商用密码应用安全性评估管理办法(试行) 国家密码管理局 2017年4月22日印发 第一章 总则 第一条 为规范重要领域网络和信息系统商用密码应用安全性评估工作,发 挥密码在保障网络安全中的核心支撑作用, 根据 《中华人民共和国网络安全法》 、 《商用密码管理条例》 以及国家关于网络安全等级保护和重要领域密码应用的有 关要求,制定本办法。 第二条 本办法所称商用密码应用安全性评估,是指在采用商用密码技术、 产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有 效性等进行评估。 第三条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、 使用、管理单位(以下简称责任单位) ,应当健全密码保障体系,实施 商用密码 应用安全性评估。 重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资 源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关 键信息基础设施、网络安全等级保护第三级及以上的信息系统。 第四条 国家密码管理部门负责指导、监督和检查全国商用密码应用安全性 评估工作。省 (部)密码管理部门负责指导、监督和检查本地区、本部门、本行业 (系统 )商用密码应用安全性评估工作。 第二章 评估程序 第五条 责任单位应当在系统规划、建设和运行阶段,组织开展商用密码应 用安全性评估工作。 第六条 商用密码应用安全性评估工作由国家密码管理部门认定的密码测评 机构 (以下简称测评机构 )承担,国家密码管理部门定期发布测评机构目录。国家 密码管理部门会同国务院公安部门制定测评机构的有关技术与管理规范, 组织测 评机构业务培训。 第七条 评估工作应当遵守国家法律法规和相关标准,遵循独立、客观、公 正的原则。 国家标准化管理部门、国家密码管理部门根据各自职责,制定发布商用密码 应用安全性评估国家标准、行业标准。 第八条 重要领域网络和信息系统规划阶段,责任单位应当依据商用密码应 用安全性有关标准 ,制定商用密码应用建设方案 ,组织专家 或委托测评机构进行评 估, 评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材 料。 第九条 重要领域网络和信息系统建设完成后,责任单位应当委托测评机构 进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料。 第十条 重要领域网络和信息系统投入运行后,责任单位应当委托测评机构 定期开展商用密码应用安全性评估。评估未通过 , 责任单位应当限期整改并重新 组织评估。 关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评 估一次, 测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全 测 评、网络安全等级保护测评同步进行。其他信息系统定期开展检查和抽查。 第十一条 重要领域网络和信息系统发生密码相关重大安全件、重大调整或 特殊紧急情况,责任单位应当及时组织测评机构开展商用密码应用安全性评估。 第十二条 测评机构完成商用密码应用安全性评估工作后,应在 30 个工作 日内将评估结果报国家密码管理部门备案。 责任单位完成规划、建设、运行和应急评估后,应在 30 个工作日内将评估 结果报主管部门及所在地区 (部门 )密码管理部门备案。其中,网络安全等级保护 第三级及以上信息系统,评估结果应同时报所在地区公安部门备案。 第三章 监督管理 第十三条 责任单位应按照本办法开展商用密码应用安全性评估工作,并对 评估工作承担管理责任,接受密码管理部门的监督、检查和指导。 责任单位在评估过程中违反本办法有关规定的, 其主管部门和密码管理部门 应当依据有关规定予以处罚。 第十四条 各地区 (部门 )密码管理部门根据工作需要,不定期对本地区 (部门 ) 重要领域网络和信息系统开展商用密码应用全性专项检查。 国家密码管理部门根据工作需要,不定期对各地区 (部门 )商用密码应用安全 性评估工作开展检查, 并对有关重要领域网络和信息系统进行抽查。 第十五条 国 家、省 (区、市 )相关主管部门在开展重要领域网络和信息系统安全检查时,应将 商用密码应用安全性评估情况作为重要检查内容。 第十六条 国家密码管理部门对测评机构进行监督检查,并根据需要对测评 机构的评估结果进行抽查。 第十七条 测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人 隐私,对所出具的商用密码应用安全性评估结 果负责。有弄虚作假、泄露秘密等 违反相关规定的行为,按照国家相关法律法规予以处罚。 第四章 附则 第十八条 本办法施行前已经投入使用的重要领域网络和信息系统,应按照 本办法要求开展商用密码应用安全性评估,根据评估结果进行密码升级改造。在 升级改造期间,责任单位应当采取必要措施保证系统安全运行。 第十九条 未设立密码管理机构的有关部门,应指定本部门负责密码应用安 全性评估的主管单位,根据本办法规定开展评估工作。 第二十条 本办法第三条规定范围之外的其他网络和信息系统,其责任单位 可以参考本办法自愿开展商用密码应用安全性 评估。 第二十一条 本办法由国家密码管理局负责解释。 第二十二条 本办法自 2017 年 4 月 22 日起施行。

pdf文档 商用密码应用安全性评估管理办法(试行)

文档预览
中文文档 3 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共3页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
商用密码应用安全性评估管理办法(试行) 第 1 页 商用密码应用安全性评估管理办法(试行) 第 2 页 商用密码应用安全性评估管理办法(试行) 第 3 页
本文档由 思安2023-07-15 21:19:47上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言