【中英文对照版】商用密码应用安全性评估管理办法.docx

《【中英文对照版】商用密码应用安全性评估管理办法.docx》由会员分享，可在线阅读，更多相关《【中英文对照版】商用密码应用安全性评估管理办法.docx（17页珍藏版）》请在课桌文档上搜索。

1、商用密码应用安全性评估管理办法AdministrativeMeasuresfortheSecurityAssessmentofCommercialCryptographyApplication制定机关：国家密码管理局发文字号：国家密码管理局令第3号公布日期：2023.09.26施行日期：2023.11.01效力位阶：部门规章法规类别：商用密码IssuingAuthority：StateEncryptionAdministrationDocumentNumber:OrderNo.3oftheStaleCryptographyAdministrationDateIssued：09-26-2023E

2、ffectiveDate：11-01-20231.evelofAuthority：DepartmentalRulesAreaofLaw：CommercialCryptography国家密码管理局令OrderoftheStateCryptographyAdministration(No. 3)（第3号）商用密码应用安全性评估管理 办法已经2023年9月11日国 家密码管理局局务会议审议通 过，现予公布，自2023年11月 1日起施行。局长刘东方2023年9月26日TheAdministrativeMeasuresfortheSecurityAssessmentofCommercialCrypto

3、graphyApplication,asdeliberatedandadoptedattheexecutivemeetingoftheStateCryptographyAdministrationonSeptember11,2023,areherebyissuedandshallcomeintoforceonNovember1,2023.Director:LiuDongfangSeptember26,2023the SecurityCryptography商用密码应用安全性评估管理办 法AdministrativeMeasuresforAssessmentofCommercialApplica

4、tion第一条 为了规范商用密码 应用安全性评估工作，保障网络 与信息安全，维护国家安全和社 会公共利益，保护公民、法人和 其他组织的合法权益，根据中 华人民共和国密码法、商用 密码管理条例等有关法律法 规，制定本办法。第二条本办法所称商用密 码应用安全性评估，是指按照有 关法律法规和标准规范，对网络 与信息系统使用商用密码技术、 产品和服务的合规性、正确性、 有效性进行检测分析和评估验证 的活动。第三条国家密码管理局负 责管理全国的商用密码应用安全 性评估工作。县级以上地方各级 密码管理部门负责管理本行政区 域的商用密码应用安全性评估工 作。国家机关和涉及商用密码工作的Article1The

5、seMeasuresaredevelopedinaccordancewiththeCryptographyLawofthePeoplesRepublicofChina,theRegulationontheAdministrationofCommercialCryptography,andotherrelevantlawsandregulationstoregulatethesecurityassessmentofcommercialcryptographyapplication,guaranteecybersecurityandinformationsecurity,safeguardnati

6、onalsecurityandpublicinterest,andprotectthelawfulrightsandinterestsofcitizens,legalpersons,andotherorganizations.Article2ForthepurposesoftheseMeasures,securityassessmentofcommercialcryptographyapplicationmeanstheactivitiesoftesting,analyzing,assessing,andverifyingthecompliance,accuracy,andeffectiven

7、essofcommercialcryptographytechnologies,products,andservicesusedinnetworkandinformationsystemsinaccordancewithrelevantlaws,regulations,standards,andspecifications.Article3TheStateCryptographyAdministration(SCA)shallberesponsibleforadministeringthesecurityassessmentofcommercialcryptographyapplication

8、nationwide.Localcryptographyadministrationsatandabovethecountylevelshallberesponsibleforadministeringthesecurityassessmentofcommercialcryptographyapplicationwithintheirrespectiveadministrativeregions.Stateorgansandentitiesinvolvedinthecommercialcryptographyworkshall,withinthe单位在其职责范围内负责指导、 监督本机关、本单位

9、或者本系统 的商用密码应用安全性评估工 作。scopeoftheirduties,beresponsibleforguidingandsupervisingthesecurityassessmentofcommercialcryptographyapplicationwithintheirorgans,entities,orsystems.第四条从事商用密码应用 安全性评估活动，向社会出具具 有证明作用的商用密码应用安全 性评估数据、结果的机构，应当 经国家密码管理局认定，依法取 得商用密码检测机构资质。Article4Institutionsthatconductthesecurityass

