图解商用密码应用安全性评估管理办法（征求意见稿）

SM炼石CipherGateway图解商用密码应用安全性评估管理办法（征求意见稿） 规范商用密码应用安全性评估工作制定目的国家密码管理局请输入关键字Q.GOV.CN热门授索： 商用密码 电子认证 电子签名首页机构概况新闻动态信息公开在线服务互动交流专题专栏为规范商用密码应用安全性评估工作，根据《中华人首页>互动交流>意见征集民共和国密码法》和新修订的《商用密码管理条例》国家密码管理局关于《商用密码检测机构管理办法等有关法律法规，国家密码管理局研究起草了《商用(征求意见稿）》和《商用密码应用安全性评估管理密码应用安全性评估管理办法（征求意见稿）》办法（征求意见稿）》公开征求意见的通知2023年6月9日向社会公开征求意见。发布日期：2023-06-09【字体：大中小打印为加强商用密码检测机构管理，规范商用密码检测活动和商用密码应用安全性评估工作，根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规，国家密码管理局研究起草了《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》，现向社会公开征求意见。公众可以在2023年7月9日前，通过以下途径和方式提出意见：1.登录“中华人民共和国司法部中国政府法制信息网”（网址：www.moj.gov.cn、www.chinalaw.gov.cn），进入首页“立法意见征集栏目提出意见。2.电子邮件：gmzcfg@sca.gov.cn3.通信地址：北京市丰台区靛厂路7号国家密码管理局政策法规室，邮政编码100036，请在信封上注明”《商用密码检测机国家密码管理局2023年6月9日 炼石《办法》制定的必要性CipherGateway国家密码管理局请辅入关键学点门握索：商用密码电子认证电子签商用密码应用安全性评估首页机构概况新闻动态信息公开在线服务互动交流专题专栏首页>新闻动态>通知公告是加强和规范商用密码应用的重要抓手国家密码管理局公告（第42号）商用密码应用安全性评估试点机构目录（共48家，以行政区划为序）《中华人民共和国密码法》新修订《商用密码管理条例》商用密码应用安全性评估试点2017年以来，国家密码管理部门组织开展一系列明确了商用密码应用安全性评估相关制度要求，颁布实施后，商用密码应用安全性评估制商用密码应用安全性评估试点，为《办法》的制贯彻落实上位法规定，急需制定《办法》：度依法确立，商用密码应用安全性评估机定奠定了坚实的实践基础，试点过程中，商用密进一步细化商用密码应用安全性评估范围、责构纳入商用密码检测机构统一管理码应用安全性评估的一些基本要求和思路做法，任主体、工作原则及要求、实施规范等内容已逐步得到相关管理部门、网络与信息系统运营依法规范商用密码应用安全性评估工作者的认同。 炼石《办法》制定的主要思路CipherGateway细化落实体现商用密码应用安全性评估明确商用密码应用安全性评估“三同步一评估”要求工作系统性原则活动实施依据落实《密码法》《条例》规定，《办法》对《办法》秉持商用密码应用安全性评估工作按照《密码法》《条例》关于运营者自行或依法应当使用商用密码进行保护的网络与信系统性原则，将密码保障系统规划方案评估、者委托商用密码应用安全性评估机构开展评息系统网络与信息系统运行前评估、网络与信息系估的规定，《办法》分别界定了相关要求，统运行后定期评估统一纳入商用密码应用安并就两者需共同遵守的活动内容作出规定明确要求同步规划、同步建设、同步运行商全性评估工作体系用密码保障系统，并定期进行商用密码应用明确了商用密码应用安全性评估活动的实施安全性评估体现“按照同一套标准、遵循同一套程序、依据，有助于规范并提升商用密码应用安全囊括同一套活动”开展商用密码应用安全性性评估工作质量细化商用密码应用安全性评估要求，从规划、评估工作的系统性原则建设、运行各个阶段分别提出落实安排、明确程序条件依据《密码法》《条例》，将商用密码应用安全性评估机构管理统一纳入商用密码检测建立起商用密码应用安全性评估制度的基本机构管理框架 