商(shang)用密碼應用安(an)全性(xing)評(ping)估管理辦(ban)法(fa)

第(di)一(yi)條 為了規(gui)范商(shang)用密碼(ma)應用安全(quan)性(xing)評估(gu)工作，保(bao)障網絡與信(xin)息安全(quan)，維(wei)護國家安全(quan)和社會(hui)公共利益，保(bao)護公民、法(fa)人和其他組織的合法(fa)權益，根據《中華人民共和國密碼(ma)法(fa)》、《商(shang)用密碼(ma)管理條例(li)》等有(you)關法(fa)律法(fa)規(gui)，制定本辦法(fa)。

第二條 本辦法所稱商用密碼(ma)(ma)應用安全(quan)性評估，是指按照有關法律法規(gui)和標準規(gui)范(fan)，對網絡與信息系統使用商用密碼(ma)(ma)技術、產品和服(fu)務(wu)的合規(gui)性、正確性、有效性進行檢測分析和評估驗(yan)證的活動(dong)。

第(di)三條(tiao) 國(guo)家密碼管(guan)理(li)局負責管(guan)理(li)全國(guo)的(de)商用密(mi)碼應用安全(quan)性(xing)評估工作。縣級以上地方(fang)各級密碼管(guan)(guan)理部門負責管(guan)(guan)理本行政區(qu)域的商用密碼應用安(an)全性評估工(gong)作(zuo)。

國家機(ji)關(guan)(guan)和涉及商用密(mi)碼工作(zuo)的單位(wei)在其(qi)職(zhi)責范(fan)圍內負責指導、監督本(ben)(ben)機(ji)關(guan)(guan)、本(ben)(ben)單位(wei)或者本(ben)(ben)系統的商用密(mi)碼(ma)應(ying)用安全(quan)性評(ping)估工作。

第四條 從事商用(yong)密碼應(ying)用(yong)安全性評估活動(dong)，向社會出具(ju)具(ju)有證(zheng)明作用的商用密碼(ma)應用安全性評估數據(ju)、結(jie)果的(de)機構，應當經(jing)國家密碼(ma)管理局認定，依法取得商(shang)用密碼(ma)檢測機構資質。

第五條 國家密碼管(guan)理局支持商用密碼(ma)應用安全(quan)性評估技術、標準、工具創新，完善(shan)商用(yong)密碼應用(yong)安全(quan)性評估標準體系，鼓勵設(she)立商用密碼應用安全(quan)性評估行業組織，加強行業自律，維護行業秩序。

第六條 法(fa)律、行政法(fa)規和國家有關規定要求(qiu)使用(yong)商(shang)用(yong)密(mi)碼進行保(bao)護(hu)的網絡與信息系統（以下簡(jian)稱(cheng)重要網(wang)絡與信息系統），其運(yun)營(ying)者應當使用(yong)商用(yong)密碼進(jin)行(xing)保護，制定(ding)商用(yong)密碼應用(yong)方案，配備必要(yao)的(de)資(zi)金和專業(ye)人員，同步(bu)規劃(hua)、同步(bu)建設、同步(bu)運(yun)行(xing)商用(yong)密碼保障系統(tong)，并(bing)定(ding)期開展商用密(mi)碼應用安全性評(ping)估。

第七條(tiao) 重(zhong)要網絡與信息系(xi)統規劃(hua)階段，其運營者應當依照相(xiang)關法律法規和(he)標準規范，根據商用(yong)密碼應用(yong)需(xu)求，制定商用(yong)密碼應用(yong)方(fang)案，規劃(hua)商用(yong)密碼保障系(xi)統(tong)。

重要網絡與信(xin)息系統(tong)的運營者(zhe)應當自行或者(zhe)委(wei)托商用密碼檢測(ce)機構對(dui)商用密碼(ma)應(ying)用方案進行商用密碼應(ying)用安(an)全性(xing)評估。商(shang)用密碼(ma)應用方案(an)未通過(guo)商(shang)用密碼(ma)應用安全性評估的，不得作(zuo)為商用密碼保障系統的建設依據。

第八條 重(zhong)要網(wang)絡與信息系(xi)統建設階段(duan)，其運營者應當按照(zhao)通過商用密碼應用安全性評(ping)估的商用(yong)密(mi)碼(ma)應用(yong)方案(an)組織實施，落(luo)實商用(yong)密(mi)碼(ma)安(an)全(quan)防護措施，建設(she)商用(yong)密(mi)碼(ma)保障系統(tong)。

重要網絡與信息(xi)系統運行前，其(qi)運營者(zhe)應當自行或(huo)者(zhe)委托(tuo)商(shang)用密碼(ma)檢測(ce)機構開展(zhan)商用密碼(ma)應(ying)用安(an)全性評估。網絡與(yu)信息系統未通(tong)過商(shang)用(yong)密碼應用(yong)安(an)全性(xing)評估的，運(yun)營者應當進行改造(zao)，改造(zao)期間不(bu)得投(tou)入運(yun)行。

