商用密码应用安全性评估管理办法（试行）.docx

《商用密码应用安全性评估管理办法（试行）》是中国为了加强网络安全，特别是重要领域网络和信息系统的密码安全保障而出台的一项法规。该办法旨在规范商用密码在网络安全中的应用，确保密码技术的有效性和合规性，以达到保障国家安全和社会公共利益的目标。 1. **适用范围与责任单位** - 本办法适用于涉及国家安全和社会公共利益的重要领域网络和信息系统，如基础信息网络、关键信息基础设施、重要工业控制系统等。 - 责任单位，即这些系统的建设、使用和管理单位，需要建立密码保障体系，执行商用密码应用安全性评估。 2. **评估程序** - 评估工作需在系统规划、建设和运行三个阶段进行，由国家密码管理部门认定的测评机构执行。 - 国家和地方密码管理部门负责指导、监督和检查评估工作，并定期发布测评机构目录。 - 评估需遵守国家法律法规和相关标准，坚持独立、客观、公正原则。 3. **商用密码应用安全性评估** - 规划阶段，责任单位应依据商用密码应用安全性标准制定方案，并进行专家或测评机构的评估。 - 建设完成后，责任单位需委托测评机构进行评估，评估结果是项目验收的必要条件。 - 运行阶段，定期进行评估，关键信息基础设施每年至少评估一次。 - 发生密码相关安全事件、重大调整或紧急情况时，需及时评估。 4. **监督管理** - 责任单位需按照本办法执行评估，接受主管部门和密码管理部门的监督和处罚。 - 各地区（部门）密码管理部门和国家密码管理部门将定期进行专项检查和抽查。 - 安全检查中，商用密码应用安全性评估情况是重要内容。 5. **测评机构职责** - 测评机构必须在规定时间内报告评估结果，且需保守秘密，对评估结果负责。 6. **附则** - 已投入使用的系统需按照本办法进行评估和密码升级。 - 未设立密码管理机构的部门需指定主管单位进行评估。 - 其他非规定范围内的网络和信息系统可自愿参照本办法进行评估。 通过这些规定，国家旨在确保商用密码在网络安全中的关键角色得到充分发挥，增强整体网络安全防护能力，防止密码相关风险对重要领域造成影响。同时，这也强调了各责任单位和测评机构在密码安全中的责任和义务，以确保国家和公民的信息安全。