图解商用密码应用安全性评估管理办法(征求意见稿)
AI智能总结
炼石 SMCipherGateway 图解 商用密码应用安全性评估管理办法 (征求意见稿) 规范商用密码应用安全性评估工作 国家密码管理局请输入关键字Q .GOV.CN热门授索:商用密码电子认证电子签名 首页机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>互动交流>意见征集 制定目的 为规范商用密码应用安全性评估工作,根据《中华人 民共和国密码法》和新修订的《商用密码管理条例》 国家密码管理局关于《商用密码检测机构管理办法等有关法律法规,国家密码管理局研究起草了《商用 (征求意见稿)》和《商用密码应用安全性评估管理 办法(征求意见稿)》公开征求意见的通知 发布日期:2023-06-09 【字体:大中小打印 为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码检测机构管理办法(征求意见稿)》和 《商用密码应用安全性评估管理办法(征求意见稿)》,现向社会公开征求意见。公众可以在2023年7月9日前,通过以下途径和方式提出意见: 1.登录“中华人民共和国司法部中国政府法制信息网”(网址:www.moj.gov.cn、www.chinalaw.gov.cn),进入首页“立 法意见征集栏目提出意见。 2.电子邮件:gmzcfg@sca.gov.cn 3.通信地址:北京市丰台区靛厂路7号国家密码管理局政策法规室,邮政编码100036,请在信封上注明”《商用密码检测机 国家密码管理局 2023年6月9日 密码应用安全性评估管理办法(征求意见稿)》 2023年6月9日向社会公开征求意见。 《办法》制定的必要性 炼石 CipherGateway 国家密码管理局请辅入关键学 商用密码应用安全性评估 点门握索:商用密码电子认证电子签 首页机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>新闻动态>通知公告 是加强和规范商用密码应用的重要抓手国家密码管理局公告(第42号) 商用密码应用安全性评估试点机构目录 (共48家,以行政区划为序) 《中华人民共和国密码法》新修订《商用密码管理条例》商用密码应用安全性评估试点 颁布实施后,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理 明确了商用密码应用安全性评估相关制度要求,贯彻落实上位法规定,急需制定《办法》: 进一步细化商用密码应用安全性评估范围、责 任主体、工作原则及要求、实施规范等内容依法规范商用密码应用安全性评估工作 2017年以来,国家密码管理部门组织开展一系列 商用密码应用安全性评估试点,为《办法》的制定奠定了坚实的实践基础,试点过程中,商用密码应用安全性评估的一些基本要求和思路做法,已逐步得到相关管理部门、网络与信息系统运营 者的认同。 《办法》制定的主要思路 炼石 CipherGateway 细化落实体现商用密码应用安全性评估明确商用密码应用安全性评估 “三同步一评估”要求工作系统性原则活动实施依据 落实《密码法》《条例》规定,《办法》对 《办法》秉持商用密码应用安全性评估工作 按照《密码法》《条例》关于运营者自行或 依法应当使用商用密码进行保护的网络与信 系统性原则,将密码保障系统规划方案评估、 者委托商用密码应用安全性评估机构开展评 息系统 网络与信息系统运行前评估、网络与信息系 估的规定,《办法》分别界定了相关要求, 统运行后定期评估统一纳入商用密码应用安 并就两者需共同遵守的活动内容作出规定 明确要求同步规划、同步建设、同步运行商 全性评估工作体系 用密码保障系统,并定期进行商用密码应用 明确了商用密码应用安全性评估活动的实施 安全性评估 体现“按照同一套标准、遵循同一套程序、 囊括同一套活动”开展商用密码应用安全性 依据,有助于规范并提升商用密码应用安全性评估工作质量 细化商用密码应用安全性评估要求,从规划、 评估工作的系统性原则 建设、运行各个阶段分别提出落实安排、明 确程序条件 依据《密码法》《条例》,将商用密码应用安全性评估机构管理统一纳入商用密码检测 建立起商用密码应用安全性评估制度的基本 框架 机构管理 《办法》主要内容 《办法》共19条 炼石 CipherGateway 第1~5条 立法目的 第6~9条 评估要求 规定了立法目的,商用密码应用安全性评估定义、管理体为商用密码应用安全性评估要求,规定了总体要求,以及规制、保障措施等内容划、建设、运行各阶段的具体要求 第10~15条第16~17条 实施规范 监督及法律责任 为商用密码应用安全性评估实施规范,规定运营者委托商用密码应用安全性评估机构或者自行开展商用密码应用安全性评估 为监督及法律责任,规定管理部门的能力检查、工作监管职责以 及运营者的违法情形与法律责任 的主要内容、配合义务以及出具报告、备案等强制性要求第18~19条 程序性事项 规定有关过渡、施行等程序性事项 炼石整理:商用密码应用安全性评估管理办法(征)总览 炼石 CipherGateway 商用密码应用安全性评估管理办法(征) 立法目的二、评估要求 1.立法目的2.重要定义3.监管机构职责6.三同步一评估 7.重要网络与信息系统规 划阶段评估要求 4.评估机构纳入统一管理5.支持鼓励密评产业发展8.建设阶段评估要求9.建成运行后评估要求 三、实施规范四、监督及法律责任五、程序性事项 10.方案评估要求 11.已建成系统评估内 16.监管专项检查 18.办法施行前正建和已运行系统要 容求 条件动要求 12.运营者开展评估活13.自行开展评估17.运营者违规行为和处罚19.施行日期 14.运营者报送备案 15.密码相关重大安 全事件 贯彻落实上位法,保障网络与信息安全 炼石 CipherGateway 1.立法目的 立法目的 为了规范商用密码应用安全 2.评估要求性评估工作本办法所称商用密码 保障网络与信息安全,维护 国家安全和社会公共利益 保护公民、法人和其他组织 3.