第九條 重要網絡與信息系統(tong)建成(cheng)運(yun)行后，其(qi)運(yun)營者應當自行或(huo)者委托(tuo)商用密碼檢測機(ji)構每(mei)年至少開展一次商用密碼應用安全性評估，確(que)(que)保商用密(mi)碼(ma)保障(zhang)系統正確(que)(que)有效(xiao)運行。未通過商(shang)用(yong)密碼應用(yong)安全性評(ping)估的，運(yun)營者應當(dang)進行改(gai)造，并在改(gai)造期間采(cai)取必要措施(shi)保證(zheng)網絡與(yu)信息系統運行安全。

第十條 對商(shang)(shang)用密碼應用方案開展商(shang)(shang)用密碼應用安全性評估(gu)，應當包括以(yi)下內容：

（一）考量商用(yong)密碼(ma)應用(yong)需求的(de)全面性(xing)(xing)(xing)、合理性(xing)(xing)(xing)和針對性(xing)(xing)(xing)，對照相關標準規范選取適用(yong)指標的(de)準確性(xing)(xing)(xing)，以及不適用(yong)指標論證(zheng)的(de)充分性(xing)(xing)(xing)；

（二）分析商(shang)用密碼(ma)(ma)應(ying)(ying)用流程和機制是(shi)否具備可實施(shi)性、商(shang)用密碼(ma)(ma)保護措施(shi)是(shi)否達到相應(ying)(ying)的商(shang)用密碼(ma)(ma)應(ying)(ying)用要求、相關(guan)描(miao)述是(shi)否詳盡；

（三(san)）論證商(shang)(shang)用(yong)密(mi)碼技術(shu)、產品和(he)服務(wu)選用(yong)的合規性(xing)，密(mi)鑰管(guan)理的安全性(xing)，以及使用(yong)商(shang)(shang)用(yong)密(mi)碼解決安全風險的科學(xue)性(xing)；

（四）編制(zhi)形成商用(yong)(yong)密(mi)碼應用(yong)(yong)安全(quan)性評估報(bao)告。

第十一條 對建(jian)設完成的網絡(luo)與(yu)信息(xi)系統開(kai)展(zhan)商(shang)用(yong)密(mi)碼應用(yong)安全(quan)性評估，應當包括以下內容：

（一）對(dui)照(zhao)商(shang)用(yong)密碼(ma)應用(yong)方案，了解網絡與信息(xi)系(xi)統基本(ben)情況，準確劃定評估范(fan)圍；

（二）確定評估(gu)指(zhi)標及評估(gu)對象，論證編制(zhi)商用密碼(ma)應(ying)用安全性評估(gu)實(shi)施(shi)方(fang)(fang)案；

（三）依(yi)據商(shang)(shang)用(yong)密(mi)碼應用(yong)安全性(xing)評估實施方案，開(kai)展現場(chang)評估，做好數據采(cai)集和信息匯總(zong)，研判商(shang)(shang)用(yong)密(mi)碼保障系統(tong)配置及運(yun)行情(qing)況；

（四）根據(ju)客觀憑據(ju)逐項對評估指標進(jin)行判(pan)定，編(bian)制形(xing)成商用密碼應用安(an)全性評估報告(gao)。

第(di)十(shi)二條(tiao) 運(yun)營者開展商(shang)(shang)用(yong)密(mi)碼(ma)應用(yong)安(an)全性評估活動，應當(dang)(dang)遵(zun)(zun)守法律法規、標準規范要求(qiu)，遵(zun)(zun)循客觀實際、科學公(gong)正、誠實信用(yong)原則。委托商(shang)(shang)用(yong)密(mi)碼(ma)檢(jian)測機構開展商(shang)(shang)用(yong)密(mi)碼(ma)應用(yong)安(an)全性評估的，不(bu)得對評估結果施加不(bu)當(dang)(dang)影(ying)響，并應當(dang)(dang)提(ti)供(gong)以下支持：

（一）對(dui)網絡與(yu)信息系統的(de)重要數據(ju)進行備份；

（二）提供完整有效的網絡(luo)與信息系統設備(bei)清(qing)單(dan)和網絡(luo)拓撲；

（三）提供詳細(xi)的網絡與(yu)信息系(xi)統(tong)商(shang)用(yong)密碼應用(yong)方(fang)(fang)案、密碼相(xiang)關(guan)管理制度(du)和密碼配置(zhi)、運(yun)行、維護記錄；

（四）提供(gong)商用密(mi)碼產(chan)品管理(li)入口(kou)、網絡交換設備接(jie)入端口(kou)等相關信(xin)息、數(shu)據接(jie)入分(fen)析(xi)條件，并配(pei)合進行數(shu)據采集(ji)；

