商用密码应用安全性评估管理办法.docx
《商用密码应用安全性评估管理办法.docx》由会员分享,可在线阅读,更多相关《商用密码应用安全性评估管理办法.docx(8页珍藏版)》请在第一文库网上搜索。
1、商用密码应用安全性评估管理办法已经2023年9月11日国家密码管理局局务会议审议通过,现予公布,自2023年11月1日起施行。2023年9月26日商用密码应用安全性评估管理办法第一条为了规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据中华人民共和国密码法、商用密码管理条例等有关法律法规,制定本办法。第二条本办法所称商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。第三条国家密码管理局负责管理全国的商用密码应用安全性评估工
2、作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。第四条从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。第五条国家密码管理局支持商用密码应用安全性评估技术、标准、工具创新,完善商用密码应用安全性评估标准体系,鼓励设立商用密码应用安全性评估行业组织,加强行业自律,维护行业秩序。第六条法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(
3、以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。第七条重要网络与信息系统规划阶段,其运营者应当依照相关法律法规和标准规范,根据商用密码应用需求,制定商用密码应用方案,规划商用密码保障系统。重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的,不得作为商用密码保障系统的建设依据。第八条重要网络与信息系统建设阶段,其运营者应当按照通过商用密码应用安全性评估的商
4、用密码应用方案组织实施,落实商用密码安全防护措施,建设商用密码保障系统。重要网络与信息系统运行前,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的,运营者应当进行改造,改造期间不得投入运行。第九条重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。第十条对商用密码应用方案开展商用密码应用安全性评估,应当包括以下内容:(一)考量商用密码应用
5、需求的全面性、合理性和针对性,对照相关标准规范选取适用指标的准确性,以及不适用指标论证的充分性;(二)分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽;(三)论证商用密码技术、产品和服务选用的合规性,密钥管理的安全性,以及使用商用密码解决安全风险的科学性;(四)编制形成商用密码应用安全性评估报告。第十一条对建设完成的网络与信息系统开展商用密码应用安全性评估,应当包括以下内容:(一)对照商用密码应用方案,了解网络与信息系统基本情况,准确划定评估范围;(二)确定评估指标及评估对象,论证编制商用密码应用安全性评估实施方案;(三)依据商用密码
6、应用安全性评估实施方案,开展现场评估,做好数据采集和信息汇总,研判商用密码保障系统配置及运行情况;(四)根据客观凭据逐项对评估指标进行判定,编制形成商用密码应用安全性评估报告。第十二条运营者开展商用密码应用安全性评估活动,应当遵守法律法规、标准规范要求,遵循客观实际、科学公正、诚实信用原则。委托商用密码检测机构开展商用密码应用安全性评估的,不得对评估结果施加不当影响,并应当提供以下支持:(一)对网络与信息系统的重要数据进行备份;(二)提供完整有效的网络与信息系统设备清单和网络拓扑;(三)提供详细的网络与信息系统商用密码应用方案、密码相关管理制度和密码配置、运行、维护记录;(四)提供商用密码产品
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商用 密码 应用 安全性 评估 管理办法