炼石图解《商用密码应用安全性评估管理办法》V1.0
AI智能总结
SM 图解国家密码管理局 炼石 CipherGateway n《商用密码应用安全性评估管理办法》 炼石网络2023年11月1日起施行 规范商用密码应用安全性评估工作 国家密码管理局请输入关键字Q WWW.SCA.GOV.CN热门搜索:商用密码电子认证电子签名 首页机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>信息公开>政策法规>部门规章 制定目的 2023年10月7日,国家密码管理局发布《商用密码应用 商用密码应用安全性评估管理办法安全性评估管理办法》(国家密码管理局令第3号) 国家密码管理局令第3号) 发布日期:2023-10-07来源 自2023年11月1日起施行,旨在规范商用密码应用安全 【字体:大中小打印性评估工作,保障网络与信息安全,维护国家安全和 国家密码管理局令社会公共利益,保护公民、法人和其他组织的合法权 第3号益。 过,现予公布,自2023年11月1日起施行。 局长刘东方 2023年9月26日 商用密码应用安全性评估管理办法 第一条为了规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》、《商用密码管理条 《办法》制定的必要性 炼石 CipherGateway 国家密码管理局请辅入关键学 商用密码应用安全性评估 点门握索:商用密码电子认证电子签 机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>新闻动态>通知公告 是加强和规范商用密码应用的重要抓手国家密码管理局公告(第42号) 商用密码应用安全性评估试点机构目录 (共48家,以行政区划为序) 《中华人民共和国密码法》新修订《商用密码管理条例》商用密码应用安全性评估试点 第三十八条、第四十一条进一步明确了商用密码 颁布实施后,商用密码应用安全性评估制应用安全性评估相关制度要求,为贯彻落实上位 2017年以来,国家密码管理部门组织开展一系列 商用密码应用安全性评估试点,在试点过程中, 度依法确立,商用密码应用安全性评估机 构纳入商用密码检测机构统一管理。 法规定,急需制定《办法》: 统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等 规定; 依法规范商用密码应用安全性评估工作。 商用密码应用安全性评估的基本要求和思路做法已逐步得到相关管理部门、运营者和评估机构的认同,为《办法》的制定奠定了坚实的实践基础。 《办法》制定的总体思路 炼石 CipherGateway 细化落实体现商用密码应用安全性评估明确商用密码应用安全性评估 “三同步一评估”要求系统性原则实施依据 按照《密码法》、《条例》规定,《办法》 《办法》将商用密码应用方案评估、网络与 按照《密码法》、《条例》关于运营者自行 对依法应当使用商用密码进行保护的重要网 信息系统运行前评估、网络与信息系统运行 或者委托商用密码应用安全性评估机构开展 络与信息系统,明确要求同步规划、同步建 后定期评估统一纳入商用密码应用安全性评 评估的规定,《办法》分别明确了相关要求, 设、同步运行商用密码保障系统,并定期进 估工作体系 并就两者需共同遵守的行为规范作出规定, 行商用密码应用安全性评估。 在实施中“按照同一套标准、遵循同一套程 从而明确了商用密码应用安全性评估活动的 实施依据,有助于规范提升商用密码应用安 细化商用密码应用安全性评估要求,丛规划、序、囊括同一套活动”,确保重要网络与信全性评估工作质量。 建设、运行各个阶段分别提出落实安排、明息系统全生命周期落实商用密码应用安全性 确评估程序及内容,建立起商用密码应用安评估要求。 全性评估制度的基本框架。 将商用密码应用安全性评估机构统一纳入商 用密码检测机构管理,进一步体现工作的系 统性整体性。 《办法》主要内容 《办法》共21条 炼石 CipherGateway 1.总体要求2.程序及内容要求 明确概念定义,商用密码应用安全性评估是指按照有关法律法规和标准规范,对网络 与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析1.规定“三同步一评估”的总体要求。 和评估验证的活动。2.明确不同阶段密评的程序要求。重要网络与信息系统规划、建设、运行各阶 2规定管理体制,包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单段的商用密码应用安全性评估的程序要求。 位的监督管理职权。3.根据不同对象提出密评内容要求。针对商用密码应用方案、网络与信息系统3.明确从业机构资质要求以及发展保障支持。提出对商用密码应用安全性评估从业机构两类不同对象,分别提出商用密码应用安全性评估的内容要求。 的资质要求,以及对商用密码应用安全性评估行业发展的保障支持。 规定商用密码应用安全性评估的对象范围。 3.实施规范4.监督检查及法律责任 规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督 义务。检查职权。 2.规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范, 3规定商用密码应用安全性评估结果备案制度。 2.明确了运营者的违法情形及法律责任。 规定运营者开展应急处置的有关内容。 3.规定了商用密码应用安全性评估管理人员的责任义务。 5.其他事项 规定了本办法实施的过渡安排和施行时间。 炼石整理:《商用密码应用安全性评估管理办法》总览 炼石 CipherGateway 《商用密码应用安全性评估管理办法》 总体要求二、程序及内容要求 1.立法目的 2.重要定义 2.监管机构的 6.三同步一评估 7.重要网络与信息系统 8.建设阶段 监督管理职责规划阶段密评程序要求密评程序要求 4.从业机构资质要求5.支持鼓励密评产业发展 9.建成运行后10.商密应用方案11.对已建成网络与信 密评程序要求密评内容要求息系统密评内容要求 三、实施规范四、监督检查及法律责任五、其他事项 12.