（五）安(an)排網絡與信息(xi)系統相關網絡管理(li)員、系統管理(li)員、密(mi)鑰管理(li)員、密(mi)碼安(an)全審計員、密(mi)碼操(cao)作員等(deng)做好配合(he)；

（六）其他需要配(pei)合的(de)事項。

第十(shi)三條 自(zi)行開展商用(yong)密碼(ma)應(ying)用(yong)安全性評(ping)估的網絡與(yu)信息系統，其(qi)運營者應(ying)當符合以下要(yao)求：

（一）具有與開展商用密碼應(ying)用安(an)全性評估活動相適應(ying)的設(she)(she)備設(she)(she)施；

（二）具有與開展商用密碼應用安全性評估活(huo)動(dong)相(xiang)適(shi)應的項目管(guan)(guan)(guan)理(li)、質量管(guan)(guan)(guan)理(li)、人員管(guan)(guan)(guan)理(li)、檔案管(guan)(guan)(guan)理(li)、安全保密管(guan)(guan)(guan)理(li)等規章制度；

（三）具(ju)有(you)與開展商用(yong)(yong)密碼應(ying)用(yong)(yong)安全性評估(gu)活動相適應(ying)的(de)專業人員；

（四）具有與(yu)開展商(shang)用密碼應用安全(quan)性評估活動相適(shi)應的專業能力。

自(zi)行(xing)(xing)開(kai)展商用密(mi)(mi)碼(ma)應(ying)用安全性(xing)評估形成的(de)商用密(mi)(mi)碼(ma)應(ying)用安全性(xing)評估報告，應(ying)當符合相關國家(jia)標準、行(xing)(xing)業(ye)標準和有關規定的(de)要求，由本(ben)單(dan)位密(mi)(mi)碼(ma)或者網絡(luo)安全負責人簽(qian)字確(que)認(ren)并(bing)加蓋本(ben)單(dan)位公章。

運營者應當對(dui)商(shang)用(yong)密碼(ma)應用(yong)安全性評估原始記錄和商(shang)用(yong)密碼(ma)應用(yong)安全性評估報告(gao)(gao)歸檔(dang)留存(cun)，保證其具有可追溯性。商(shang)用(yong)密碼(ma)應用(yong)安全性評估原始記錄和商(shang)用(yong)密碼(ma)應用(yong)安全性評估報告(gao)(gao)的保存(cun)期(qi)限不(bu)得少于6年。

第(di)十(shi)四(si)條 重要(yao)網絡(luo)與信息(xi)系統的運(yun)營者應當(dang)在商用(yong)密碼(ma)應用(yong)安全性評估(gu)報告(gao)形(xing)成后(hou)30日內，將評(ping)估(gu)報告(gao)和相關工作情況(kuang)按照(zhao)國(guo)家(jia)有關規定報送國(guo)家(jia)密碼管理局或者網(wang)絡與信息(xi)系(xi)統所在地省、自治(zhi)區、直轄市(shi)密碼管理部(bu)門備(bei)案(an)。

國(guo)家密碼(ma)(ma)管(guan)理局或者省、自(zi)治區、直轄市密碼(ma)(ma)管(guan)理部門對(dui)商用密碼(ma)(ma)應(ying)用安全(quan)性評估結果備案(an)材料(liao)(liao)進行形式審查(cha)(cha)。形式審查(cha)(cha)未(wei)通過的，相關運營者應(ying)當重新提交備案(an)材料(liao)(liao)。

國家密(mi)(mi)(mi)碼管理局可以(yi)對商用密(mi)(mi)(mi)碼應用安(an)全性評(ping)估結果進行抽(chou)樣(yang)檢查(cha)。抽(chou)樣(yang)檢查(cha)不合格的，相(xiang)關運(yun)營(ying)者應當重新開展(zhan)商用密(mi)(mi)(mi)碼應用安(an)全性評(ping)估。

省、自治區(qu)、直轄市密(mi)碼管理部門應當按季度(du)向(xiang)國家密(mi)碼管理局報送本地區(qu)商用密(mi)碼應用安全性評估工作(zuo)開展情況。

第十五條 運營者發現(xian)密(mi)碼(ma)相(xiang)關重大(da)安(an)(an)全(quan)事件(jian)、重大(da)密(mi)碼(ma)安(an)(an)全(quan)隱(yin)患(huan)或者特殊緊(jin)急情(qing)況的，應當及時向國家密(mi)碼(ma)管(guan)理局或者網(wang)絡與信息系(xi)統(tong)所在(zai)地省、自治區、直轄市密(mi)碼(ma)管(guan)理部門報告(gao)，并啟(qi)動(dong)應急處(chu)置方(fang)案，必(bi)要時開展商(shang)用(yong)密(mi)碼(ma)應用(yong)安(an)(an)全(quan)性評估。

