2023商用密碼應(yīng)用安全性評(píng)估管理辦法_第1頁(yè)
2023商用密碼應(yīng)用安全性評(píng)估管理辦法_第2頁(yè)
2023商用密碼應(yīng)用安全性評(píng)估管理辦法_第3頁(yè)
2023商用密碼應(yīng)用安全性評(píng)估管理辦法_第4頁(yè)
2023商用密碼應(yīng)用安全性評(píng)估管理辦法_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

-1-X商用密碼應(yīng)用安全性評(píng)估管理辦法第一條為了規(guī)范商用密碼應(yīng)用安全性評(píng)估工作,保障網(wǎng)絡(luò)與信息安全,維護(hù)國(guó)家安全和社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國(guó)密碼法》、《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī),制定本辦法。第二條本辦法所稱商用密碼應(yīng)用安全性評(píng)估,是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測(cè)分析和評(píng)估驗(yàn)證的活動(dòng)。第三條國(guó)家密碼管理局負(fù)責(zé)管理全國(guó)的商用密碼應(yīng)用安全性評(píng)估工作??h級(jí)以上地方各級(jí)密碼管理部門(mén)負(fù)責(zé)管理本行政區(qū)域的商用密碼應(yīng)用安全性評(píng)估工作。國(guó)家機(jī)關(guān)和涉及商用密碼工作的單位在其職責(zé)范圍內(nèi)負(fù)責(zé)指導(dǎo)、監(jiān)督本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估工作。第四條從事商用密碼應(yīng)用安全性評(píng)估活動(dòng),向社會(huì)出具具有證明作用的商用密碼應(yīng)用安全性評(píng)估數(shù)據(jù)、結(jié)果的機(jī)構(gòu),應(yīng)當(dāng)經(jīng)國(guó)家密碼管理局認(rèn)定,依法取得商用密碼檢測(cè)機(jī)構(gòu)資質(zhì)。第五條國(guó)家密碼管理局支持商用密碼應(yīng)用安全性評(píng)估技術(shù)、標(biāo)準(zhǔn)、工具創(chuàng)新,完善商用密碼應(yīng)用安全性評(píng)估標(biāo)準(zhǔn)體系,鼓勵(lì)設(shè)立商用密碼應(yīng)用安全性評(píng)估行業(yè)組織,加強(qiáng)行業(yè)自律,維護(hù)行業(yè)秩序。第六條法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)(以下簡(jiǎn)稱重要網(wǎng)絡(luò)與信息系統(tǒng)),其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng),并定期開(kāi)展商用密碼應(yīng)用安全性評(píng)估。第七條重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段,其運(yùn)營(yíng)者應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,根據(jù)商用密碼應(yīng)用需求,制定商用密碼應(yīng)用方案,規(guī)劃商用密碼保障系統(tǒng)。重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用方案未通過(guò)商用密碼應(yīng)用安全性評(píng)估的,不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。第八條重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段,其運(yùn)營(yíng)者應(yīng)當(dāng)按照通過(guò)商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案組織實(shí)施,落實(shí)商用密碼安全防護(hù)措施,建設(shè)商用密碼保障系統(tǒng)。重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前,其運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。網(wǎng)絡(luò)與信息系統(tǒng)未通過(guò)商用密碼應(yīng)用安全性評(píng)估的,運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造,改造期間不得投入運(yùn)行。第九條重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后,其運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)每年至少開(kāi)展一次商用密碼應(yīng)用安全性評(píng)估,確保商用密碼保障系統(tǒng)正確有效運(yùn)行。未通過(guò)商用密碼應(yīng)用安全性評(píng)估的,運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造,并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全。第十條對(duì)商用密碼應(yīng)用方案開(kāi)展商用密碼應(yīng)用安全性評(píng)估,應(yīng)當(dāng)包括以下內(nèi)容:(一)考量商用密碼應(yīng)用需求的全面性、合理性和針對(duì)性,對(duì)照相關(guān)標(biāo)準(zhǔn)規(guī)范選取適用指標(biāo)的準(zhǔn)確性,以及不適用指標(biāo)論證的充分性;(二)分析商用密碼應(yīng)用流程和機(jī)制是否具備可實(shí)施性、商用密碼保護(hù)措施是否達(dá)到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡;(三)論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規(guī)性,密鑰管理的安全性,以及使用商用密碼解決安全風(fēng)險(xiǎn)的科學(xué)性;(四)編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告。第十一條對(duì)建設(shè)完成的網(wǎng)絡(luò)與信息系統(tǒng)開(kāi)展商用密碼應(yīng)用安全性評(píng)估,應(yīng)當(dāng)包括以下內(nèi)容:(一)對(duì)照商用密碼應(yīng)用方案,了解網(wǎng)絡(luò)與信息系統(tǒng)基本情況,準(zhǔn)確劃定評(píng)估范圍;(二)確定評(píng)估指標(biāo)及評(píng)估對(duì)象,論證編制商用密碼應(yīng)用安全性評(píng)估實(shí)施方案;(三)依據(jù)商用密碼應(yīng)用安全性評(píng)估實(shí)施方案,開(kāi)展現(xiàn)場(chǎng)評(píng)估,做好數(shù)據(jù)采集和信息匯總,研判商用密碼保障系統(tǒng)配置及運(yùn)行情況;(四)根據(jù)客觀憑據(jù)逐項(xiàng)對(duì)評(píng)估指標(biāo)進(jìn)行判定,編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告。第十二條運(yùn)營(yíng)者開(kāi)展商用密碼應(yīng)用安全性評(píng)估活動(dòng),應(yīng)當(dāng)遵守法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求,遵循客觀實(shí)際、科學(xué)公正、誠(chéng)實(shí)信用原則。