10、essmentofcommercialcryptographyapplicationandprovidedataandresultswiththefunctionofprooftothepublicshallberecognizedbytheSCAandobtainthequalificationofacommercialcryptographytestinginstitutioninaccordancewiththelaw.第五条国家密码管理局支 持商用密码应用安全性评估技 术、标准、工具创新，完善商用 密码应用安全性评估标准体系， 鼓励设立商用密码应用安全性评 估行业组织，加强行业自律，维

11、 护行业秩序。Article5TheSCAshallsupportinnovationintechnologies,standards,andtoolsforthesecurityassessmentofcommercialcryptographyapplication,improvethesystemofstandardsforthesecurityassessmentofcommercialcryptographyapplication,encouragetheestablishmentofindustryorganizationsforthesecurityassessmentofcom

12、mercialcryptographyapplication,strengthenindustryself-regulation,andmaintaintheindustryorder.第六条法律、行政法规和 国家有关规定要求使用商用密码 进行保护的网络与信息系统（以 下简称重要网络与信息系统）， 其运营者应当使用商用密码进行 保护，制定商用密码应用方案， 配备必要的资金和专业人员，同 步规划、同步建设、同步运行商 用密码保障系统，并定期开展商 用密码应用安全性评估。Article6Anoperatorofanetworkandinformationsystemwhichshallbeprot

13、ectedbycommercialcryptographyasrequiredbylaws,administrativeregulations,andrelevantrulesofthestate(hereinafterreferredtoastheukeynetworkandinformationsystemn)shallusecommercialcryptographyforprotection,developcommercialcryptographyapplicationplans,allocatenecessaryfundsandprofessionals,concurrentlyp

14、lan,construct,andoperatecommercialcryptographysecuritysystems,andassessthesecurityofcommercialcryptographyapplicationonaperiodicalbasis.第七条重要网络与信息系 统规划阶段，其运营者应当依照 相关法律法规和标准规范，根据 商用密码应用需求，制定商用密 码应用方案，规划商用密码保障 系统。Article7Duringtheplanningstageofakeynetworkandinformationsystem,itsoperatorshallmakecomme

15、rcialcryptographyapplicationplansandplancommercialcryptographysecuritysystemsinaccordancewiththerelevantlaws,regulations,standards,andspecificationsandtheneedsofcommercialcryptographyapplication.重要网络与信息系统的运营者应 当自行或者委托商用密码检测机 构对商用密码应用方案进行商用 密码应用安全性评估。商用密码 应用方案未通过商用密码应用安 全性评估的，不得作为商用密码 保障系统的建设依据。Anope

16、ratorofakeynetworkandinformationsystemshallconductthesecurityassessmentofcommercialcryptographyapplicationorentrustacommercialcryptographytestinginstitutiontodoso.Acommercialcryptographyapplicationplanthatfailstopassthesecurityassessmentofcommercialcryptographyapplicationshallnotbetakenasthebasisfor

17、theconstructionofacommercialcryptographysecuritysystem.第八条重要网络与信息系 统建设阶段，其运营者应当按照 通过商用密码应用安全性评估的 商用密码应用方案组织实施，落 实商用密码安全防护措施，建设 商用密码保障系统。Article8Duringtheconstructionstageofakeynetworkandinformationsystem,itsoperatorshallorganizetheimplementationofthesystemaccordingtothecommercialcryptographyapplicat

18、ionplanthathaspassedthesecurityassessmentofcommercialcryptographyapplication,implementcommercialcryptographysecurityprotectionmeasures,andbuildacommercialcryptographysecuritysystem.重要网络与信息系统运行前，其 运营者应当自行或者委托商用密 码检测机构开展商用密码应用安 全性评估。网络与信息系统未通 过商用密码应用安全性评估的， 运营者应当进行改造，改造期间 不得投入运行。Beforetheoperationofak

