商用密码应用安全性评估管理办法

《办法》制定的必要性JIKV5CipherGateway商用密码应用安全性评估是加强和规范商用密码应用的重要抓手■:商用罡码电子认证电子签名首页机构概况新闻动态信息公开在线服务互动交流专题专栏谓輸入关键字首页>新闻动态>通知公告国家密码管理局公告（第42号）商用密码应用安全性评估试点机构目录（共48家，以行政区划为序）、zZ《中华人民共和国密码法》新修订《商用密码管理条例》商用密码应用安全性评估试点颁布实施后，商用密码应用安全性评估制))度依法确立，商用密码应用安全性评估机构纳入商用密码检测机构统一管理丿丿2017年以来，国家密码管理部门组织开展一系列商用密码应用安全性评估试点，为《办法》的制定奠定了坚实的实践基础，试点过程中，商用密码应用安全性评估的一些基本要求和思路做法，已逐步得到相关管理部门、网络与信息系统运营者的认同。明确了商用密码应用安全性评估相关制度要求，贯彻落实上位法规定，急需制定《办法》：•进一步细化商用密码应用安全性评估范围、责任主体、工作原则及要求、实施规范等内容•依法规范商用密码应用安全性评估工作《办法》制定的主要思路CipherGateway细化落实“三同步一评估”要求-落实《密码法》《条例》规定，《办法》对依法应当使用商用密码进行保护的网纟各与信息系统•明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估-细化商用密码应用安全性评估要求，从规划、建设、运行各个阶段分别提出落实安排、明确程序条件•建立起商用密码应用安全性评估制度的基本框架体现商用密码应用安全性评估工作系统性原则-《办法》秉持商用密码应用安全性评估工作系统性原则，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系.体现“按照同一套标准、遵循同一套程序、囊括同一套活动”开展商用密码应用安全性评估工作的系统性原则-依据《密码法》《条例》，将商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理明确商用密码应用安全性评估活动实施依据・按照《密码法》《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定,《办法》分别界定了相关要求，并就两者需共同遵守的活动内容作出规定•明确了商用密码应用安全性评估活动的实施依据,有助于规范并提升商用密码应用安全性评估工作质量《办法》主要内容《办法》__________________________________________________________立法目的__________________________丿___________________________________________________________实施规范____________________________________丿第1~5条第10~15条为商用密码应用安全性评估实施规范，规定运营者委托商用密____码应用安全性评估机构或者自行开展商用密码应用安全性评估的主要内容、配合义务以及出具报告、备案等强制性要求规定了立法目的，商用密码应用安全性评估定义、管理体制、保障措施等内容共19条CipherGateway_________________________________________________________A评估要求____为商用密码应用安全性评估要求，规定了总体要求,以及规划'建设'运行各阶段的具体要求\_________________________________丿_________________________________________________________监督及法律责任为监督及法律责任，规定管理部门的能力检查'工作监管职责以及运营者的违法情形与法律责任<_____________________________丿_________________________________________________________程序性事项规定有关过渡'施行等程序性事项k_______________________________丿第18~19条第16~17条第6~9条炼石整理：商用密码应用安全性评估管理办法（征）总览CipherGateway商用密码应用安全性评估管理办法（征）—、立法目的1.立法目的2.重要定义3.监管机构职责4.评估机构纳入统一管理5.支持鼓励密评产业发展二、评估要求7.重要网络与信息系统规划阶段评估要求9.建成运行后评估要求6.三同步一评估8.建设阶段评估要求三、实施规范10.方案评估要求11-已建成系统评估内容12.运营者开展评估活动要求13.自行开展评估条件14.运营者报送备案15.密码相关重大安全事件、监督及法律责任16.监管专项检查17.运营者违规行为和处罚五、程序性事项18.办法施行前正建和已运行系统要求19.施行日期贯彻落实上位法，保障网络与信息安全JIKV5CipherGateway1.立法目的2.评估要求3.实施规范4.监督及法律责任5.程序性事项立法目的•为了规范商用密码应用安全性评估工作•保障网络与信息安全，维护国家安全和社会公共利益•保护公民'法人和其他组织的合法权益制定依据•根据《中华人民共和国密码法》'《商用密码管理条例》等有关法律法规，制定本办法本办法所称商用密码应用安全性评估是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理CipherGateway1.立法目的2.评估要求3.实施规范4.监督及法律责任5.程序性事项国家密码管理局•负责管理全国的商用密码应用安全性评估工作•支持商用密码应用安全性评估技术'标准'工具、手段创新•完善商用密码应用安全性评估标准体系•鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业秩序县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。•从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资评估机构质。落实“三同步一评估”要求JIKV5CipherGateway1.立法目的2.评估要求3.实施规范4.监督及法律责任法律.