商用密碼應用安全性評估各方職責

       根(gen)據《商用(yong)(yong)密(mi)碼應用(yong)(yong)安全(quan)性(xing)評(ping)(ping)(ping)估(gu)管理辦法（試行）》《商用(yong)(yong)密(mi)碼應用(yong)(yong)安全(quan)性(xing)測評(ping)(ping)(ping)機構(gou)管理辦法（試行）》等有(you)關規定的要(yao)求，測評(ping)(ping)(ping)機構(gou)和(he)測評(ping)(ping)(ping)人員、網(wang)絡(luo)與信息系統責任(ren)單位、密(mi)碼管理部門三方在密(mi)評(ping)(ping)(ping)工(gong)作中的職責各不(bu)相同，只有(you)三方通力協(xie)作配合，才能將(jiang)密(mi)評(ping)(ping)(ping)工(gong)作扎實(shi)做好。

       商用密(mi)碼應(ying)用安(an)(an)全性(xing)評(ping)估工作(zuo)是一項專(zhuan)業性(xing)很強的工作(zuo)，需要專(zhuan)門的測(ce)(ce)評(ping)機構派出專(zhuan)業測(ce)(ce)評(ping)人員實施測(ce)(ce)評(ping)，測(ce)(ce)評(ping)結果作(zuo)為密(mi)碼應(ying)用安(an)(an)全性(xing)評(ping)估結論的重要依據。

       測(ce)(ce)(ce)(ce)評(ping)(ping)機構(gou)是(shi)商用(yong)密(mi)碼(ma)應用(yong)安(an)全(quan)(quan)性評(ping)(ping)估的(de)承(cheng)擔單(dan)位，應當按照(zhao)有關法律法規和標(biao)準要(yao)求科學、公正地開(kai)展評(ping)(ping)估。承(cheng)擔商用(yong)密(mi)碼(ma)應用(yong)安(an)全(quan)(quan)性評(ping)(ping)估工作(zuo)的(de)測(ce)(ce)(ce)(ce)評(ping)(ping)機構(gou)，需(xu)要(yao)經過(guo)國家密(mi)碼(ma)管理(li)部門(men)組織(zhi)的(de)試點(dian)培(pei)育，經評(ping)(ping)審后，納入(ru)試點(dian)測(ce)(ce)(ce)(ce)評(ping)(ping)機構(gou)目錄；在測(ce)(ce)(ce)(ce)評(ping)(ping)過(guo)程中，需(xu)要(yao)全(quan)(quan)面、客觀地反(fan)映被(bei)測(ce)(ce)(ce)(ce)系(xi)統的(de)密(mi)碼(ma)應用(yong)安(an)全(quan)(quan)狀態(tai)，不得泄露被(bei)測(ce)(ce)(ce)(ce)評(ping)(ping)對象的(de)工作(zuo)秘密(mi)和重要(yao)數據(ju)，不得妨礙被(bei)測(ce)(ce)(ce)(ce)系(xi)統的(de)正常運行。測(ce)(ce)(ce)(ce)評(ping)(ping)機構(gou)完成商用(yong)密(mi)碼(ma)應用(yong)安(an)全(quan)(quan)性評(ping)(ping)估工作(zuo)后，應在30個工作(zuo)日內將評(ping)(ping)估結果報(bao)國家密(mi)碼(ma)管理(li)部門(men)備案。

       從事(shi)商用(yong)密碼應用(yong)安全性評(ping)(ping)估工作的測(ce)評(ping)(ping)人(ren)員應當(dang)通過國家密碼管理(li)部(bu)門（或其授權的機構(gou)）組織的考核，遵守國家有(you)關(guan)法律(lv)法規(gui)，按照(zhao)相(xiang)關(guan)標準，為用(yong)戶提供，安全、客觀、公正的評(ping)(ping)估服務，保證評(ping)(ping)估的質(zhi)量和效(xiao)果。

       網(wang)絡(luo)與信息(xi)(xi)系(xi)統(tong)責(ze)任單(dan)位即網(wang)絡(luo)與信息(xi)(xi)系(xi)統(tong)建(jian)設、使用、管(guan)理單(dan)位，是商用密碼(ma)應(ying)用安(an)全性評估的責(ze)任單(dan)位，應(ying)當健全密碼(ma)保障系(xi)統(tong)，并(bing)在規劃(hua)、建(jian)設和運行階段(duan)，組織開展商用密碼(ma)應(ying)用安(an)全性評估工作，并(bing)負主體責(ze)任。重要領域網(wang)絡(luo)與信息(xi)(xi)系(xi)統(tong)的運營者，應(ying)按(an)如下要求開展工作。

       第一，系統(tong)規劃階段，網(wang)絡(luo)與信息系統(tong)責任單位應(ying)當依(yi)據商用(yong)(yong)密(mi)碼技術標準，制定商用(yong)(yong)密(mi)碼應(ying)用(yong)(yong)建設方(fang)案（簡稱密(mi)碼應(ying)用(yong)(yong)方(fang)案），組織專家(jia)或委托具有相(xiang)關資質(zhi)的測(ce)評機構(gou)進行評估(gu)。其中，使(shi)用(yong)(yong)財政性資金(jin)建設的網(wang)絡(luo)與信息系統(tong)，商用(yong)(yong)密(mi)碼應(ying)用(yong)(yong)安(an)全(quan)性評估(gu)結果應(ying)作為項目立項的必(bi)備材(cai)料。

       第二，系統建設完成后，網絡與信(xin)息系統責任單(dan)位應當委托(tuo)具有相關資(zi)質的(de)測(ce)評(ping)機構(gou)進行商用(yong)密碼應用(yong)安全性(xing)評(ping)估(gu)(gu)，評(ping)估(gu)(gu)結果作(zuo)為項目建設驗(yan)收的(de)必(bi)備材(cai)料，評(ping)估(gu)(gu)通過后，方可投入運行。

