商用密碼應(yīng)用安全性評(píng)估管理辦法

《辦法》制定的必要性JIKV5CipherGateway商用密碼應(yīng)用安全性評(píng)估是加強(qiáng)和規(guī)范商用密碼應(yīng)用的重要抓手■:商用罡碼電子認(rèn)證電子簽名首頁機(jī)構(gòu)概況新聞動(dòng)態(tài)信息公開在線服務(wù)互動(dòng)交流專題專欄謂輸入關(guān)鍵字首頁>新聞動(dòng)態(tài)>通知公告國(guó)家密碼管理局公告（第42號(hào)）商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄（共48家，以行政區(qū)劃為序）、zZ《中華人民共和國(guó)密碼法》新修訂《商用密碼管理?xiàng)l例》商用密碼應(yīng)用安全性評(píng)估試點(diǎn)頒布實(shí)施后，商用密碼應(yīng)用安全性評(píng)估制))度依法確立，商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)納入商用密碼檢測(cè)機(jī)構(gòu)統(tǒng)一管理丿丿2017年以來，國(guó)家密碼管理部門組織開展一系列商用密碼應(yīng)用安全性評(píng)估試點(diǎn)，為《辦法》的制定奠定了堅(jiān)實(shí)的實(shí)踐基礎(chǔ)，試點(diǎn)過程中，商用密碼應(yīng)用安全性評(píng)估的一些基本要求和思路做法，已逐步得到相關(guān)管理部門、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者的認(rèn)同。明確了商用密碼應(yīng)用安全性評(píng)估相關(guān)制度要求，貫徹落實(shí)上位法規(guī)定，急需制定《辦法》：?進(jìn)一步細(xì)化商用密碼應(yīng)用安全性評(píng)估范圍、責(zé)任主體、工作原則及要求、實(shí)施規(guī)范等內(nèi)容?依法規(guī)范商用密碼應(yīng)用安全性評(píng)估工作《辦法》制定的主要思路CipherGateway細(xì)化落實(shí)“三同步一評(píng)估”要求-落實(shí)《密碼法》《條例》規(guī)定，《辦法》對(duì)依法應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)的網(wǎng)纟各與信息系統(tǒng)?明確要求同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng),并定期進(jìn)行商用密碼應(yīng)用安全性評(píng)估-細(xì)化商用密碼應(yīng)用安全性評(píng)估要求，從規(guī)劃、建設(shè)、運(yùn)行各個(gè)階段分別提出落實(shí)安排、明確程序條件?建立起商用密碼應(yīng)用安全性評(píng)估制度的基本框架體現(xiàn)商用密碼應(yīng)用安全性評(píng)估工作系統(tǒng)性原則-《辦法》秉持商用密碼應(yīng)用安全性評(píng)估工作系統(tǒng)性原則，將密碼保障系統(tǒng)規(guī)劃方案評(píng)估、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前評(píng)估、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行后定期評(píng)估統(tǒng)一納入商用密碼應(yīng)用安全性評(píng)估工作體系.體現(xiàn)“按照同一套標(biāo)準(zhǔn)、遵循同一套程序、囊括同一套活動(dòng)”開展商用密碼應(yīng)用安全性評(píng)估工作的系統(tǒng)性原則-依據(jù)《密碼法》《條例》，將商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)管理統(tǒng)一納入商用密碼檢測(cè)機(jī)構(gòu)管理明確商用密碼應(yīng)用安全性評(píng)估活動(dòng)實(shí)施依據(jù)?按照《密碼法》《條例》關(guān)于運(yùn)營(yíng)者自行或者委托商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)開展評(píng)估的規(guī)定,《辦法》分別界定了相關(guān)要求，并就兩者需共同遵守的活動(dòng)內(nèi)容作出規(guī)定?明確了商用密碼應(yīng)用安全性評(píng)估活動(dòng)的實(shí)施依據(jù),有助于規(guī)范并提升商用密碼應(yīng)用安全性評(píng)估工作質(zhì)量《辦法》主要內(nèi)容《辦法》__________________________________________________________立法目的__________________________丿___________________________________________________________實(shí)施規(guī)范____________________________________丿第1~5條第10~15條為商用密碼應(yīng)用安全性評(píng)估實(shí)施規(guī)范，規(guī)定運(yùn)營(yíng)者委托商用密____碼應(yīng)用安全性評(píng)估機(jī)構(gòu)或者自行開展商用密碼應(yīng)用安全性評(píng)估的主要內(nèi)容、配合義務(wù)以及出具報(bào)告、備案等強(qiáng)制性要求規(guī)定了立法目的，商用密碼應(yīng)用安全性評(píng)估定義、管理體制、保障措施等內(nèi)容共19條CipherGateway_________________________________________________________A