19、eynetworkandinformationsystem,itsoperatorshallconductthesecurityassessmentofcommercialcryptographyapplicationorentrustacommercialcryptographytestinginstitutiontodoso.Ifanetworkandinformationsystemfailstopassthesecurityassessmentofcommercialcryptographyapplication,itsoperatorshallconducttransformatio

20、nandshallnotputthesystemintooperationduringthetransformationperiod.第九条重要网络与信息系 统建成运行后，其运营者应当自 行或者委托商用密码检测机构每 年至少开展一次商用密码应用安 全性评估，确保商用密码保障系 统正确有效运行。未通过商用密 码应用安全性评估的，运营者应 当进行改造，并在改造期间采取 必要措施保证网络与信息系统运 行安全。Article9Aftertheconstructionandoperationofakeynetworkandinformationsystem,itsoperatorshallconduct

21、thesecurityassessmentofcommercialcryptographyapplicationorentrustacommercialcryptographytestinginstitutiontodosoatleastonceayeartoensurethecorrectandeffectiveoperationofthecommercialcryptographysecuritysystem.Ifthesystemfailstopassthesecurityassessmentofcommercialcryptographyapplication,theoperators

22、hallconducttransformationandtakenecessarymeasuresduringthetransformationperiodtoensurethesecurityofthenetworkandinformationsystemoperation.第十条 对商用密码应用方 案开展商用密码应用安全性评 估，应当包括以下内容：Article10Thesecurityassessmentofcommercialcryptographyapplicationforacommercialcryptographyapplicationplanshallcoverthefoll

23、owing:（一）考量商用密码应用需求的 全面性、合理性和针对性，对照 相关标准规范选取适用指标的准 确性，以及不适用指标论证的充 分性；(1) Consideringthecomprehensiveness,reasonableness,andpertinenceofcommercialcryptographyapplicationneeds,theaccuracyofselectingapplicableindicatorsbyreferencetorelevantstandardsandspecifications,andtheadequacyofthedemonstrationofno

24、n-applicableindicators.（二）分析商用密码应用流程和 机制是否具备可实施性、商用密 码保护措施是否达到相应的商用 密码应用要求、相关描述是否详 尽；(2) Analyzingwhetherthecommercialcryptographyapplicationprocessandmechanismareexecutable,whethercommercialcryptographyprotectionmeasuressatisfythecorrespondingrequirementsfortheapplicationofcommercialcryptography,an

25、dwhethertherelevantdescriptionsaredetailed.（三）论证商用密码技术、产品 和服务选用的合规性，密钥管理 的安全性，以及使用商用密码解 决安全风险的科学性；(3) Demonstratingthecomplianceoftheselectionofcommercialcryptographytechnologies,products,andservices,thesecurityofkeymanagement,andthescientificnatureofusingcommercialcryptographytoresolvesecurityrisks

26、.（四）编制形成商用密码应用安 全性评估报告。(4) Preparingandformingreportsonthesecurityassessmentofcommercialcryptographyapplication.第十一条 对建设完成的网 络与信息系统开展商用密码应用 安全性评估，应当包括以下内 容：Article11Thesecurityassessmentofcommercialcryptographyapplicationforacompletednetworkandinformationsystemshallcoverthefollowingcontent:（一）对照商用密码

27、应用方案, 了解网络与信息系统基本情况, 准确划定评估范围；(1) Byreferencetothecommercialcryptographyapplicationplan,obtainingthebasicinformationonthenetworkandinformationsystemandaccuratelydefiningtheassessmentscope.（二）确定评估指标及评估对 象，论证编制商用密码应用安全 性评估实施方案；(2) Determiningassessmentindicatorsandtargetsanddemonstratingandpreparingim

28、plementationplansforthesecurityassessmentofcommercialcryptographyapplication.（三）依据商用密码应用安全性 评估实施方案，开展现场评估， 做好数据采集和信息汇总，研判 商用密码保障系统配置及运行情 况；(3) Conductingon-siteassessmentaccordingtotheimplementationplanforthesecurityassessmentofcommercialcryptographyapplication,collectingdataandsummarizinginformatio