第十六條 縣級以上地方各級密碼管理部門、國家機關(guan)和涉及(ji)商(shang)用密碼工(gong)作(zuo)的(de)單位可以根(gen)據工(gong)作(zuo)需要(yao)，對本(ben)地區(qu)、本(ben)機關(guan)、本(ben)單位或者本(ben)系統(tong)的(de)重要(yao)網絡與(yu)信息(xi)系統(tong)商(shang)用密碼應(ying)用安全(quan)性評估情況開展專項(xiang)檢查。

第十七條 重要網絡(luo)與信息系統的運營者違(wei)反《中(zhong)華人民共和(he)國密碼法(fa)》、《商用密碼管理條(tiao)例(li)》和(he)本辦法(fa)規定，有(you)下列情(qing)形之一的，由密碼管理部門責令(ling)改正(zheng)，給予警告(gao)；拒(ju)不改正(zheng)或者(zhe)有其他(ta)嚴重情節(jie)的，處10萬元以上100萬元以(yi)下罰款，對直接負責的主管人(ren)員(yuan)處(chu)1萬元以上10萬元以下(xia)罰款：

（一）重要網絡(luo)與(yu)信息(xi)系(xi)統規劃階段(duan)，未對商用(yong)(yong)密(mi)碼(ma)應用(yong)(yong)方案(an)進行商用(yong)密(mi)碼應用(yong)安全性(xing)評估的；

（二(er)）重要網絡與信(xin)息(xi)系(xi)統建(jian)設(she)階段，未按照通(tong)過(guo)商(shang)用(yong)密(mi)碼(ma)應用(yong)安全性評估(gu)的商(shang)用(yong)密(mi)碼(ma)應用(yong)方案建(jian)設(she)商(shang)用(yong)密(mi)碼(ma)保障系(xi)統的；

（三）重(zhong)要網絡與信息系統運(yun)行(xing)前，未開展商(shang)用(yong)密碼應用(yong)安全性評估的；

（四(si)）重要網絡與信息系統運行(xing)前，未通過(guo)商用(yong)密碼應(ying)用(yong)安全(quan)性評估且未進行(xing)改造的；

（五）重要網絡(luo)與(yu)信(xin)息系統建成(cheng)運行后，未定期開展商用(yong)密(mi)碼(ma)應用(yong)安全性(xing)評估的；

（六(liu)）重要網絡(luo)與(yu)信息系統建成(cheng)運行(xing)后(hou)，未(wei)通(tong)過定期(qi)開展(zhan)的商用密碼應用安全性評估且未(wei)進行(xing)改(gai)造的；

（七(qi)）違反法律法規、標準規范要求開展商用密碼應用安全(quan)性評估的；

（八）不符合相關要求自行開展商用密(mi)碼應用安全(quan)性評估的。

第(di)十八條 重(zhong)要網絡與信息系統的運營者違反(fan)本辦法規定，有下(xia)列(lie)情形之一的，由密(mi)碼(ma)管理部門責令改正(zheng)；逾期未改正或者改正后仍(reng)不符合(he)要求的(de)，處1萬元以(yi)上10萬(wan)元以下罰款(kuan)，對直接負(fu)責的主管人員(yuan)處5000元以上(shang)5萬元以下罰款：

（一）對商用密碼應(ying)用安全性評估(gu)結果施(shi)加不當影響的；

（二(er)）未為商用密碼(ma)應用安全(quan)性評(ping)估活動提供必要支持的(de)；

（三）未按照要求(qiu)進行商用密碼應用安(an)全性評估(gu)結果備案的。

第十九條 從事商(shang)用密碼應用安全(quan)性(xing)評估監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或(huo)者泄露、非(fei)法向他人提供(gong)在履行職責中(zhong)知悉的商(shang)業(ye)秘密、個人隱私、舉報(bao)人信(xin)息的，依法給予處分。

第二十(shi)條 本辦法施行前正在建設的(de)重要(yao)網絡與信息系統(tong)，其運(yun)營者應當(dang)加(jia)強商(shang)用密碼(ma)應用方(fang)案編(bian)制論證，建設完善商(shang)用密碼(ma)保(bao)障系統(tong)，并按(an)照本(ben)辦法第八條規(gui)定(ding)開展商(shang)用密碼(ma)應用安全性評估。

本辦法施(shi)行前已經投入(ru)運行的重要網絡(luo)與信息系統，其(qi)運營者(zhe)應當按照(zhao)本辦法第(di)九條(tiao)規(gui)定開展商用密碼應用安(an)全性(xing)評估。

第二十一條(tiao) 本辦法自2023年11月1日(ri)起施行。