【   商用密码应用！安全性评估管理【办法已？经，。2023年9月11！日国家密码》管理局局务会议审议！通过现予《公布自2023年】11月1日》起施行 局长【 刘东方 》 202《3年9月26—日， ：第一条？　为了规范商用密码！应用安全《性评估工作保障网络！与信息安全维—护国家安全》和社：。会公共利益保—。护公民、法》人和其他组织的合】法权益根据中华【人民共和国》密，码法、商用密码【管理条例等有—关法律法规制定本办！法 第二条—　本办法所称商用】密码应用安全性评】估是：指按照有关》法，律法规和标准规范】。对网：络，与信息系统使用【商用密码技术、【产品：。和服务的合》规性、正《确性、有效性进【行，检测分析和》评估验证的活动【 第？三条：。　，国家密码《管理局负责管理全】国的商用密码应用安！。全性评估工作县【级以：上地方？各级密码管理部门负！责管理本行政区域的！商用密码《应用安全性评估工作！  ？   国《。家机关和《涉及：商，用密码工作》的单：位，在其职？责范围内负责指导】、监督本机关、本】单位或者《本系统？的商：用密码应用安全性】。评，估工作 第四条】　从事商用密—码应用安《全性评估活动向社】会出具具有证明【作用的商用密码应】用安全性评估—数据：、结果的机构应当】经国家？密码管理局认定依法！取得商用密码检测】机构资质 第【五条　国家密码管】理局支持商用密【码，应用：。安全性评估技—术、标准、工具【创新：完善商用密码—应用安全性评估【。标准体系鼓励设立】商用密码应用安【全性评估行》。业组织加《强行业自律维—护行业秩序》 第？六条　？法律、行政法规【。和国家有关规定要】求使用商用》密码进行《保护的网络与—信息：系统（以下简称【。重要：网络：与信：息系统？）其运营者应—。。当使用？。商，用密：码进：行保护制定商用密码！应用：方案配备必要的资金！和专业？人员同步规划、同步！建设、同步运行商用！密码：保障系统并》定期开展商用密【码，应用安全性评估 】 第七条　》重要网络《。与信息系统规划【阶段其运营者应当依！照相关法律法—规和标准规范根【据商用？密码应？用需求制定商用密码！应用：方案规？划商用密《码保障系统 【    重》要，网络与信《。息，系统的运营》者应当？自，。行或者委托商用密】码检测机构对商用】密码应用方案进行商！用，密码应用安》全性评估商用—密码应用方案未通过！商用：密码应？用，安全性评《估的不得作为商【用密码保障系统的】建设依据 》 第：。八条　重要网—络与信？息系统建设阶段【其运营者应当按照通！过商：用密码应用安—全性评估的商用密】码应用方《案组织实施落—实商用？密码安全防护措施】建设商用密码保障】系统 《    重要—网络与信息》系统运行《前其运营《者应当？自行：或者委托商用密码检！。测机构开展》商用：密码应用安全性【评估网？络与信息系统未【通过商用密码应用】安全：。。性评估的运营—者应当进行》改造：改造期间不得投入运！行 第《九条：　重要网络与—信，息系统建成运行后】其，运营者应当自行或者！委托商用《密码检测《机，构每年至少开展一】次，商用密码应用安【全性评估确保—商用密码保》障系统正确有效运行！未通：过商用密码》应用安？全性：。。评，。估的运营者》应当进行《改造并在改造期【间采取必要措—施保证网《络与信息系统—运行安全 第【十条：　对商用密码—应用方案开》展，商用：密码应用安全性评】估应：当包括以下》。。内容  》。。   （一）考量】商用：密码应用需求的全面！性、：合理性和针对—。性对照相关标准【规，范选：取适用指标的准确性！以及不适用指标论】证的充？分，性；   —  （二）分—析商用？密码应？用流：程和机制是否具备可！实施性、商用密码】保护措施《是否达到相》应的商用密》码应：用要求、《相关：描，述是否详尽；  ！   （三）论证商！用密：码技：术、产品和》。。服，务选用？的合规性《密钥管理的》。安全性以《及使用商用密码解】决安全风险》。的科学性； —     （—四）编制形成商【用，密，码应用安全性—评，估报告 第十【一条　对建设完成】的网络与信》息系：统开展商用密—码应用？安全性评估应—当包括以下内容【     （【一）对？照商用密码应用方】案了解网络与信息】系，统基本情况准确划定！评估范围； —   ？  （？。二）确定《评估指？标及评估对象论证】编制商用密码应【用安：全性评估实》。施方案；   】  （三《）依据商用密码应】用安全性评》估实施方案开展【现，。场评估？做好数据采集和信】息汇总研判》商用密码《保障系统配置及运行！情况；    】 （四）《根据客观凭据逐项】对评估指标进—行判定编制形成【商用密码应用安全】性评估报告 — 第十二条》　运营者开展商用密！码应用？安，全性评估活动应当遵！守法：律法规、《。标准规范要求遵【循客观？实际：、科学公正、诚实信！用原则委托》商用密码检测机构开！展，商用密码应用安【全性评估的不得对】评估结果施加不当】影，。响并：应当提供以下支持】   《  （？一）对？网络：与信息系《统的重要数》据进行备份；—     —（二）提供完—整，有效的网络与信息系！统设备清单》。。和网络拓《扑；：     （三】）提供？详细：。的网：。络与信息系统—商用密码应用—方案、密码相关管】理制度和密码配置、！运行、维护记—录；   —  （四）提供商用！密码产品管理入【口、网络交》换设备接入端口等】相关信息《、数据接入分—析条件并《。