評(píng)估要求____為商用密碼應(yīng)用安全性評(píng)估要求，規(guī)定了總體要求,以及規(guī)劃'建設(shè)'運(yùn)行各階段的具體要求\_________________________________丿_________________________________________________________監(jiān)督及法律責(zé)任為監(jiān)督及法律責(zé)任，規(guī)定管理部門的能力檢查'工作監(jiān)管職責(zé)以及運(yùn)營(yíng)者的違法情形與法律責(zé)任<_____________________________丿_________________________________________________________程序性事項(xiàng)規(guī)定有關(guān)過渡'施行等程序性事項(xiàng)k_______________________________丿第18~19條第16~17條第6~9條煉石整理：商用密碼應(yīng)用安全性評(píng)估管理辦法（征）總覽CipherGateway商用密碼應(yīng)用安全性評(píng)估管理辦法（征）—、立法目的1.立法目的2.重要定義3.監(jiān)管機(jī)構(gòu)職責(zé)4.評(píng)估機(jī)構(gòu)納入統(tǒng)一管理5.支持鼓勵(lì)密評(píng)產(chǎn)業(yè)發(fā)展二、評(píng)估要求7.重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段評(píng)估要求9.建成運(yùn)行后評(píng)估要求6.三同步一評(píng)估8.建設(shè)階段評(píng)估要求三、實(shí)施規(guī)范10.方案評(píng)估要求11-已建成系統(tǒng)評(píng)估內(nèi)容12.運(yùn)營(yíng)者開展評(píng)估活動(dòng)要求13.自行開展評(píng)估條件14.運(yùn)營(yíng)者報(bào)送備案15.密碼相關(guān)重大安全事件、監(jiān)督及法律責(zé)任16.監(jiān)管專項(xiàng)檢查17.運(yùn)營(yíng)者違規(guī)行為和處罰五、程序性事項(xiàng)18.辦法施行前正建和已運(yùn)行系統(tǒng)要求19.施行日期貫徹落實(shí)上位法，保障網(wǎng)絡(luò)與信息安全JIKV5CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)立法目的?為了規(guī)范商用密碼應(yīng)用安全性評(píng)估工作?保障網(wǎng)絡(luò)與信息安全，維護(hù)國(guó)家安全和社會(huì)公共利益?保護(hù)公民'法人和其他組織的合法權(quán)益制定依據(jù)?根據(jù)《中華人民共和國(guó)密碼法》'《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，制定本辦法本辦法所稱商用密碼應(yīng)用安全性評(píng)估是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測(cè)分析和評(píng)估驗(yàn)證的活動(dòng)。商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)管理統(tǒng)一納入商用密碼檢測(cè)機(jī)構(gòu)管理CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)國(guó)家密碼管理局?負(fù)責(zé)管理全國(guó)的商用密碼應(yīng)用安全性評(píng)估工作?支持商用密碼應(yīng)用安全性評(píng)估技術(shù)'標(biāo)準(zhǔn)'工具、手段創(chuàng)新?完善商用密碼應(yīng)用安全性評(píng)估標(biāo)準(zhǔn)體系?鼓勵(lì)設(shè)立商用密碼應(yīng)用安全性評(píng)估行業(yè)組織，加強(qiáng)行業(yè)自律，維護(hù)行業(yè)秩序縣級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼應(yīng)用安全性評(píng)估工作。國(guó)家機(jī)關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)指導(dǎo)、監(jiān)督本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估工作。?從事商用密碼應(yīng)用安全性評(píng)估活動(dòng)，向社會(huì)出具具有證明作用的商用密碼應(yīng)用安全性評(píng)估數(shù)據(jù)、結(jié)果的機(jī)構(gòu),應(yīng)當(dāng)經(jīng)國(guó)家密碼管理局認(rèn)定,依法取得商用密碼檢測(cè)機(jī)構(gòu)資評(píng)估機(jī)構(gòu)質(zhì)。落實(shí)“三同步一評(píng)估”要求JIKV5CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任法律.行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)■重要網(wǎng)絡(luò)與信息系統(tǒng)其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)并定期開展商用密碼應(yīng)用安全性評(píng)估岸制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員5.