行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统■重要网络与信息系统其运营者应当使用商用密码进行保护同步规划、同步建设、同步运行商用密码保障系统并定期开展商用密码应用安全性评估岸制定商用密码应用方案，配备必要的资金和专业人员5.程序性事项细化重要网络与信息系统规划、建设、建成阶段的评估要求CipherGateway1.立法目的2.评估要求3.实施规范4.监督及法律责任5.程序性事项应当依照相关法律法规和标准规范，根据商用密码应用需求应当自寳或豈委任商用密码检测机构对商用密码应用方案进行商用密码应制定商用密码应用方案，规划商用密码保障系统用安全性评估商用密码应用方案未通过商用密码应用安全性评估的不得作为商用密码保障系统的建设依据应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施落实商用密码安全防护措施，建设商用密码保障系统重要网络与信息系统运行前应当旦行或者委托商用密码检测机构开展商用密码应用安全性评估网络与信息系统未通过商用密码应用安全性评估的运营者应当进行改造，改造期间理投入运行应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估确保商用密码保障系统正确有效运行未通过商用密码应用安全性评估的应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全商用密码应用方案开展应用安全性评估要求JIKV5CipherGateway1.立法目的2.评估要求3.实施规范4.监督及法律责任考量考量商用密码应用需求的全面性、合理性和针对性，对照相关标准规范选取适用指标的准确性，以及不适用指标论证的充分性。分析分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽。・编制J编制形成商用密码应用安全性评估报告。.论证J论证商用密码技术、产品和服务选用的合规性，密钥管理的安全性，以及使用商用密码解决安全风险的科学性。5.程序性事项对建设完成的网络与信息系统开展商用密码应用安全性评估要求CipherGateway1.立法目的准确划定评估范日2.评估要求用密码应用安全性评估3.实施规范开展现场评估03).现场评估4.监督及法律责任编制形成商用密码应5.程序性事项对照商用密码应用方案，了解网络与信息系统基本情况,确定评估指标及评估对象，论证编帯根据客观凭据逐项对评估指标进行判定,依据商用密码应用安全性评估实施方案做好数据采集和信息汇总，研判商用密码保障系统配置及运行情况。.确定评估指标及对象用安全性评估报告.划定评估范围値）.编制评估报告运营者以合规为前提开展商用密码应用安全性评估活动CipherGatewayy开展商用密码应用安全性评估活动应当遵守法律法规、标准规范要求，遵循客观实际、科学公正、诚实信用原则运营者-----------------------------------商用密码检测机构开展商用密码应用安全性评估，评估结果施加影响，需提供如下支持:1.立法目的2.评估要求3.实施规范4.监督及法律责任5.程序性事项重要数据备份对网络与信息系统的重要数据进行备份；设备清单和网络拓扑提供完整有效的网络与信息系统设备清单和网络拓扑；运营维护记录提供详细的网络与信息系统商用密码应用方案、密码相关管理制度和密码配置、运行、维护记录;管理入口提供商用密码产品管理入口、网络交换设备接入端口等相关信息、数据接入分析条件，并配合进行数据采集；管理员安排网络与信息系统相关网络管理员、系统管理员、商用密码产品管理员等做好配合；其他事项其他需要配合的事项。运营者自行开展网络与信息系统展商用密码应用安全性评估的要求CipherGateway1.立法目的2.评估要求自行开展商用密码应用安全性评估的网络与信息系统，其运营者应当符合以下要求:具有与开展商用密码应用安全性评估活动相适应的商用密码检测设备设施；具有与开展商用密码应用安全性评估活动相适应的专业技术人员；具有与开展商用密码应用安全性评估活动相适应的项目管理、质量管理、人员管理、档案管理、安全保密管理等规章制度。3.实施规范4.监督及法律责任应当符合其他要求注意：商用密码应用安全性评估原始记录和商用密码应用安全性评估报告应当归档留存，保证其具有可追溯性，保存自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告相关国家标准■行业标准和有关规定的要求由本单位负责人签字确认并加盖本单位公章。期限不得少于6年。5.程序性事项应当责令相关运营者重新提供商用密码应用安全性评估报告。相关商用密码检测机构应当配合运营者重新开展商用密码应用安全性评估或者重新出具商用密码应用安全性评估报告，不得重复收取费用。1.立法目的2.评估要求3.实施规范4.监督及法律责任5.程序性事项重要网络与信息系统运营者应当在商用密码应用安全性评估报告形成30日内将评估报告连同相关工作情况按照国家有关规定报送网络与信息系统所在地省、自治区、直辖市密码管理部门国家密码管理局重要网络与信息系统运营者应向管理部门备案评估报告CipherGateway不通过材料形式备案9检测机构相关商用密码检测机构应当寶停承接新的商用密码应用安全性评估业务，配合运营置重新开展商用密码应用安全性评估并履行备案程序，并不得重复收取费用。t其他要求重要网络与信息系统运营者责令相关运营者重新提供商用密码应用安全性评估报告1.立法目的2.评估要求3.实施规范4.监督及法律责任5.程序性事项报送按季度省，自治区.直辖市密码管理部门按季度抽取备案材料本地区商用密码应用安全性评估工作开展情况进行技术复核国家密码管理局按季度抽取备案材料并技术复核CipherGateway不合格密码相关重大事件必要时启动应急处置方案CipherGateway1.立法目的2.评估要求3.实施规范4.监督及法律责任密码相关重大事件运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的，应当及时向国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门报告，必要时启动应急处置方案并开展商用密码应用安全性评估。专项检查县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位可以根据工作需要，对本地区、本机关、本单位或者本系统的重要网络与信息系统商用密码应用安全性评估情况开展专项5.程序性事项重要网络与信息系统运营者法律责任Ci