炼石图解《商用密码应用安全性评估管理办法》V1.0

SM炼石CipherGateway图解国家密码管理局n《商用密码应用安全性评估管理办法》炼石网络2023年11月1日起施行 规范商用密码应用安全性评估工作国家密码管理局请输入关键字Q制定目的WWW.SCA.GOV.CN热门搜索：商用密码电子认证 电子签名首页机构概况新闻动态信息公开在线服务互动交流专题专栏首页>信息公开>政策法规>部门规章2023年10月7日，国家密码管理局发布《商用密码应用商用密码应用安全性评估管理办法安全性评估管理办法》（国家密码管理局令第3号）国家密码管理局令第3号）自2023年11月1日起施行，旨在规范商用密码应用安全发布日期：2023-10-07来源【字体：大中小打印性评估工作，保障网络与信息安全，维护国家安全和国家密码管理局令社会公共利益，保护公民、法人和其他组织的合法权第3号益。过，现予公布，自2023年11月1日起施行。局长刘东方2023年9月26日商用密码应用安全性评估管理办法第一条为了规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》、《商用密码管理条 炼石《办法》制定的必要性CipherGateway国家密码管理局请辅入关键学点门握索：商用密码电子认证电子签商用密码应用安全性评估机构概况新闻动态信息公开在线服务互动交流专题专栏首页>新闻动态>通知公告是加强和规范商用密码应用的重要抓手国家密码管理局公告 (第42号）商用密码应用安全性评估试点机构目录（共48家，以行政区划为序）《中华人民共和国密码法》新修订《商用密码管理条例》商用密码应用安全性评估试点第三十八条、第四十一条进一步明确了商用密码2017年以来，国家密码管理部门组织开展一系列颁布实施后，商用密码应用安全性评估制应用安全性评估相关制度要求，为贯彻落实上位商用密码应用安全性评估试点，在试点过程中，法规定，急需制定《办法》：度依法确立，商用密码应用安全性评估机商用密码应用安全性评估的基本要求和思路做法统筹细化商用密码应用安全性评估对象范围、构纳入商用密码检测机构统一管理。已逐步得到相关管理部门、运营者和评估机构的责任主体、工作原则、程序内容、实施规范等认同，为《办法》的制定奠定了坚实的实践基础。规定;依法规范商用密码应用安全性评估工作。 炼石《办法》制定的总体思路CipherGateway细化落实体现商用密码应用安全性评估明确商用密码应用安全性评估“三同步一评估”要求系统性原则实施依据按照《密码法》、《条例》规定，《办法》《办法》将商用密码应用方案评估、网络与按照《密码法》、《条例》关于运营者自行对依法应当使用商用密码进行保护的重要网信息系统运行前评估、网络与信息系统运行或者委托商用密码应用安全性评估机构开展络与信息系统，明确要求同步规划、同步建后定期评估统一纳入商用密码应用安全性评评估的规定，《办法》分别明确了相关要求，设、同步运行商用密码保障系统，并定期进估工作体系并就两者需共同遵守的行为规范作出规定，行商用密码应用安全性评估。从而明确了商用密码应用安全性评估活动的在实施中“按照同一套标准、遵循同一套程实施依据，有助于规范提升商用密码应用安细化商用密码应用安全性评估要求，丛规划、序、囊括同一套活动”，确保重要网络与信全性评估工作质量。建设、运行各个阶段分别提出落实安排、明息系统全生命周期落实商用密码应用安全性确评估程序及内容，建立起商用密码应用安评估要求。全性评估制度的基本框架。将商用密码应用安全性评估机构统一纳入商用密码检测机构管理，进一步体现工作的系统性整体性。 炼石《办法》主要内容CipherGateway《办法》共21条1.总体要求2.程序及内容要求明确概念定义，商用密码应用安全性评估是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析1.规定“三同步一评估”的总体要求。和评估验证的活动。2.明确不同阶段密评的程序要求。重要网络与信息系统规划、建设、运行各阶2规定管理体制，包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单段的商用密码应用安全性评估的程序要求。位的监督管理职权。3.根据不同对象提出密评内容要求。针对商用密码应用方案、网络与信息系统3．明确从业机构资质要求以及发展保障支持。提出对商用密码应用安全性评估从业机构两类不同对象，分别提出商用密码应用安全性评估的内容要求。的资质要求，以及对商用密码应用安全性评估行业发展的保障支持。规定商用密码应用安全性评估的对象范围。3.实施规范4.监督检查及法律责任规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督义务。检查职权。2.规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范，2.明确了运营者的违法情形及法律责任。3规定商用密码应用安全性评估结果备案制度。3.规定了商用密码应用安全性评估管理人员的责任义务。规定运营者开展应急处置的有关内容。5.其他事项规定了本办法实施的过渡安排和施行时间。 炼石炼石整理：《商用密码应用安全性评估管理办法》总览CipherGateway《商用密码应用安全性评估管理办法》总体要求二、程序及内容要求3. 监管机构的7. 重要网络与信息系统1.立法目的8.建设阶段2. 重要定义6.三同步一评估监督管理职责规划阶段密评程序要求密评程序要求9.建成运行后10.商密应用方案11.对已建成网络与信4.从业机构资质要求5.支持鼓励密评产业发展密评程序要求密评内容要求息系统密评内容要求三、实施规范四、监督检查及法律责任五、其他事项12.密评通用行为规范及13.运营者自行开展密评的16.监管专项检查运营者委托开展评估的支持20.办法施行前正建和已运行系统要求配合义务基本要求与行为规范17.违反其他法规和本办法的行为处罚14. 结果备案制度15.应急处置要求21.施行时间18.违反本办法行为和处罚19.监管人员违规行为和处分 炼石贯彻落实上位法，保障网络与信息安全CipherGateway1.