商用密碼應用安全性評估管理辦法
(國家密碼管理局令第3號)
國家密碼管理局令
第 3 號
《商用密碼應用安全性評估管理辦法》已經(jīng)2023年9月11日國家密碼管理局局務(wù)會(huì )議審議通過(guò),現予公布,自2023年11月1日起施行。
局 長(cháng) 劉東方
2023年9月26日
商用密碼應用安全性評估管理辦法
第一條 為了規范商用密碼應用安全性評估工作,保障網(wǎng)絡(luò )與信息安全,維護國家安全和社會(huì )公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國密碼法》、《商用密碼管理條例》等有關(guān)法律法規,制定本辦法。
第二條 本辦法所稱(chēng)商用密碼應用安全性評估,是指按照有關(guān)法律法規和標準規范,對網(wǎng)絡(luò )與信息系統使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規性、正確性、有效性進(jìn)行檢測分析和評估驗證的活動(dòng)。
第三條 國家密碼管理局負責管理全國的商用密碼應用安全性評估工作??h級以上地方各級密碼管理部門(mén)負責管理本行政區域的商用密碼應用安全性評估工作。
國家機關(guān)和涉及商用密碼工作的單位在其職責范圍內負責指導、監督本機關(guān)、本單位或者本系統的商用密碼應用安全性評估工作。
第四條 從事商用密碼應用安全性評估活動(dòng),向社會(huì )出具具有證明作用的商用密碼應用安全性評估數據、結果的機構,應當經(jīng)國家密碼管理局認定,依法取得商用密碼檢測機構資質(zhì)。
第五條 國家密碼管理局支持商用密碼應用安全性評估技術(shù)、標準、工具創(chuàng )新,完善商用密碼應用安全性評估標準體系,鼓勵設立商用密碼應用安全性評估行業(yè)組織,加強行業(yè)自律,維護行業(yè)秩序。
第六條 法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的網(wǎng)絡(luò )與信息系統(以下簡(jiǎn)稱(chēng)重要網(wǎng)絡(luò )與信息系統),其運營(yíng)者應當使用商用密碼進(jìn)行保護,制定商用密碼應用方案,配備必要的資金和專(zhuān)業(yè)人員,同步規劃、同步建設、同步運行商用密碼保障系統,并定期開(kāi)展商用密碼應用安全性評估。
第七條 重要網(wǎng)絡(luò )與信息系統規劃階段,其運營(yíng)者應當依照相關(guān)法律法規和標準規范,根據商用密碼應用需求,制定商用密碼應用方案,規劃商用密碼保障系統。
重要網(wǎng)絡(luò )與信息系統的運營(yíng)者應當自行或者委托商用密碼檢測機構對商用密碼應用方案進(jìn)行商用密碼應用安全性評估。商用密碼應用方案未通過(guò)商用密碼應用安全性評估的,不得作為商用密碼保障系統的建設依據。
第八條 重要網(wǎng)絡(luò )與信息系統建設階段,其運營(yíng)者應當按照通過(guò)商用密碼應用安全性評估的商用密碼應用方案組織實(shí)施,落實(shí)商用密碼安全防護措施,建設商用密碼保障系統。
重要網(wǎng)絡(luò )與信息系統運行前,其運營(yíng)者應當自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。網(wǎng)絡(luò )與信息系統未通過(guò)商用密碼應用安全性評估的,運營(yíng)者應當進(jìn)行改造,改造期間不得投入運行。
第九條 重要網(wǎng)絡(luò )與信息系統建成運行后,其運營(yíng)者應當自行或者委托商用密碼檢測機構每年至少開(kāi)展一次商用密碼應用安全性評估,確保商用密碼保障系統正確有效運行。未通過(guò)商用密碼應用安全性評估的,運營(yíng)者應當進(jìn)行改造,并在改造期間采取必要措施保證網(wǎng)絡(luò )與信息系統運行安全。
第十條 對商用密碼應用方案開(kāi)展商用密碼應用安全性評估,應當包括以下內容:
(一)考量商用密碼應用需求的全面性、合理性和針對性,對照相關(guān)標準規范選取適用指標的準確性,以及不適用指標論證的充分性;
(二)分析商用密碼應用流程和機制是否具備可實(shí)施性、商用密碼保護措施是否達到相應的商用密碼應用要求、相關(guān)描述是否詳盡;
(三)論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規性,密鑰管理的安全性,以及使用商用密碼解決安全風(fēng)險的科學(xué)性;
(四)編制形成商用密碼應用安全性評估報告。
第十一條 對建設完成的網(wǎng)絡(luò )與信息系統開(kāi)展商用密碼應用安全性評估,應當包括以下內容:
(一)對照商用密碼應用方案,了解網(wǎng)絡(luò )與信息系統基本情況,準確劃定評估范圍;
(二)確定評估指標及評估對象,論證編制商用密碼應用安全性評估實(shí)施方案;
(三)依據商用密碼應用安全性評估實(shí)施方案,開(kāi)展現場(chǎng)評估,做好數據采集和信息匯總,研判商用密碼保障系統配置及運行情況;
(四)根據客觀(guān)憑據逐項對評估指標進(jìn)行判定,編制形成商用密碼應用安全性評估報告。
第十二條 運營(yíng)者開(kāi)展商用密碼應用安全性評估活動(dòng),應當遵守法律法規、標準規范要求,遵循客觀(guān)實(shí)際、科學(xué)公正、誠實(shí)信用原則。委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估的,不得對評估結果施加不當影響,并應當提供以下支持:
(一)對網(wǎng)絡(luò )與信息系統的重要數據進(jìn)行備份;
(二)提供完整有效的網(wǎng)絡(luò )與信息系統設備清單和網(wǎng)絡(luò )拓撲;
(三)提供詳細的網(wǎng)絡(luò )與信息系統商用密碼應用方案、密碼相關(guān)管理制度和密碼配置、運行、維護記錄;
(四)提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò )交換設備接入端口等相關(guān)信息、數據接入分析條件,并配合進(jìn)行數據采集;
(五)安排網(wǎng)絡(luò )與信息系統相關(guān)網(wǎng)絡(luò )管理員、系統管理員、密鑰管理員、密碼安全審計員、密碼操作員等做好配合;
(六)其他需要配合的事項。
第十三條 自行開(kāi)展商用密碼應用安全性評估的網(wǎng)絡(luò )與信息系統,其運營(yíng)者應當符合以下要求:
(一)具有與開(kāi)展商用密碼應用安全性評估活動(dòng)相適應的設備設施;
(二)具有與開(kāi)展商用密碼應用安全性評估活動(dòng)相適應的項目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規章制度;
(三)具有與開(kāi)展商用密碼應用安全性評估活動(dòng)相適應的專(zhuān)業(yè)人員;
(四)具有與開(kāi)展商用密碼應用安全性評估活動(dòng)相適應的專(zhuān)業(yè)能力。
自行開(kāi)展商用密碼應用安全性評估形成的商用密碼應用安全性評估報告,應當符合相關(guān)國家標準、行業(yè)標準和有關(guān)規定的要求,由本單位密碼或者網(wǎng)絡(luò )安全負責人簽字確認并加蓋本單位公章。
運營(yíng)者應當對商用密碼應用安全性評估原始記錄和商用密碼應用安全性評估報告歸檔留存,保證其具有可追溯性。商用密碼應用安全性評估原始記錄和商用密碼應用安全性評估報告的保存期限不得少于6年。
第十四條 重要網(wǎng)絡(luò )與信息系統的運營(yíng)者應當在商用密碼應用安全性評估報告形成后30日內,將評估報告和相關(guān)工作情況按照國家有關(guān)規定報送國家密碼管理局或者網(wǎng)絡(luò )與信息系統所在地省、自治區、直轄市密碼管理部門(mén)備案。