实施规范的合法权益 制定依据 根据《中华人民共和国密码 4.监督及法律责任法》、《商用密码管理条例》等有关法律法规,制定本办法 5.程序性事项 目的定义 应用安全性评估 是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。 炼石 CipherGateway 1.立法目的 5 国家密码管理局 负责管理全国的商用密码应用安全性评估工作 支持商用密码应用安全性评估技术、标准、工具、手段创新完善商用密码应用安全性评估标准体系 鼓励设立商用密码应用安全性评估行业组织,加强行业自律,维护行业秩序 2.评估要求 3.实施规范 县级以上地方各级密码管理部门 负责管理本行政区域的商用密码应用安全性评估工作。 国家机关和涉及商用密 4.监督及法律责任码工作的单位 在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评 估工作。 5.程序性事项评估机构 从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性 评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资 质。 落实“三同步一评估”要求 炼石 CipherGateway 法律、行政法规和国家有关规定要求使用商用密码进行保护的 1.立法目的网络与信息系统 简↓ 重要网络与信息系统 2.评估要求 其运营者 3.实施规范 应当使用商用密码进行保护 制定商用密码应用方案,配备必要的资金和专业人员 4.监督及法律责任 5.程序性事项 同步规划、同步建设、同步运行商用密码保障系统并定期开展商用密码应用安全性评估 细化重要网络与信息系统规划、建设、建成阶段的评估要求 炼石 CipherGateway 1.立法目的 规划阶段建设阶段建成运行后 重要网络与信息系统运营者 2.评估要求应当依照相关法律法规和标准规范,根据商用密应当按照通过商用密码应用安全性评估的商用密码应当自行或者委托商用密码检测 码应用需求应用方案组织实施机构每年至少开展一次商用密码 制定商用密码应用方案,规划商用密落实商用密码安全防护措施,建设商用密 码保障系统码保障系统 应用安全性评估 确保商用密码保障系统正确有效运行 3.实施规范 应当自行或者委托商用密码检测机构 重要网络与信息系统运行前 对商用密码应用方案进行商用密码应应当自行或者委托商用密码检测机构开展未通过商用密码应用安全性评估的 用安全性评估商用密码应用安全性评估 4.监督及法律责任 5.程序性事项 商用密码应用方案未通过网络与信息系统未通过商用密码应用安全性评估的商用密码应用安全性评估的 不得作为商用密码保障系统的运营者应当进行改造,改造期间 建设依据不得投入运行 应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全 商用密码应用方案开展应用安全性评估要求 炼石 CipherGateway 1.立法目的考量编制 考量商用密码应用需求的全面性、编制形成商用密码应用安全性评 合理性和针对性,对照相关标准 2.评估要求规范选取适用指标的准确性,以 及不适用指标论证的充分性。 3.实施规范 0104 方案评估 估报告。 分析0203论证 4.监督及法律责任 5.程序性事项 分析商用密码应用流程和机制是论证商用密码技术、产品和服务 否具备可实施性、商用密码保护选用的合规性,密钥管理的安全 措施是否达到相应的商用密码应性,以及使用商用密码解决安全 用要求、相关描述是否详尽。风险的科学性。 对建设完成的网络与信息系统开展商用密码应用安全性评估要求 炼石 CipherGateway 1.立法目的 01 对照商用密码应用方案,了解网络与信息系统基本情况,准确 划定评估范围划定评估范围。 2.评估要求 3.实施规范 确定评估指标及评估对象,论证编制商用密码应用安全性评估 确定评估指标及对象实施方案。 02 依据商用密码应用安全性评估实施方案,开展现场评估,做好 03 4.监督及法律责任 现场评估 数据采集和信息汇总,研判商用密码保障系统配置及运行情况 04 5.程序性事项 编制评估报告 根据客观凭据逐项对评估指标进行判定,编制形成商用密码应 用安全性评估报告 运营者以合规为前提开展商用密码应用安全性评估活动 炼石 CipherGateway 1.立法目的 运营者 开展商用密码应用安全性评估活动 应当遵守法律法规、标准规范要求,遵循客观实际、科学公正、诚实信用原则 2.评估要求 委托商用密码检测机构开展商用密码应用安全性评估,不得对评估结果施加影响,需提供如下支持 重要数据备份 设备清单和 运营维护记录 管理入口管理员 其他事项 3.实施规范网络拓扑 对网络与信息系统的重要数据进 提供完整有效的提供详细的网络提供商用密码产安排网络与信息其他需要配合的 网络与信息系统与信息系统商用品管理入口、网系统相关网络管事项。 4.监督及法律责任行备份;设备清单和网络密码应用方案、络交换设备接入理员、系统管理 拓扑;密码相关管理制端口等相关信息、员、商用密码产 度和密码配置、数据接入分析条品管理员等做好 5.程序性事项 运行、维护记录;件,并配合进行配合; 数据采集; 运营者自行开展网络与信息系统展商用密码应用安全性评估的要求 炼石 CipherGateway 1.立法目的 自行开展商用密码应用安全性评估的网络与信息系统,其运营者应当符合以下要求: 具有与开展商用密码应用安全性具有与开展商用密码应用安全性具有与开展商用密码应用安全性评估活动相适应的项目管理、质 评估活动相适应的商用密码检测评估活动相适应的专业技术人员;量管理、人员管理、档案管理、 2.评估要求设备设施; 3.实施规范 4.监督及法律责任 安全保密管理等规章制度。 自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告 应当符合 相关国家标准、行业标准和有关规定的要求 其他要求 由本单位负
