捐赠

2017商用密码应用安全性评估管理办法(试行)

  • 编号:

  • 发布时间:

  • 实施时间: 2017年4月22日

  • 关联文件:

    • [[网络安全法]]

    • [[商用密码管理条例]]

  • 关联机构:

    • [[国家密码管理局]]

  • 参考资料:

    • http://upload.ccidnet.com/2021/0204/1612432484953.pdf

第一章 总则

第一条

为规范重要领域网络和信息系统商用密码应用安全性评估工作,发挥密码在保障网络安全中的核心支撑作用,根据《中华人民共和国网络安全法》、《商用密码管理条例》以及国家关于网络安全等级保护和重要领域密码应用的有关要求,制定本办法。

第二条

本办法所称商用密码应用安全性评估,是指在采用商用密码技术、 产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性等进行评估。

第三条

涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、 使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

第四条

国家密码管理部门负责指导、监督和检查全国商用密码应用安全性评估工作。

省(部)密码管理部门负责指导、监督和检查本地区、本部门、本行业(系统)商用密码应用安全性评估工作。

第二章 评估程序

第五条

责任单位应当在系统规划、建设和运行阶段,组织开展商用密码应用安全性评估工作。

第六条

商用密码应用安全性评估工作由国家密码管理部门认定的测评机构(以下简称测评机构)承担,国家密码管理部门定期发布测评机构目录。 国家密码管理部门会同国务院公安部门制定测评机构的有关技术与管理规范,组织测评机构业务培训。

第七条

评估工作应当遵守国家法律法规和相关标准,遵循独立、客观、公正的原则。 国家标准化管理部门、国家密码管理部门根据各自职责,制定发布商用密码应用安全性评估国家标准、行业标准。

第八条

重要领域网络和信息系统规划阶段、责任单位应当依据商用密码应用安全性有关标准,制定商用密码应用建设方案,组织专家或委托测评机构进行评估。评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。

第九条

重要领域网络和信息系统建设完成后,责任单位应当委托测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料。

第十条

重要领域网络和信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估,评估未通过,责任单位应当限期整改并重新组织评估。

关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行,其他信息系统定期开展检查和抽查。

第十一条

重要领域网络和信息系统发生密码相关重大安全事件、重大调整或特殊紧急情况,责任单位应当及时组织测评机构开展商用密码应用安全性评估。

第十二条

测评机构完成商用密码应用安全性评估工作后,应在 30 个工作日内将评估结果报国家密码管理部门备案。

责任单位完成规划、建设、运行和应急评估后,应在 30 个工作日内将评估结果报主管部门及所在地区(部门)密码管理部门备案,其中,网络安全等级保护第三级及以上信息系统,评估结果应同时报所在地区公安部门备案。

第三章 监督管理

第十三条

责任单位应按照本办法开展商用密码应用安全性评估工作,并对评估工作承担管理责任,接受密码管理部门的监督、检查和指导。

责任单位在评估过程中违反本办法有关规定的,其主管部门和密码管理部门应当依据有关规定予以处罚。

第十四条

各地区(部门)密码管理部门根据工作需要,不定期对本地区(部门)重要领域网络和信息系统开展商用密码应用安全性专项检查

国家密码管理部门根据工作需要,不定期对各地区(部门)商用密码应用安 全性评估工作开展检查,并对有关重要领域网络和信息系统进行抽查。

第十五条

国家、省(区、市)相关主管部门在开展重要领域网络和信息系统安全检查时,应将商用密码应用安全性评估情况作为重要检查内容。

第十六条

国家密码管理部门对测评机构进行监督检查,并根据需要对测评机构的评估结果进行抽查。

第十七条

测评机构应保守在测评活动中知悉的国家秘密、商业密码和个人隐私。对所出具的商用密码应用安全性评估结果负责。有弄虚作假、泄露秘密等违反相关规定的行为,按照国家相关法律法规予以处罚。

第四章 附则

第十八条

本办法施行前已经投入使用的重要领域网络和信息系统,应按照本办法要求开展商用密码应用安全性评估,根据评估结果进行密码升级改造。在升级改造期间,责任单位应当采取必要措施保证系统安全运行。

第十九条

未设立密码管理机构的有关部门,应指定本部门负责密码应用安全性评估的主管单位,根据本办法规定开展评估工作。

第二十条

本办法第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。

第二十一条

本办法由国家密码管理局负责解释。

第二十二条

本办法自 2017 年 4 月 22 日起施行。

上一页4-国家密码管理局下一页2017电子认证服务密码管理办法

最后更新于

这有帮助吗?