商用密碼應(yīng)用監(jiān)管體系（第1部分：總則）

3商用密碼應(yīng)用監(jiān)管體系第1部分：總則本文件確定了商用密碼應(yīng)用監(jiān)管體系的監(jiān)管主體、監(jiān)管對(duì)象、監(jiān)管領(lǐng)域、監(jiān)管周期、監(jiān)管內(nèi)容和監(jiān)管交互。本文件適用于商用密碼應(yīng)用監(jiān)管體系規(guī)劃、設(shè)計(jì)、建設(shè)和應(yīng)用。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T40692-2021政務(wù)信息系統(tǒng)定義和范圍3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1政務(wù)信息系統(tǒng)governmentinformationsystem由政務(wù)部門建設(shè)、運(yùn)行或使用的，用于直接支持政務(wù)部門工作或履行其職能的各類信息系統(tǒng)。執(zhí)行政務(wù)信息處理的基礎(chǔ)設(shè)施、數(shù)據(jù)系統(tǒng)、業(yè)務(wù)系統(tǒng)、服務(wù)系統(tǒng)均屬于政務(wù)信息系統(tǒng)。［來(lái)源：GB/T40692-2021，4］3.2監(jiān)管內(nèi)容supervisioncontent在商用密碼應(yīng)用監(jiān)管活動(dòng)中，監(jiān)管主體對(duì)監(jiān)管對(duì)象所實(shí)施的具體監(jiān)督和管理事項(xiàng)。4監(jiān)管體系由監(jiān)管主體、監(jiān)管對(duì)象、法律法規(guī)、規(guī)章制度等構(gòu)成的有機(jī)整體，是對(duì)商用密碼的應(yīng)用方案、應(yīng)用建設(shè)、應(yīng)用安全性評(píng)估、應(yīng)用成效等各個(gè)環(huán)節(jié)進(jìn)行監(jiān)督和管理的體系。這一體系旨在監(jiān)督和規(guī)范商用密碼的應(yīng)用和管理，保障網(wǎng)絡(luò)與信息安全，維護(hù)國(guó)家安全和社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益。5監(jiān)管主體行政區(qū)域內(nèi)負(fù)責(zé)密碼工作的管理單位，行業(yè)領(lǐng)域內(nèi)涉及密碼工作的管理單位。46監(jiān)管對(duì)象行政區(qū)域內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運(yùn)營(yíng)者、電子認(rèn)證服務(wù)機(jī)構(gòu)、開(kāi)展密評(píng)工作的商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)。7監(jiān)管領(lǐng)域商用密碼應(yīng)用監(jiān)管覆蓋的領(lǐng)域范圍。7.1關(guān)鍵信息基礎(chǔ)設(shè)施公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。7.2重要信息系統(tǒng)基礎(chǔ)信息網(wǎng)絡(luò)、涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、政務(wù)信息系統(tǒng)和面向社會(huì)服務(wù)的信息系統(tǒng)，以及其他網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)。7.3商用密碼能力支撐系統(tǒng)針對(duì)一個(gè)或多個(gè)信息系統(tǒng)的應(yīng)用需求，通過(guò)組織整合、集成優(yōu)化各類商用密碼資源，提供可共享共用的商用密碼資源和服務(wù)，為一個(gè)或多個(gè)信息系統(tǒng)的公共需求提供統(tǒng)一的商用密碼應(yīng)用。7.4電子認(rèn)證服務(wù)按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，為關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、商用密碼能力支撐系統(tǒng)提供數(shù)字證書(shū)服務(wù)、和電子簽名認(rèn)證服務(wù)，保證電子認(rèn)證的真實(shí)性和可靠性的活動(dòng)。7.5電子認(rèn)證服務(wù)機(jī)構(gòu)為關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、商用密碼能力支撐系統(tǒng)提供數(shù)字證書(shū)服務(wù)和電子認(rèn)證服務(wù)，符合法律法規(guī)要求的第三方服務(wù)機(jī)構(gòu)。7.6商用密碼應(yīng)用安全性評(píng)估按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進(jìn)行檢測(cè)分析和評(píng)估驗(yàn)證的活動(dòng)。7.7商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)符合法律法規(guī)要求的，開(kāi)展商用密碼應(yīng)用安全性評(píng)估的第三方機(jī)構(gòu)。7.8其他監(jiān)管領(lǐng)域經(jīng)法律法規(guī)授權(quán)允許的其他監(jiān)管領(lǐng)域。8監(jiān)管周期監(jiān)管主體履行其監(jiān)管職能所涵蓋的商用密碼應(yīng)用各階段，包括但不限于：5a）商用密碼應(yīng)用方案編制；b）商用密碼應(yīng)用建設(shè)；c）商用密碼應(yīng)用安全性評(píng)估；d）商用密碼應(yīng)用成效。9監(jiān)管內(nèi)容監(jiān)管主體開(kāi)展各類商用密碼應(yīng)用監(jiān)管的內(nèi)容，包括但不限于：a）數(shù)字證書(shū)應(yīng)用監(jiān)管；b）商用密碼算法應(yīng)用監(jiān)管；c）密鑰生命周期監(jiān)管；d）隨機(jī)數(shù)質(zhì)量監(jiān)管；e）商用密碼功能應(yīng)用監(jiān)管；f）電子認(rèn)證服務(wù)監(jiān)管；g）商用密碼應(yīng)用安全性評(píng)估監(jiān)管；h）商用密碼資產(chǎn)監(jiān)管；i）其他監(jiān)管。10監(jiān)管交互指監(jiān)管主體之間、監(jiān)管主體和監(jiān)管對(duì)象之間監(jiān)管內(nèi)容和監(jiān)管數(shù)據(jù)的交互，監(jiān)管交互包括但不限于：a）高層級(jí)監(jiān)管主體與低層級(jí)監(jiān)管主體之間的交互；b）同級(jí)監(jiān)管主體與監(jiān)管對(duì)象之間的交互；c）行業(yè)監(jiān)管主體與