炼石图解《商用密码应用安全性评估管理办法》V1.0
AI智能总结
炼石网络2023年11月1日起施行 规范商用密码应用安全性评估工作 请输入关键字 制定目的 热门搜索:商用密码电子认证 电子签名 首页机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>信息公开>政策法规>部门规章 2023年10月7日,国家密码管理局发布《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)自2023年11月1日起施行,旨在规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。 商用密码应用安全性评估管理办法国家密码管理局令第3号) 发布日期:2023-10-07来源【字体:大中小打印 国家密码管理局令 第3号 过,现予公布,自2023年11月1日起施行。 局长刘东方2023年9月26日 商用密码应用安全性评估管理办法 第一条为了规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》、《商用密码管理条 《办法》制定的必要性 商用密码应用安全性评估是加强和规范商用密码应用的重要抓手 国家密码管理局公告 (第42号) 商用密码应用安全性评估试点机构目录 (共48家,以行政区划为序) 《中华人民共和国密码法》 商用密码应用安全性评估试点 新修订《商用密码管理条例》 第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求,为贯彻落实上位法规定,急需制定《办法》: 2017年以来,国家密码管理部门组织开展一系列商用密码应用安全性评估试点,在试点过程中,商用密码应用安全性评估的基本要求和思路做法已逐步得到相关管理部门、运营者和评估机构的认同,为《办法》的制定奠定了坚实的实践基础。 颁布实施后,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理。 统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定; 依法规范商用密码应用安全性评估工作。 《办法》制定的总体思路 体现商用密码应用安全性评估系统性原则 明确商用密码应用安全性评估实施依据 细化落实 “三同步一评估”要求 按照《密码法》、《条例》规定,《办法》对依法应当使用商用密码进行保护的重要网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。 按照《密码法》、《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定,《办法》分别明确了相关要求,并就两者需共同遵守的行为规范作出规定,从而明确了商用密码应用安全性评估活动的实施依据,有助于规范提升商用密码应用安全性评估工作质量。 《办法》将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系 在实施中“按照同一套标准、遵循同一套程序、囊括同一套活动”,确保重要网络与信息系统全生命周期落实商用密码应用安全性评估要求。 细化商用密码应用安全性评估要求,丛规划、建设、运行各个阶段分别提出落实安排、明确评估程序及内容,建立起商用密码应用安全性评估制度的基本框架。 将商用密码应用安全性评估机构统一纳入商用密码检测机构管理,进一步体现工作的系统性整体性。 《办法》主要内容 《办法》共21条 2.程序及内容要求 1.总体要求 明确概念定义,商用密码应用安全性评估是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。2规定管理体制,包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单位的监督管理职权。3.明确从业机构资质要求以及发展保障支持。提出对商用密码应用安全性评估从业机构的资质要求,以及对商用密码应用安全性评估行业发展的保障支持。规定商用密码应用安全性评估的对象范围。 1.规定“三同步一评估”的总体要求。2.明确不同阶段密评的程序要求。重要网络与信息系统规划、建设、运行各阶段的商用密码应用安全性评估的程序要求。3.根据不同对象提出密评内容要求。针对商用密码应用方案、网络与信息系统两类不同对象,分别提出商用密码应用安全性评估的内容要求。 4.监督检查及法律责任 3.实施规范 规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合义务。2.规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范,3规定商用密码应用安全性评估结果备案制度。规定运营者开展应急处置的有关内容。 规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督检查职权。2.明确了运营者的违法情形及法律责任。3.规定了商用密码应用安全性评估管理人员的责任义务。 5.其他事项 规定了本办法实施的过渡安排和施行时间。 炼石整理:《商用密码应用安全性评估管理办法》总览 贯彻落实上位法,保障网络与信息安全 立法目的 为了规范商用密码应用安全性评估工作保障网络与信息安全,维护国家安全和社会公共利益保护公民、法人和其他组织的合法权益 本办法所称商用密码应用安全性评估 是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。 