商用密碼應(yīng)用安全性評(píng)估管理辦法

（2023年9月26日國家密碼管理局令第3號(hào)公布  自2023年11月1日起施行）

第一條　為了規(guī)范商用密碼應(yīng)用安全性評(píng)估工作，保障網(wǎng)絡(luò)與信息安全，維護(hù)國家安全和社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，根據(jù)《中華人民共和國密碼法》、《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，制定本辦法。

第二條　本辦法所稱商用密碼應(yīng)用安全性評(píng)估，是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測分析和評(píng)估驗(yàn)證的活動(dòng)。

第三條　國家密碼管理局負(fù)責(zé)管理全國的商用密碼應(yīng)用安全性評(píng)估工作?？h級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼應(yīng)用安全性評(píng)估工作。

國家機(jī)關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)指導(dǎo)、監(jiān)督本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估工作。

第四條　從事商用密碼應(yīng)用安全性評(píng)估活動(dòng)，向社會(huì)出具具有證明作用的商用密碼應(yīng)用安全性評(píng)估數(shù)據(jù)、結(jié)果的機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國家密碼管理局認(rèn)定，依法取得商用密碼檢測機(jī)構(gòu)資質(zhì)。

第五條　國家密碼管理局支持商用密碼應(yīng)用安全性評(píng)估技術(shù)、標(biāo)準(zhǔn)、工具創(chuàng)新，完善商用密碼應(yīng)用安全性評(píng)估標(biāo)準(zhǔn)體系，鼓勵(lì)設(shè)立商用密碼應(yīng)用安全性評(píng)估行業(yè)組織，加強(qiáng)行業(yè)自律，維護(hù)行業(yè)秩序。

第六條　法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)（以下簡稱重要網(wǎng)絡(luò)與信息系統(tǒng)），其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，并定期開展商用密碼應(yīng)用安全性評(píng)估。

第七條　重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段，其運(yùn)營者應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，根據(jù)商用密碼應(yīng)用需求，制定商用密碼應(yīng)用方案，規(guī)劃商用密碼保障系統(tǒng)。

重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評(píng)估的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。

第八條　重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段，其運(yùn)營者應(yīng)當(dāng)按照通過商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案組織實(shí)施，落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)。

重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前，其運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。網(wǎng)絡(luò)與信息系統(tǒng)未通過商用密碼應(yīng)用安全性評(píng)估的，運(yùn)營者應(yīng)當(dāng)進(jìn)行改造，改造期間不得投入運(yùn)行。

第九條　重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后，其運(yùn)營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評(píng)估，確保商用密碼保障系統(tǒng)正確有效運(yùn)行。未通過商用密碼應(yīng)用安全性評(píng)估的，運(yùn)營者應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全。

第十條　對(duì)商用密碼應(yīng)用方案開展商用密碼應(yīng)用安全性評(píng)估，應(yīng)當(dāng)包括以下內(nèi)容：

（一）考量商用密碼應(yīng)用需求的全面性、合理性和針對(duì)性，對(duì)照相關(guān)標(biāo)準(zhǔn)規(guī)范選取適用指標(biāo)的準(zhǔn)確性，以及不適用指標(biāo)論證的充分性；

（二）分析商用密碼應(yīng)用流程和機(jī)制是否具備可實(shí)施性、商用密碼保護(hù)措施是否達(dá)到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡；

（三）論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規(guī)性，密鑰管理的安全性，以及使用商用密碼解決安全風(fēng)險(xiǎn)的科學(xué)性；

（四）編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告。

第十一條　對(duì)建設(shè)完成的網(wǎng)絡(luò)與信息系統(tǒng)開展商用密碼應(yīng)用安全性評(píng)估，應(yīng)當(dāng)包括以下內(nèi)容：

（一）對(duì)照商用密碼應(yīng)用方案，了解網(wǎng)絡(luò)與信息系統(tǒng)基本情況，準(zhǔn)確劃定評(píng)估范圍；

（二）確定評(píng)估指標(biāo)及評(píng)估對(duì)象，論證編制商用密碼應(yīng)用安全性評(píng)估實(shí)施方案；

（三）依據(jù)商用密碼應(yīng)用安全性評(píng)估實(shí)施方案，開展現(xiàn)場評(píng)估，做好數(shù)據(jù)采集和信息匯總，研判商用密碼保障系統(tǒng)配置及運(yùn)行情況；

（四）根據(jù)客觀憑據(jù)逐項(xiàng)對(duì)評(píng)估指標(biāo)進(jìn)行判定，編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告。

第十二條　運(yùn)營者開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)，應(yīng)當(dāng)遵守法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求，遵循客觀實(shí)際、科學(xué)公正、誠實(shí)信用原則。委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估的，不得對(duì)評(píng)估結(jié)果施加不當(dāng)影響，并應(yīng)當(dāng)提供以下支持：

（一）對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的重要數(shù)據(jù)進(jìn)行備份；