國家密碼管理局或者省、自治區、直轄市密碼管理部門(mén)對商用密碼應用安全性評估結果備案材料進(jìn)行形式審查。形式審查未通過(guò)的,相關(guān)運營(yíng)者應當重新提交備案材料。
國家密碼管理局可以對商用密碼應用安全性評估結果進(jìn)行抽樣檢查。抽樣檢查不合格的,相關(guān)運營(yíng)者應當重新開(kāi)展商用密碼應用安全性評估。
省、自治區、直轄市密碼管理部門(mén)應當按季度向國家密碼管理局報送本地區商用密碼應用安全性評估工作開(kāi)展情況。
第十五條 運營(yíng)者發(fā)現密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的,應當及時(shí)向國家密碼管理局或者網(wǎng)絡(luò )與信息系統所在地省、自治區、直轄市密碼管理部門(mén)報告,并啟動(dòng)應急處置方案,必要時(shí)開(kāi)展商用密碼應用安全性評估。
第十六條 縣級以上地方各級密碼管理部門(mén)、國家機關(guān)和涉及商用密碼工作的單位可以根據工作需要,對本地區、本機關(guān)、本單位或者本系統的重要網(wǎng)絡(luò )與信息系統商用密碼應用安全性評估情況開(kāi)展專(zhuān)項檢查。
第十七條 重要網(wǎng)絡(luò )與信息系統的運營(yíng)者違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法規定,有下列情形之一的,由密碼管理部門(mén)責令改正,給予警告;拒不改正或者有其他嚴重情節的,處10萬(wàn)元以上100萬(wàn)元以下罰款,對直接負責的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款:
(一)重要網(wǎng)絡(luò )與信息系統規劃階段,未對商用密碼應用方案進(jìn)行商用密碼應用安全性評估的;
(二)重要網(wǎng)絡(luò )與信息系統建設階段,未按照通過(guò)商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統的;
(三)重要網(wǎng)絡(luò )與信息系統運行前,未開(kāi)展商用密碼應用安全性評估的;
(四)重要網(wǎng)絡(luò )與信息系統運行前,未通過(guò)商用密碼應用安全性評估且未進(jìn)行改造的;
(五)重要網(wǎng)絡(luò )與信息系統建成運行后,未定期開(kāi)展商用密碼應用安全性評估的;
(六)重要網(wǎng)絡(luò )與信息系統建成運行后,未通過(guò)定期開(kāi)展的商用密碼應用安全性評估且未進(jìn)行改造的;
(七)違反法律法規、標準規范要求開(kāi)展商用密碼應用安全性評估的;
(八)不符合相關(guān)要求自行開(kāi)展商用密碼應用安全性評估的。
第十八條 重要網(wǎng)絡(luò )與信息系統的運營(yíng)者違反本辦法規定,有下列情形之一的,由密碼管理部門(mén)責令改正;逾期未改正或者改正后仍不符合要求的,處1萬(wàn)元以上10萬(wàn)元以下罰款,對直接負責的主管人員處5000元以上5萬(wàn)元以下罰款:
(一)對商用密碼應用安全性評估結果施加不當影響的;
(二)未為商用密碼應用安全性評估活動(dòng)提供必要支持的;
(三)未按照要求進(jìn)行商用密碼應用安全性評估結果備案的。
第十九條 從事商用密碼應用安全性評估監督管理工作的人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個(gè)人隱私、舉報人信息的,依法給予處分。
第二十條 本辦法施行前正在建設的重要網(wǎng)絡(luò )與信息系統,其運營(yíng)者應當加強商用密碼應用方案編制論證,建設完善商用密碼保障系統,并按照本辦法第八條規定開(kāi)展商用密碼應用安全性評估。
本辦法施行前已經(jīng)投入運行的重要網(wǎng)絡(luò )與信息系統,其運營(yíng)者應當按照本辦法第九條規定開(kāi)展商用密碼應用安全性評估。
第二十一條 本辦法自2023年11月1日起施行。