程序性事項(xiàng)細(xì)化重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃、建設(shè)、建成階段的評(píng)估要求CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，根據(jù)商用密碼應(yīng)用需求應(yīng)當(dāng)自寳或豈委任商用密碼檢測(cè)機(jī)構(gòu)對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)制定商用密碼應(yīng)用方案，規(guī)劃商用密碼保障系統(tǒng)用安全性評(píng)估商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評(píng)估的不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)應(yīng)當(dāng)按照通過商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案組織實(shí)施落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前應(yīng)當(dāng)?shù)┬谢蛘呶猩逃妹艽a檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估網(wǎng)絡(luò)與信息系統(tǒng)未通過商用密碼應(yīng)用安全性評(píng)估的運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造，改造期間理投入運(yùn)行應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評(píng)估確保商用密碼保障系統(tǒng)正確有效運(yùn)行未通過商用密碼應(yīng)用安全性評(píng)估的應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全商用密碼應(yīng)用方案開展應(yīng)用安全性評(píng)估要求JIKV5CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任考量考量商用密碼應(yīng)用需求的全面性、合理性和針對(duì)性，對(duì)照相關(guān)標(biāo)準(zhǔn)規(guī)范選取適用指標(biāo)的準(zhǔn)確性，以及不適用指標(biāo)論證的充分性。分析分析商用密碼應(yīng)用流程和機(jī)制是否具備可實(shí)施性、商用密碼保護(hù)措施是否達(dá)到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡。?編制J編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告。.論證J論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規(guī)性，密鑰管理的安全性，以及使用商用密碼解決安全風(fēng)險(xiǎn)的科學(xué)性。5.程序性事項(xiàng)對(duì)建設(shè)完成的網(wǎng)絡(luò)與信息系統(tǒng)開展商用密碼應(yīng)用安全性評(píng)估要求CipherGateway1.立法目的準(zhǔn)確劃定評(píng)估范日2.評(píng)估要求用密碼應(yīng)用安全性評(píng)估3.實(shí)施規(guī)范開展現(xiàn)場(chǎng)評(píng)估03).現(xiàn)場(chǎng)評(píng)估4.監(jiān)督及法律責(zé)任編制形成商用密碼應(yīng)5.程序性事項(xiàng)對(duì)照商用密碼應(yīng)用方案，了解網(wǎng)絡(luò)與信息系統(tǒng)基本情況,確定評(píng)估指標(biāo)及評(píng)估對(duì)象，論證編帯根據(jù)客觀憑據(jù)逐項(xiàng)對(duì)評(píng)估指標(biāo)進(jìn)行判定,依據(jù)商用密碼應(yīng)用安全性評(píng)估實(shí)施方案做好數(shù)據(jù)采集和信息匯總，研判商用密碼保障系統(tǒng)配置及運(yùn)行情況。.確定評(píng)估指標(biāo)及對(duì)象用安全性評(píng)估報(bào)告.劃定評(píng)估范圍値）.編制評(píng)估報(bào)告運(yùn)營(yíng)者以合規(guī)為前提開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)CipherGatewayy開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)應(yīng)當(dāng)遵守法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求，遵循客觀實(shí)際、科學(xué)公正、誠(chéng)實(shí)信用原則運(yùn)營(yíng)者-----------------------------------商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估，評(píng)估結(jié)果施加影響，需提供如下支持:1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)重要數(shù)據(jù)備份對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的重要數(shù)據(jù)進(jìn)行備份；設(shè)備清單和網(wǎng)絡(luò)拓?fù)涮峁┩暾行У木W(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)拓?fù)洌贿\(yùn)營(yíng)維護(hù)記錄提供詳細(xì)的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、運(yùn)行、維護(hù)記錄;管理入口提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件，并配合進(jìn)行數(shù)據(jù)采集；管理員安排網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、商用密碼產(chǎn)品管理員等做好配合；其他事項(xiàng)其他需要配合的事項(xiàng)。