       第三(san)(san)，系(xi)統(tong)投入運行(xing)后，網絡與信(xin)息(xi)(xi)系(xi)統(tong)責任單位(wei)應(ying)當委托具有相關資質的測(ce)評機構定(ding)期(qi)開(kai)展(zhan)商用密(mi)碼應(ying)用安全性評估(gu)。未通(tong)過評估(gu)的，網絡與信(xin)息(xi)(xi)系(xi)統(tong)責任單位(wei)應(ying)當按要求進(jin)行(xing)整(zheng)改(gai)并重新組織評估(gu)。其(qi)中，關鍵信(xin)息(xi)(xi)基礎設施、網絡安全等級保護第三(san)(san)級及(ji)以(yi)上信(xin)息(xi)(xi)系(xi)統(tong)每年至少評估(gu)一次。

       第(di)四(si)，系統發生(sheng)密碼相關重大安全(quan)(quan)事件(jian)、重大調整(zheng)或特殊(shu)緊急情況時，網絡與信息系統責(ze)任單位應(ying)(ying)當及時組織具有(you)相關資質的(de)測評機構開展商用密碼應(ying)(ying)用安全(quan)(quan)性評估，并(bing)依據評估結果進行應(ying)(ying)急處置，采(cai)取必要的(de)安全(quan)(quan)防范措施。

       第(di)五，完(wan)成規劃、建(jian)設、運行和應急評估(gu)后，網絡(luo)與信(xin)息(xi)系(xi)統責(ze)任(ren)單位應當在(zai)30個工(gong)作日內(nei)將評估(gu)結果報(bao)主管(guan)(guan)部(bu)(bu)門(men)(men)及所在(zai)地區（部(bu)(bu)門(men)(men)）的(de)密碼(ma)管(guan)(guan)理(li)部(bu)(bu)門(men)(men)備(bei)案（部(bu)(bu)委建(jian)設直管(guan)(guan)的(de)系(xi)統及其(qi)延(yan)伸系(xi)統，商用(yong)(yong)密碼(ma)應用(yong)(yong)安全性評估(gu)結果報(bao)部(bu)(bu)委密碼(ma)管(guan)(guan)理(li)部(bu)(bu)門(men)(men)備(bei)案）。

       網絡與信(xin)息系(xi)統(tong)責任(ren)單(dan)位應當認真履行密(mi)碼(ma)(ma)安(an)全(quan)主體責任(ren)，明確密(mi)碼(ma)(ma)安(an)全(quan)負(fu)責人，制定(ding)完(wan)善的密(mi)碼(ma)(ma)管理制度，按照(zhao)要求(qiu)開(kai)展商用(yong)(yong)密(mi)碼(ma)(ma)應用(yong)(yong)安(an)全(quan)性評估、備(bei)案和(he)整(zheng)改(gai)，配合密(mi)碼(ma)(ma)管理部門(men)和(he)有關(guan)部門(men)的安(an)全(quan)檢查。

       國(guo)家密(mi)碼管理部(bu)門(men)負(fu)責指(zhi)導、監督和(he)檢(jian)查(cha)全(quan)國(guo)的商用(yong)(yong)密(mi)碼應(ying)用(yong)(yong)安(an)全(quan)性評估工(gong)作；省（部(bu)）密(mi)碼管理部(bu)門(men)負(fu)責指(zhi)導、監督和(he)檢(jian)查(cha)本地區、本部(bu)門(men)、本行(xing)業（系統(tong)）的商用(yong)(yong)密(mi)碼應(ying)用(yong)(yong)安(an)全(quan)性評估工(gong)作。

       國(guo)家密碼管(guan)理部(bu)門(men)依據有(you)關規(gui)定，組織對測(ce)評(ping)機(ji)(ji)構(gou)工作(zuo)(zuo)開(kai)展情況進(jin)行(xing)監督檢查。檢查內(nei)容主要包括兩方面：對測(ce)評(ping)機(ji)(ji)構(gou)出具的評(ping)估(gu)結果的客(ke)觀、公允和真(zhen)實性進(jin)行(xing)評(ping)判(pan)；對測(ce)評(ping)機(ji)(ji)構(gou)開(kai)展評(ping)估(gu)工作(zuo)(zuo)的客(ke)觀、規(gui)范和獨立性進(jin)行(xing)檢查。

       各(ge)地(di)區（部(bu)門(men)）密(mi)(mi)碼管(guan)(guan)理(li)部(bu)門(men)根據工作需要，定期(qi)或不定期(qi)地(di)對本(ben)地(di)區、本(ben)部(bu)門(men)重要領域網絡與信(xin)息(xi)系統商用(yong)密(mi)(mi)碼應(ying)(ying)用(yong)安(an)全性(xing)評(ping)估工作落(luo)實(shi)情(qing)況(kuang)進(jin)行檢查(cha)。國家密(mi)(mi)碼管(guan)(guan)理(li)部(bu)門(men)對全國的(de)商用(yong)密(mi)(mi)碼應(ying)(ying)用(yong)安(an)全性(xing)評(ping)估工作落(luo)實(shi)情(qing)況(kuang)進(jin)行抽查(cha)。檢查(cha)的(de)主要內容包括：是(shi)否(fou)在規(gui)劃、建設、運行階段(duan)按照要求開展商用(yong)密(mi)(mi)碼應(ying)(ying)用(yong)安(an)全性(xing)評(ping)估，評(ping)估后問題整改情(qing)況(kuang)，評(ping)估結果有效性(xing)情(qing)況(kuang)等。