制定依据 根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本办法 商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理 2017年4月22日起施行的《商用密码应用安全性评估管理办法(试行)》(注:该试行办法已被本次新发布的密评管理办法替代),曾明确定义:“重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。 且前对“重要网络与信息系统”界定,依据是“法律、行政法规和国家有关规定”可参考本文P1023的政策清单(附录1-4) 附录1国家层面密码应用及密评相关法律法规 附录22国家层面密码应用及密评相关政策文件 附录33各部门密码应用及密评相关政策文件 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策2 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策5 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策) 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策87 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策 附录4各省(自治区、直辖市)及新疆生产建设兵团密码应用及密评政策:10 细化重要网络与信息系统规划、建设、建成阶段的评估要求 商用密码应用方案开展应用安全性评估要求 考量 编制 考量商用密码应用需求的全面性、合理性和针对性,对照相关标准规范选取适用指标的准确性,以及不适用指标论证的充分性 分析 论证 分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽。 论证商用密码技术、产品和服务选用的合规性,密钥管理的安全性,以及使用商用密码解决安全风险的科学性。 对建设完成的网络与信息系统开展商用密码应用安全性评估要求 运营者以合规为前提开展商用密码应用安全性评估活动 开展商用密码应用安全性评估活动 应当遵守法律法规、标准规范要求,遵循客观实际、科学公正、诚实信用原则 管理入口 管理员 其他事项 运营者自行开展网络与信息系统展商用密码应用安全性评估的要求 自行开展商用密码应用安全性评估的网络与信息系统,其运营者应当符合以下要求: 1.总体要求 具有与开展商用密码应用安全性评估活动相适应的项目管理、质量管理、人员管理、档案管理、安全保密管理等规章制度; 具有与开展商用密码应用安全性评估活动相适应的专业能力。 具有与开展商用密码应用安全性评估活动相适应的设备设施; 具有与开展商用密码应用安全性评估活动相适应的专业人员 2. 程序及内容要求 3.实施规范 相关国家标准、行业标准和有关规定的要求 4. 监督检查及法律责任 由本单位密码或者网络安全负责人签字确认并加盖本单位公章。 注意:运营者应当对商用密码应用安全性评估原始记录和商用密码应用安全性评估报告归档留存,保证其具有可追溯性。商用密码应用安全性评估原始记录和商用密码应用安全性评估报告的保存期限不得少于6年。 5.其他事项 重要网络与信息系统运营者应向管理部门备案评估报告 注意:省、自治区、直辖市密码管理部门应当按季度向国家密码管理局报送本地区商用密码应用安全性评估工作开展情况 密码相关重大事件必要时启动应急处置方案 密码相关重大事件 专项检查 运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的,应当及时向国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门报告,并启动应急处置方案,必要时开展商用密码应用安全性评估。 县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位可以根据工作需要,对本地区、本机关、本单位或者本系统的重要网络与信息系统商用密码应用安全性评估情况开展专项检查。 正建和已运行的重要网络与信息系统的评估要求 1.总体要求 本办法施行前正在建设的重要网络与信息系统,其运营者应当加强商用密码应用方案编制论证建设完善商用密码保障系统,并按照本办法第八条规定开展商用密码应用安全性评估。 2.程序及内容要求 3.实施规范 本办法施行前已经投入运行的重要网络与信息系统,其运营者应当按照本办法第九条规定开展商用密码应用安全性评估。 4.监督检查及法律责任 本办法自2023年11月1日起施行。 公司介绍:炼石就是数据安全 炼石是以“免改造”为创新特色的数据安全产品厂商,自研可灵活挂载多种安全能力的免改造平台,帮政企客户打造领先的数据安全保护体系。 客户交付:1平台、2价值、3阶段、4指标、5能力 场景化数据安全建设 产品矩阵:免改造的全面数据保护,支持灵活部署 免改造增强数据安全 无需改动目标应用系统的代码,即可为各行业应用系统增强数据加密、脱敏、审计保护能力 高性能国密保障效率 具备PCT国际专利保护的高性能国密技术,在单颗InteICPU上实现SM4加解密速度突破140Gbps 适应复杂应用架构 有效兼容各行业的广泛应用架构,如JAVA、C等主流开发语言、兼容开放协议的关系型数据库和非关系型数据库、兼容Linux/信创os/Windows等 集中式管控分布式保护 引入批量应用系统的“集中式管控,分布式保护”体系,自上到下的全层级部署管控 服务体系:4通用服务+2专项咨询 专项咨询 炼石免改造数据安全