運(yùn)營(yíng)者自行開展網(wǎng)絡(luò)與信息系統(tǒng)展商用密碼應(yīng)用安全性評(píng)估的要求CipherGateway1.立法目的2.評(píng)估要求自行開展商用密碼應(yīng)用安全性評(píng)估的網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)符合以下要求:具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的商用密碼檢測(cè)設(shè)備設(shè)施；具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的專業(yè)技術(shù)人員；具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度。3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任應(yīng)當(dāng)符合其他要求注意：商用密碼應(yīng)用安全性評(píng)估原始記錄和商用密碼應(yīng)用安全性評(píng)估報(bào)告應(yīng)當(dāng)歸檔留存，保證其具有可追溯性，保存自行開展商用密碼應(yīng)用安全性評(píng)估形成的商用密碼應(yīng)用安全性評(píng)估報(bào)告相關(guān)國(guó)家標(biāo)準(zhǔn)■行業(yè)標(biāo)準(zhǔn)和有關(guān)規(guī)定的要求由本單位負(fù)責(zé)人簽字確認(rèn)并加蓋本單位公章。期限不得少于6年。5.程序性事項(xiàng)應(yīng)當(dāng)責(zé)令相關(guān)運(yùn)營(yíng)者重新提供商用密碼應(yīng)用安全性評(píng)估報(bào)告。相關(guān)商用密碼檢測(cè)機(jī)構(gòu)應(yīng)當(dāng)配合運(yùn)營(yíng)者重新開展商用密碼應(yīng)用安全性評(píng)估或者重新出具商用密碼應(yīng)用安全性評(píng)估報(bào)告，不得重復(fù)收取費(fèi)用。1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者應(yīng)當(dāng)在商用密碼應(yīng)用安全性評(píng)估報(bào)告形成30日內(nèi)將評(píng)估報(bào)告連同相關(guān)工作情況按照國(guó)家有關(guān)規(guī)定報(bào)送網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門國(guó)家密碼管理局重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者應(yīng)向管理部門備案評(píng)估報(bào)告CipherGateway不通過材料形式備案9檢測(cè)機(jī)構(gòu)相關(guān)商用密碼檢測(cè)機(jī)構(gòu)應(yīng)當(dāng)寶停承接新的商用密碼應(yīng)用安全性評(píng)估業(yè)務(wù)，配合運(yùn)營(yíng)置重新開展商用密碼應(yīng)用安全性評(píng)估并履行備案程序，并不得重復(fù)收取費(fèi)用。t其他要求重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者責(zé)令相關(guān)運(yùn)營(yíng)者重新提供商用密碼應(yīng)用安全性評(píng)估報(bào)告1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)報(bào)送按季度省，自治區(qū).直轄市密碼管理部門按季度抽取備案材料本地區(qū)商用密碼應(yīng)用安全性評(píng)估工作開展情況進(jìn)行技術(shù)復(fù)核國(guó)家密碼管理局按季度抽取備案材料并技術(shù)復(fù)核CipherGateway不合格密碼相關(guān)重大事件必要時(shí)啟動(dòng)應(yīng)急處置方案CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任密碼相關(guān)重大事件運(yùn)營(yíng)者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的，應(yīng)當(dāng)及時(shí)向國(guó)家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報(bào)告，必要時(shí)啟動(dòng)應(yīng)急處置方案并開展商用密碼應(yīng)用安全性評(píng)估。專項(xiàng)檢查縣級(jí)以上地方各級(jí)密碼管理部門、國(guó)家機(jī)關(guān)和涉及商用密碼工作的單位可以根據(jù)工作需要，對(duì)本地區(qū)、本機(jī)關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估情況開展專項(xiàng)5.程序性事項(xiàng)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者法律責(zé)任Ci