总体要求立法目的为了规范商用密码应用安全2. 程序及内容要求性评估工作本办法所称商用密码保障网络与信息安全，维护国家安全和社会公共利益应用安全性评估保护公民、法人和其他组织目的定义3.实施规范的合法权益是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、制定依据正确性、有效性进行检测分析和根据《中华人民共和国密码4. 监督检查及法律责评估验证的活动。任法》、《商用密码管理条例》等有关法律法规，制定本办法5.其他事项 炼石商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理CipherGateway5负责管理全国的商用密码应用安全性评估工作1.总体要求支持商用密码应用安全性评估技术、标准、工具创新完善商用密码应用安全性评估标准体系国家密码管理局鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业秩序2. 程序及内容要求负责管理本行政区域的商用密码应用安全性评估工作。县级以上地方各级密码管理部门3.实施规范在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评国家机关和涉及商用密4. 监督检查及法律责估工作。码工作的单位任从事商用密码应用安全性评估活动，向社会出具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机5.其他事项评估机构构资质。 炼石重要网络与信息系统”纳入密评范围CipherGateway法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统1.总体要求以下简称重要网络与信息系统其运营者“重要网络与信息系统”如何界定？2. 程序及内容要求应当使用商用密码进行保护2017年4月22日起施行的《商用密码应用安全性评估管理办法（试行）》(注:该试行办法已被本次新发布的密评管理办法制定商用密码应用方案，配备必要的资金和专业人员替代），曾明确定义：“重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重同步规划、同步建设、同步运行商用密码保障系统要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安3.实施规范全等级保护第三级及以上信息系统。并定期开展商用密码应用安全性评估且前对“重要网络与信息系统”界定，依据是“法律、行政法规和国家有关规定”可参考本文P1023的政策清单（附录1-4）根据中国密码学会商用密码应用安全性评估联合委员会统计4. 监督检查及法律责截至2023年8月，密评相关法律法规、政策文件共计171项：任20013115010025 5085.其他事项0国家层面密评相关法律法规国家层面密评相关政策文件各部门密评相关政策文件各省(区、市)密评相关政策文件 炼石附录1国家层面密码应用及密评相关法律法规CipherGateway发布/发布/施行时间施行时间发文/发文/（注：已发布法政策文件相关内容（注：已发布法政策文件相关内容起草单位律法规为“施行起草单位律法规为“施行时间”，其他为时间”，其他为“发布时间”）“发布时间”）第三十八条：法律、行政法规和国家有关规定要求使用商用密码进第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，同步建设、同步运行商用密码保障系统，自行或者委托商用密码检第十三届全自行或者委托商用密码检测机构开展商用密码应用安全性评估。商测机构开展商用密码应用安全性评估。《密码法》国人民代表用密码应用安全性评估应当与关键信息基础设施安全检测评估、网（中华人民共前款所列关键信息基础设施通过商用密码应用安全性评估方可大会常务委2020年1月1日络安全等级测评制度相衔接，避免重复评估、测评。国务院第4次投入运行，运行后每年至少进行一次评估，评估情况按照国家有关和国主席令第员会第十四2023年4月14《商用密码管规定报送国家密码管理部门或者关键信息基础设施所在地省、自治关键信息基础设施的运营者采购涉及商用密码的网络产品和服常务会议修三十五号）日理条例》订通过区、直辖市密码管理部门备案。次会议通过务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织第四十一条：网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保的国家安全审查。护等级，确定商用密码的使用、管理和应用安全性评估要求，制定第十二届全网络安全等级保护密码标准规范。国人民代表第十条：建设、运营网络或者通过网络提供服务，应当依照法律、《网络安全法》行政法规的规定和国家标准的强制性要求，采取技术措施和其他必第四十二条：商用密码应用安全性评估、关键信息基础设施安全检大会常务（中华人民共测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。2017年6月1日要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范委员会第和国主席令第网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第四十七条：非涉密网络应当按照国家密码管理法律法规和标准的二十四次会五十三号)要求，使用密码技术、产品和服务。第三级以上网络应当采用密码议通过第二十一条：采取数据分类、重要数据备份和加密等措施。保护，并使用国家密码管理部门认可的密码技术、产品和服务。公安部会同《网络安全等2018年6月27级保护条例（征第三级以上网络运营者应在网络规划、建设和运行阶段，按照第十三届全相关部门日第二十七条：开展数据处理活动应当依照法律、法规的规定，建立求意见稿）》密码应用安全性评估管理办法和相关标准，委托密码应用安全性测国人民代表《数据安全法》评机构开展密码应用安全性评估。网