密评通用行为规范及13.运营者自行开展密评的16.监管专项检查 20.办法施行前正建和已运行系统要求 运营者委托开展评估的支持 配合义务 基本要求与行为规范 17.违反其他法规和本办法的行为处罚 14.结果备案制度15.应急处置要求21.施行时间 18.违反本办法行为和处罚 19.监管人员违规行为和处分 贯彻落实上位法,保障网络与信息安全 炼石 CipherGateway 1.总体要求 立法目的 为了规范商用密码应用安全 2.程序及内容要求性评估工作本办法所称商用密码 保障网络与信息安全,维护 国家安全和社会公共利益应用安全性评估 保护公民、法人和其他组织 3.实施规范的合法权益 制定依据 根据《中华人民共和国密码 目的定义 是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和 4.监督检查及法律责评估验证的活动。 任法》、《商用密码管理条例》 等有关法律法规,制定本办 法 5.其他事项 商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理 5负责管理全国的商用密码应用安全性评估工作 炼石 CipherGateway 1.总体要求 国家密码管理局 支持商用密码应用安全性评估技术、标准、工具创新完善商用密码应用安全性评估标准体系 鼓励设立商用密码应用安全性评估行业组织,加强行业自律,维护行业秩序 2.程序及内容要求 3.实施规范 县级以上地方各级密码管理部门 负责管理本行政区域的商用密码应用安全性评估工作。 4.监督检查及法律责 任 国家机关和涉及商用密码工作的单位 在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评 估工作。 从事商用密码应用安全性评估活动,向社会出具有证明作用的商用密码应用安全 性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机 5.其他事项评估机构构资质。 重要网络与信息系统”纳入密评范围 炼石 CipherGateway 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统 1.总体要求以下简称 重要网络与信息系统 其运营者“重要网络与信息系统”如何界定? 2.程序及内容要求应当使用商用密码进行保护2017年4月22日起施行的《商用密码应用 安全性评估管理办法(试行)》(注:该 试行办法已被本次新发布的密评管理办法 制定商用密码应用方案,配备必要的资金和专业人员替代),曾明确定义:“重要领域网络和 信息系统包括:基础信息网络、涉及国计 民生和基础信息资源的重要信息系统、重 同步规划、同步建设、同步运行商用密码保障系统要工业控制系统、面向社会服务的政务信 3.实施规范 并定期开展商用密码应用安全性评估 根据中国密码学会商用密码应用安全性评估联合委员会统计 息系统,以及关键信息基础设施、网络安 全等级保护第三级及以上信息系统。 且前对“重要网络与信息系统”界定,依据是“法律、行政法规和国家有关规定” 可参考本文P1023的政策清单(附录1-4) 4.监督检查及法律责截至2023年8月,密评相关法律法规、政策文件共计171项: 任 200131 150 100 50825 5.其他事项0 国家层面密评相关法律法规国家层面密评相关政策文件各部门密评相关政策文件各省(区、市)密评相关政策文件 附录1国家层面密码应用及密评相关法律法规 炼石 CipherGateway 发布/发布/ 发文/ 施行时间 (注:已发布法 发文/ 施行时间 (注:已发布法政策文件相关内容 起草单位律法规为“施行 政策文件相关内容起草单位律法规为“施行时间”,其他为 时间”,其他为“发布时间”) “发布时间”)第三十八条:法律、行政法规和国家有关规定要求使用商用密码进 第二十七条:法律、行政法规和国家有关规定要求使用商用密码进 行保护的关键信息基础设施,其运营者应当使用商用密码进行保护, 制定商用密码应用方案,配备必要的资金和专业人员,同步规划、 行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,同步建设、同步运行商用密码保障系统,自行或者委托商用密码检 第十三届全 《密码法》 自行或者委托商用密码检测机构开展商用密码应用安全性评估。商测机构开展商用密码应用安全性评估。 国人民代表 大会常务委2020年1月1日 员会第十四 (中华人民共 和国主席令第 三十五号) 用密码应用安全性评估应当与关键信息基础设施安全检测评估、网 络安全等级测评制度相衔接,避免重复评估、测评。国务院第4次 关键信息基础设施的运营者采购涉及商用密码的网络产品和服常务会议修 2023年4月14《商用密码管 日 理条例》 前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治 次会议通过务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》 订通过区、直辖市密码管理部门备案。 的规定,通过国家网信部门会同国家密码管理部门等有关部门组织第四十一条:网络运营者应当按照国家网络安全等级保护制度要求, 第十二届全 国人民代表 大会常务 的国家安全审查。 第十条:建设、运营网络或者通过网络提供服务,应当依照法律、 《(网中络华安人全民法共》行政法规的规定和国家标准的强制性要求,采取技术措施和其他必 使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。 第四十二条:商用密码应用安全性评估、关键信息基础设施安全检 测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。 委员会第 2017年6月1日 和国主席令第 要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范 网络违法犯罪活动,维护网络数据的完整性、保密性和可