炼石《办法》主要内容CipherGateway《办法》共19条第1~5条第6~9条立法目的评估要求规定了立法目的，商用密码应用安全性评估定义、管理体为商用密码应用安全性评估要求，规定了总体要求，以及规制、保障措施等内容划、建设、运行各阶段的具体要求第10~15条第16~17条监督及法律责任实施规范为监督及法律责任，规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任为商用密码应用安全性评估实施规范，规定运营者委托商用密码应用安全性评估机构或者自行开展商用密码应用安全性评估的主要内容、配合义务以及出具报告、备案等强制性要求第18~19条程序性事项规定有关过渡、施行等程序性事项 炼石炼石整理：商用密码应用安全性评估管理办法（征）总览CipherGateway商用密码应用安全性评估管理办法（征）立法目的二、评估要求7.重要网络与信息系统规1.立法目的2. 重要定义3.监管机构职责6.三同步一评估划阶段评估要求4. 评估机构纳入统一管理5.支持鼓励密评产业发展8.建设阶段评估要求9.建成运行后评估要求三、实施规范四、监督及法律责任五、程序性事项11.已建成系统评估内18.办法施行前正建和已运行系统要10.方案评估要求16.监管专项检查容求12.运营者开展评估活13.自行开展评估17.运营者违规行为和处罚19.施行日期动要求条件15.密码相关重大安14.运营者报送备案全事件 炼石贯彻落实上位法，保障网络与信息安全CipherGateway1.立法目的立法目的为了规范商用密码应用安全2. 评估要求性评估工作本办法所称商用密码保障网络与信息安全，维护应用安全性评估国家安全和社会公共利益保护公民、法人和其他组织目的定义3.实施规范的合法权益是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、制定依据正确性、有效性进行检测分析和根据《中华人民共和国密码评估验证的活动。4. 监督及法律责任法》、《商用密码管理条例》等有关法律法规，制定本办法5.程序性事项 炼石CipherGateway5负责管理全国的商用密码应用安全性评估工作1.立法目的支持商用密码应用安全性评估技术、标准、工具、手段创新完善商用密码应用安全性评估标准体系国家密码管理局鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业秩序2. 评估要求负责管理本行政区域的商用密码应用安全性评估工作。县级以上地方各级密码管理部门3.实施规范在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评国家机关和涉及商用密估工作。4.监督及法律责任码工作的单位从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资5.程序性事项评估机构质。 炼石落实“三同步一评估”要求CipherGateway法律、行政法规和国家有关规定要求使用商用密码进行保护的1.立法目的网络与信息系统简↓重要网络与信息系统2.评估要求其运营者3.实施规范应当使用商用密码进行保护制定商用密码应用方案，配备必要的资金和专业人员4. 监督及法律责任同步规划、同步建设、同步运行商用密码保障系统并定期开展商用密码应用安全性评估5.程序性事项 炼石细化重要网络与信息系统规划、建设、建成阶段的评估要求CipherGateway规划阶段建设阶段建成运行后1.立法目的重要网络与信息系统运营者2.评估要求应当依照相关法律法规和标准规范，根据商用密应当按照通过商用密码应用安全性评估的商用密码应当自行或者委托商用密码检测码应用需求应用方案组织实施机构每年至少开展一次商用密码应用安全性评估制定商用密码应用方案，规划商用密落实商用密码安全防护措施，建设商用密码保障系统码保障系统确保商用密码保障系统正确有效运行3.