配合进行数据采集】；     【（五）安排网络与】信息系统相关网络】管理员？。、系统管理员—。。、密钥管理员、密码！安全审计员、密码操！。作员：等做好配合；—。     （六】）其他需要配合【的，事项 第》十三条　《自行开展商用—密码应用安全—性评估的《网络与信《息系统其运营者应】当符合以下要求 ！    （一—）具有与开展商用】密码应用安》全，性，评估活？动相适应的》设备设施《；  《 ，  （二《）具有？与开展商用密—码应：用安全？性评估活动》相适应的项目—管理、质量管理、】。人员管理、》档案管理《、安全？保密管理等规章【制度；   【。  ：（，。三）具？有，与开展？商用密码《应用安全性评估活动！相适应？的专业人《员；    【 （四）具》有与开展商用密码应！用安全性评估活动】相适应的专》业能力 《     自行开】展商：用密码应用安全性】评估形成《的商用？密码应用《安全性？。评，。估报告应当》符合相？关国家？标准、行业》标准和？。有关规定的要求由】。本单位密码或者网】络安：全负责人签》。字确：认并加盖本单位公】章     运营！者应当对《商用密？码应用安全性评【估原始记录》。和商用密码应用【安全性评估报告归档！留存保证《其，具有可追溯》性，商用密码应用安全】性评：估原始记录和商【用密码应用安全性】评估报告的保存【期限不得少于6年 ！ 第：十，四条　重要网络【。与信息系统的—运营者应当在商用】。密码应用安全—性评估报告形—成后30日内将评】。估报告？和相关工作情况按照！国家有关规定报送】国家密码管理局或者！。网络与信《息系统所在地省、自！治，区、直辖市》密码管理《部，门备案？    》 国家密码管理局或！者，。省，、，自治区、直辖—市密码？管理部门对商用密码！应用安全《性评估结果》备案材料进行形式】审，。查形式审查未通过】的相关运营者应【当重新提交》备案材料 —    国家密码】管理局？可以对商用密码应】用安全性评估结果进！。行，抽样检查抽样检【查，不合格的相关运营】者应当重新开展【商用密码应用安【全性评估  【 ，  省、《。自治区、直辖市【密，码，管理部门《应当按季度向国【家密码管理局报送本！地区商用密》。码应用安全》。性评估工作开展情况！ 第？。十五条　运营者发】。现密码相关重—大安：全事件、重大—密码安全隐患或者】特殊紧急情况—的应当及时向国【家密码管《理局或者网络—与信息系统所在地】。省、：自治区、直辖市密码！管理部？门报告并启动应急】处置方案必》要时：开展：商，用密码应用安全【性评估？ 第十六条　县】级以上地方各级【密码：管理部门、国家【机关和涉及商用【密码工？作的单？位可以？根据工作需要对本】地，区、本机关、本单】位或者本系统的【重要网？络与信息系统商用】密，码应用安全》。性评：估情况开展专项检】查 ： 第：十七条　重》要网：络与信息《系统的运《营者违反中华人民共！和，国，密码法、商用密码管！理条例和本办法规】定有下列情形—之一：的由：密码管理部》门，责令改正给予警告】；拒不改正或者有其！他严重情节的处10！万，元以：上10？0，万元以下罚款对直】接负责的主管人【员，处1万元以》上10万元以—下罚款 》    （一—。），重要网络与信息系统！规划：阶段未对商》。用密码？应用方案《进行商用密码应【用安：全性评估的； 】  ： ， （二？。）重要网《络与信息系》统建设阶段》未按照通过商用密】码应用安全性—评估：的商用密码》应，用，方案建设商用—密码保障系统的；】。     （【三）重要网》络与：信息系统运行前未开！展商：用密码应用》安全性评估》的；     】（四）重要网—络与信息系统—。运行前未通过商【用密码应《用安全性评估且【未进行改《造的：；    — （五？）重要网络与信息系！统建：成运行后未定期开】展商用密码应用【安全：性评估的； —。     （六）】重要网络与信息系】统建成？运行后未通》。过定期开展的商用】密码应用安全—性评估且未进—行改造的；   ！  （七）违—反法律法规、标准】规范要求《开展商？用密码应用》安全性评估的—；    — （八）《不符合？相关要求自行开展】商用密码应》用安全性评估的【 第？十八条　重要网络与！信息系统的运营者】违反本？办法规定《有下列情形之一的】由密码管理部—门责令改正；—逾期：未改正或者改正后仍！不符：合要求的处1—万元以上10万元】以下罚？款对直接负责的【主，管人员？处5000》元以上5万元以下】罚款 《。    《。（一）对商》用密码应用安全【性评估？结果施加不当影【响的；？    》 （二？）未为？商用密码《。应用：安全性评估》活动提供必要支持的！；   》 ， （三）未》。按照要求进行商用密！码应用安全性评估结！果备案的 —第十九条　从事【商用密码应》用安全性评估监督】管理工作《的人：员滥用职权、玩忽职！守、徇私舞》弊，或者泄露、非法向】他人提供在履行职责！中，知悉的商业秘密【、个人隐私、举报】人信息的依法给予处！分 ： 第二十条》　，本，办法施？行，前正在建设的重要网！络与信息系》统其运营者应当加】强商用密码》应用方案编制—论证建设完善商用】密码保障系统并【按照本办法》第，。八条规定开展商用】密码应用《。安全性评估  】  ： 本办法施行前已经！投入运行的重要网络！与信息系统其运营者！应当按照本》办法第？。九条：规定开展商》用密码应《用安全性评估 第！二十一条　》本办法自20—23年11月1日起！施行 ？ ，