（二）提供完整有效的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)拓?fù)洌?/span>

（三）提供詳細(xì)的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、運(yùn)行、維護(hù)記錄；

（四）提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件，并配合進(jìn)行數(shù)據(jù)采集；

（五）安排網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、密鑰管理員、密碼安全審計(jì)員、密碼操作員等做好配合；

（六）其他需要配合的事項(xiàng)。

第十三條　自行開展商用密碼應(yīng)用安全性評(píng)估的網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營者應(yīng)當(dāng)符合以下要求：

（一）具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的設(shè)備設(shè)施；

（二）具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度；

（三）具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的專業(yè)人員；

（四）具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的專業(yè)能力。

自行開展商用密碼應(yīng)用安全性評(píng)估形成的商用密碼應(yīng)用安全性評(píng)估報(bào)告，應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和有關(guān)規(guī)定的要求，由本單位密碼或者網(wǎng)絡(luò)安全負(fù)責(zé)人簽字確認(rèn)并加蓋本單位公章。

運(yùn)營者應(yīng)當(dāng)對(duì)商用密碼應(yīng)用安全性評(píng)估原始記錄和商用密碼應(yīng)用安全性評(píng)估報(bào)告歸檔留存，保證其具有可追溯性。商用密碼應(yīng)用安全性評(píng)估原始記錄和商用密碼應(yīng)用安全性評(píng)估報(bào)告的保存期限不得少于6年。

第十四條　重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者應(yīng)當(dāng)在商用密碼應(yīng)用安全性評(píng)估報(bào)告形成后30日內(nèi)，將評(píng)估報(bào)告和相關(guān)工作情況按照國家有關(guān)規(guī)定報(bào)送國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門備案。

國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果備案材料進(jìn)行形式審查。形式審查未通過的，相關(guān)運(yùn)營者應(yīng)當(dāng)重新提交備案材料。

國家密碼管理局可以對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果進(jìn)行抽樣檢查。抽樣檢查不合格的，相關(guān)運(yùn)營者應(yīng)當(dāng)重新開展商用密碼應(yīng)用安全性評(píng)估。

省、自治區(qū)、直轄市密碼管理部門應(yīng)當(dāng)按季度向國家密碼管理局報(bào)送本地區(qū)商用密碼應(yīng)用安全性評(píng)估工作開展情況。

第十五條　運(yùn)營者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的，應(yīng)當(dāng)及時(shí)向國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報(bào)告，并啟動(dòng)應(yīng)急處置方案，必要時(shí)開展商用密碼應(yīng)用安全性評(píng)估。

第十六條　縣級(jí)以上地方各級(jí)密碼管理部門、國家機(jī)關(guān)和涉及商用密碼工作的單位可以根據(jù)工作需要，對(duì)本地區(qū)、本機(jī)關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估情況開展專項(xiàng)檢查。

第十七條　重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者違反《中華人民共和國密碼法》、《商用密碼管理?xiàng)l例》和本辦法規(guī)定，有下列情形之一的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者有其他嚴(yán)重情節(jié)的，處10萬元以上100萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處1萬元以上10萬元以下罰款：

（一）重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段，未對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估的；

（二）重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段，未按照通過商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的；

（三）重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前，未開展商用密碼應(yīng)用安全性評(píng)估的；

（四）重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前，未通過商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的；

（五）重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后，未定期開展商用密碼應(yīng)用安全性評(píng)估的；

（六）重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后，未通過定期開展的商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的；

（七）違反法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求開展商用密碼應(yīng)用安全性評(píng)估的；

（八）不符合相關(guān)要求自行開展商用密碼應(yīng)用安全性評(píng)估的。

第十八條　重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者違反本辦法規(guī)定，有下列情形之一的，由密碼管理部門責(zé)令改正；逾期未改正或者改正后仍不符合要求的，處1萬元以上10萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處5000元以上5萬元以下罰款：

（一）對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果施加不當(dāng)影響的；

（二）未為商用密碼應(yīng)用安全性評(píng)估活動(dòng)提供必要支持的；

（三）未按照要求進(jìn)行商用密碼應(yīng)用安全性評(píng)估結(jié)果備案的。

第十九條　從事商用密碼應(yīng)用安全性評(píng)估監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人隱私、舉報(bào)人信息的，依法給予處分。

第二十條　本辦法施行前正在建設(shè)的重要網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營者應(yīng)當(dāng)加強(qiáng)商用密碼應(yīng)用方案編制論證，建設(shè)完善商用密碼保障系統(tǒng)，并按照本辦法第八條規(guī)定開展商用密碼應(yīng)用安全性評(píng)估。

本辦法施行前已經(jīng)投入運(yùn)行的重要網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營者應(yīng)當(dāng)按照本辦法第九條規(guī)定開展商用密碼應(yīng)用安全性評(píng)估。

第二十一條　本辦法自2023年11月1日起施行。