实施规范重要网络与信息系统运行前应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应应当自行或者委托商用密码检测机构开展未通过商用密码应用安全性评估的用安全性评估商用密码应用安全性评估应当进行改造，并在改造期间采取必要措施保证网络与信息系统4.监督及法律责任运行安全商用密码应用方案未通过网络与信息系统未通过商用密码应用安全性评估的商用密码应用安全性评估的不得作为商用密码保障系统的运营者应当进行改造，改造期间建设依据不得投入运行5.程序性事项 炼石商用密码应用方案开展应用安全性评估要求CipherGateway1.立法目的考量编制考量商用密码应用需求的全面性、编制形成商用密码应用安全性评0104合理性和针对性，对照相关标准估报告。2.评估要求规范选取适用指标的准确性，以方案及不适用指标论证的充分性。评估3.实施规范分析论证0203分析商用密码应用流程和机制是论证商用密码技术、产品和服务4.监督及法律责任否具备可实施性、商用密码保护选用的合规性，密钥管理的安全措施是否达到相应的商用密码应性，以及使用商用密码解决安全用要求、相关描述是否详尽。风险的科学性。5.程序性事项 炼石对建设完成的网络与信息系统开展商用密码应用安全性评估要求CipherGateway1.立法目的对照商用密码应用方案，了解网络与信息系统基本情况，准确划定评估范围划定评估范围。012.评估要求确定评估指标及评估对象，论证编制商用密码应用安全性评估确定评估指标及对象实施方案。023.实施规范依据商用密码应用安全性评估实施方案，开展现场评估，做好现场评估03数据采集和信息汇总，研判商用密码保障系统配置及运行情况4.监督及法律责任根据客观凭据逐项对评估指标进行判定，编制形成商用密码应编制评估报告04用安全性评估报告5.程序性事项 炼石运营者以合规为前提开展商用密码应用安全性评估活动CipherGateway开展商用密码应用安全性评估活动1.立法目的应当遵守法律法规、标准规范要求，遵循客观实际、科学公正、诚实信用原则运营者2.评估要求委托商用密码检测机构开展商用密码应用安全性评估，不得对评估结果施加影响，需提供如下支持设备清单和重要数据备份管理入口管理员运营维护记录其他事项3.实施规范网络拓扑提供完整有效的提供详细的网络提供商用密码产安排网络与信息其他需要配合的对网络与信息系网络与信息系统与信息系统商用品管理入口、网系统相关网络管事项。统的重要数据进4.监督及法律责任行备份;设备清单和网络密码应用方案、络交换设备接入理员、系统管理拓扑;密码相关管理制端口等相关信息、员、商用密码产度和密码配置、数据接入分析条品管理员等做好运行、维护记录；件，并配合进行配合;5.程序性事项数据采集; 炼石运营者自行开展网络与信息系统展商用密码应用安全性评估的要求CipherGateway自行开展商用密码应用安全性评估的网络与信息系统，其运营者应当符合以下要求：1.立法目的具有与开展商用密码应用安全性具有与开展商用密码应用安全性具有与开展商用密码应用安全性评估活动相适应的项目管理、质评估活动相适应的商用密码检测评估活动相适应的专业技术人员；量管理、人员管理、档案管理、2.评估要求设备设施；安全保密管理等规章制度。自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告3.实施规范应当符合相关国家标准、行业标准和有关规定的要求其他要求4.监督及法律责任由本单位负责人签字确认并加盖本单位公章。5.程序性事项注意：商用密码应用安全性评估原始记录和商用密码应用安全性评估报告应当归档留存，保证其具有可追溯性，保存期限不得少于6年。 炼石重要网络与信息系统运营者应向管理部门备案评估报告CipherGateway1.立法目的重要网络与信息系统运营者应当责令相关运营者重新2.评估要求应当在商用密码应用安全性评估报告形成30日内提供商用密码应用安全性评估报告。3.实施规范将评估报告连同相关工作情况按照国家有关规定报送相关商用密码检测机构应材当配合运营者重新开展商4.监督及法律责任料不通过国家密码管网络与信息系统所在地省、自治区用密