《商用密碼應用安全性評估管理辦法》解讀
根據《中華人民共和國密碼法》(以下簡(jiǎn)稱(chēng)《密碼法》)、《商用密碼管理條例》(以下簡(jiǎn)稱(chēng)《條例》)等法律法規,國家密碼管理局研究制定了《商用密碼應用安全性評估管理辦法》(國家密碼管理局令第3號)(以下簡(jiǎn)稱(chēng)《辦法》),現就《辦法》的有關(guān)內容解讀如下。
一、制定的必要性
商用密碼應用安全性評估是加強和規范商用密碼應用的重要抓手。隨著(zhù)《密碼法》頒布實(shí)施,商用密碼應用安全性評估制度依法確立,商用密碼應用安全性評估機構納入商用密碼檢測機構統一管理,新修訂的《條例》第三十八條、第四十一條進(jìn)一步明確了商用密碼應用安全性評估相關(guān)制度要求。為有效貫徹落實(shí)上位法規定,急需制定《辦法》,統籌細化商用密碼應用安全性評估對象范圍、責任主體、工作原則、程序內容、實(shí)施規范等規定,依法規范商用密碼應用安全性評估工作。2017年以來(lái),國家密碼管理部門(mén)組織開(kāi)展一系列商用密碼應用安全性評估試點(diǎn),在試點(diǎn)過(guò)程中,商用密碼應用安全性評估的基本要求和思路做法已逐步得到相關(guān)管理部門(mén)、運營(yíng)者和評估機構的認同,為《辦法》的制定奠定了堅實(shí)的實(shí)踐基礎。
二、總體思路
《辦法》的制定細化《密碼法》、《條例》關(guān)于商用密碼應用安全性評估工作主體、方式、程序、備案等方面要求,吸收繼承商用密碼應用安全性評估試點(diǎn)經(jīng)驗做法,結合工作實(shí)際,注重合法性、合理性和可操作性,力求做到內容完備、邏輯嚴密。主要體現了以下三方面思路:
(一)細化落實(shí)“三同步一評估”要求。按照《密碼法》、《條例》規定,《辦法》對依法應當使用商用密碼進(jìn)行保護的重要網(wǎng)絡(luò )與信息系統,明確要求同步規劃、同步建設、同步運行商用密碼保障系統,并定期進(jìn)行商用密碼應用安全性評估。細化商用密碼應用安全性評估要求,從規劃、建設、運行各個(gè)階段分別提出落實(shí)安排、明確評估程序及內容,建立起商用密碼應用安全性評估制度的基本框架。
(二)體現商用密碼應用安全性評估系統性原則。《辦法》將商用密碼應用方案評估、網(wǎng)絡(luò )與信息系統運行前評估、網(wǎng)絡(luò )與信息系統運行后定期評估統一納入商用密碼應用安全性評估工作體系,在實(shí)施中“按照同一套標準、遵循同一套程序、囊括同一套活動(dòng)”,確保重要網(wǎng)絡(luò )與信息系統全生命周期落實(shí)商用密碼應用安全性評估要求。同時(shí),將商用密碼應用安全性評估機構統一納入商用密碼檢測機構管理,進(jìn)一步體現工作的系統性整體性。
(三)明確商用密碼應用安全性評估實(shí)施依據。按照《密碼法》、《條例》關(guān)于運營(yíng)者自行或者委托商用密碼應用安全性評估機構開(kāi)展評估的規定,《辦法》分別明確了相關(guān)要求,并就兩者需共同遵守的行為規范作出規定,從而明確了商用密碼應用安全性評估活動(dòng)的實(shí)施依據,有助于規范提升商用密碼應用安全性評估工作質(zhì)量。
三、主要內容
《辦法》共21條。主要內容包括:
(一)總體要求。一是明確概念定義,商用密碼應用安全性評估是指按照有關(guān)法律法規和標準規范,對網(wǎng)絡(luò )與信息系統使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規性、正確性、有效性進(jìn)行檢測分析和評估驗證的活動(dòng)。二是規定管理體制,包括縣級以上各級密碼管理部門(mén)、國家機關(guān)和涉及商用密碼工作的單位的監督管理職權。三是明確對商用密碼應用安全性評估從業(yè)機構的資質(zhì)要求,以及對商用密碼應用安全性評估行業(yè)發(fā)展的保障支持。四是規定了商用密碼應用安全性評估的對象范圍。
(二)程序及內容要求。一是規定“三同步一評估”的總體要求。二是明確重要網(wǎng)絡(luò )與信息系統規劃、建設、運行各階段的商用密碼應用安全性評估的程序要求。三是針對商用密碼應用方案、網(wǎng)絡(luò )與信息系統兩類(lèi)不同對象,分別提出商用密碼應用安全性評估的內容要求。
(三)實(shí)施規范。一是規定開(kāi)展商用密碼應用安全性評估的通用行為規范和運營(yíng)者委托開(kāi)展評估的支持配合義務(wù)。二是規定運營(yíng)者自行開(kāi)展商用密碼應用安全性評估的基本要求與行為規范。三是規定商用密碼應用安全性評估結果備案制度。四是規定運營(yíng)者開(kāi)展應急處置的有關(guān)內容。
(四)監督檢查及法律責任。一是規定了縣級以上地方各級密碼管理部門(mén)、國家機關(guān)和涉及商用密碼工作的單位的監督檢查職權。二是明確了運營(yíng)者的違法情形及法律責任。三是規定了商用密碼應用安全性評估管理人員的責任義務(wù)。
(五)其他事項。規定了本辦法實(shí)施的過(guò)渡安排和施行時(shí)間。