委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估的,不得對(duì)評(píng)估結(jié)果施加不當(dāng)影響,并應(yīng)當(dāng)提供以下支持:(一)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的重要數(shù)據(jù)進(jìn)行備份;(二)提供完整有效的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)拓?fù)?;(三)提供詳?xì)的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、運(yùn)行、維護(hù)記錄;(四)提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件,并配合進(jìn)行數(shù)據(jù)采集;(五)安排網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、密鑰管理員、密碼安全審計(jì)員、密碼操作員等做好配合;(六)其他需要配合的事項(xiàng)。第十三條自行開(kāi)展商用密碼應(yīng)用安全性評(píng)估的網(wǎng)絡(luò)與信息系統(tǒng),其運(yùn)營(yíng)者應(yīng)當(dāng)符合以下要求:(一)具有與開(kāi)展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的設(shè)備設(shè)施;(二)具有與開(kāi)展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度;(三)具有與開(kāi)展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的專業(yè)人員;(四)具有與開(kāi)展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的專業(yè)能力。自行開(kāi)展商用密碼應(yīng)用安全性評(píng)估形成的商用密碼應(yīng)用安全性評(píng)估報(bào)告,應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和有關(guān)規(guī)定的要求,由本單位密碼或者網(wǎng)絡(luò)安全負(fù)責(zé)人簽字確認(rèn)并加蓋本單位公章。運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)商用密碼應(yīng)用安全性評(píng)估原始記錄和商用密碼應(yīng)用安全性評(píng)估報(bào)告歸檔留存,保證其具有可追溯性。商用密碼應(yīng)用安全性評(píng)估原始記錄和商用密碼應(yīng)用安全性評(píng)估報(bào)告的保存期限不得少于6年。第十四條重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營(yíng)者應(yīng)當(dāng)在商用密碼應(yīng)用安全性評(píng)估報(bào)告形成后30日內(nèi),將評(píng)估報(bào)告和相關(guān)工作情況按照國(guó)家有關(guān)規(guī)定報(bào)送國(guó)家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門(mén)備案。國(guó)家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門(mén)對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果備案材料進(jìn)行形式審查。形式審查未通過(guò)的,相關(guān)運(yùn)營(yíng)者應(yīng)當(dāng)重新提交備案材料。國(guó)家密碼管理局可以對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果進(jìn)行抽樣檢查。抽樣檢查不合格的,相關(guān)運(yùn)營(yíng)者應(yīng)當(dāng)重新開(kāi)展商用密碼應(yīng)用安全性評(píng)估。省、自治區(qū)、直轄市密碼管理部門(mén)應(yīng)當(dāng)按季度向國(guó)家密碼管理局報(bào)送本地區(qū)商用密碼應(yīng)用安全性評(píng)估工作開(kāi)展情況。第十五條運(yùn)營(yíng)者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的,應(yīng)當(dāng)及時(shí)向國(guó)家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門(mén)報(bào)告,并啟動(dòng)應(yīng)急處置方案,必要時(shí)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。第十六條縣級(jí)以上地方各級(jí)密碼管理部門(mén)、國(guó)家機(jī)關(guān)和涉及商用密碼工作的單位可以根據(jù)工作需要,對(duì)本地區(qū)、本機(jī)關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估情況開(kāi)展專項(xiàng)檢查。第十七條重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營(yíng)者違反《中華人民共和國(guó)密碼法》、《商用密碼管理?xiàng)l例》和本辦法規(guī)定,有下列情形之一的,由密碼管理部門(mén)責(zé)令改正,給予警告;拒不改正或者有其他嚴(yán)重情節(jié)的,處10萬(wàn)元以上100萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款:(一)重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段,未對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估的;(二)重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段,未按照通過(guò)商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的;(三)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前,未開(kāi)展商用密碼應(yīng)用安全性評(píng)估的;(四)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前,未通過(guò)商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的;(五)重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后,未定期開(kāi)展商用密碼應(yīng)用安全性評(píng)估的;(六)重要網(wǎng)絡(luò)與信息系統(tǒng)建成運(yùn)行后,未通過(guò)定期開(kāi)展的商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的;(七)違反法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估的;(八)不符合相關(guān)要求自行開(kāi)展商用密碼應(yīng)用安全性評(píng)估的。第十八條重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營(yíng)者違反本辦法規(guī)定,有下列情形之一的,由密碼管理部門(mén)責(zé)令改正;逾期未改正或者改正后仍不符合要求的,處1萬(wàn)元以上10萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處5000元以上5萬(wàn)元以下罰款:(一)對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果施加不當(dāng)影響的;(二)未為商用密碼應(yīng)用安全性評(píng)估活動(dòng)提供必要支持的;(三)未按照要求進(jìn)行商用密碼應(yīng)用安全性評(píng)估結(jié)果備案的。第十九條從事商用密碼應(yīng)用安全性評(píng)估監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論