29、n,andstudyinganddeterminingtheconfigurationandoperationofcommercialcryptographysecuritysystems.（四）根据客观凭据逐项对评估 指标进行判定，编制形成商用密(4) Determiningtheassessmentindicatorsitembyitembasedonobjectiveevidenceandpreparingreportsonthesecurityassessmentof码应用安全性评估报告。commercialcryptographyapplication.第十二条运营者开展商用 密码应

30、用安全性评估活动，应当 遵守法律法规、标准规范要求， 遵循客观实际、科学公正、诚实 信用原则。委托商用密码检测机 构开展商用密码应用安全性评估 的，不得对评估结果施加不当影 响，并应当提供以下支持：Article12Anoperatorconductingthesecurityassessmentofcommercialcryptographyapplicationshallcomplywiththerequirementsoflaws,regulations,standards,andspecificationsandadheretotheprinciplesofobjectivityand

31、practicality,Scientificity,impartiality,andintegrity.Ifacommercialcryptographytestinginstitutionisentrustedtoconductthesecurityassessmentofcommercialcryptographyapplication,itshallnotexertundueinfluenceontheassessmentresultsandshallprovidethefollowingsupport:（一）对网络与信息系统的重要 数据进行备份；(1) Itshallbackupim

32、portantdataofthenetworkandinformationsystem.（二）提供完整有效的网络与信 息系统设备清单和网络拓扑；(2) Itshallprovideacompleteandeffectivelistofnetworkandinformationsystemequipmentandnetworktopology.（三）提供详细的网络与信息系 统商用密码应用方案、密码相关 管理制度和密码配置、运行、维 护记录；(3) Itshallprovideadetailedcommercialcryptographyapplicationplanforthenetworkan

33、dinformationsystem,relevantmanagementrulesforcryptography,andcryptographyconfiguration,operation,andmaintenancerecords.（四）提供商用密码产品管理入 口、网络交换设备接入端口等相 关信息、数据接入分析条件，并 配合进行数据采集；(4) Itshallproviderelevantinformationsuchascommercialcryptographyproductmanagementaccess,networkswitchingequipmentaccessports,d

34、ataaccessanalysisconditions,andassistindatacollection.（五）安排网络与信息系统相关 网络管理员、系统管理员、密钥(5) Itshallassignnetworkandinformationsystem-relatednetworkadministrators,systemadministrators, key administrators, password security auditors, and password operators, among others, to cooperate.管理员、密码安全审计员、密码 操作员等做好配

35、合；(6) Other matters requiring cooperation.（六）其他需要配合的事项。Article 13 An operator of a network and information system that conducts the security assessment of commercial cryptography application shall satisfy the following requirements:第十三条 自行开展商用密 码应用安全性评估的网络与信息 系统，其运营者应当符合以下要 求：(1) It hastheequipmenta

36、nd facilitiesappropriateforconductingthe securityassessmentofcommercialcryptographyapplication.（一）具有与开展商用密码应用 安全性评估活动相适应的设备设 施；（二）具有与开展商用密码应用 安全性评估活动相适应的项目管 理、质量管理、人员管理、档案 管理、安全保密管理等规章制 度；(3) It has professionals competent conducting the security assessment commercial cryptography application.for （三

37、）具有与开展商用密码应用of安全性评估活动相适应的专业人员；(2)Ithasprojectmanagement,qualitymanagement,personnelmanagement,archivesmanagement,securityandconfidentialitymanagement,andotherrulesandregulationsappropriateforconductingthesecurityassessmentofcommercialcryptographyapplication.（四）具有与开展商用密码应用 安全性评估活动相适应的专业能 力O自行开展商用密码应用

38、安全性评估形成的商用密码应用安全性评估报告，应当符合相关国家标准、行业标准和有关规定的要(4)Ithasprofessionalcapabilitiesappropriateforconductingthesecurityassessmentofcommercialcryptographyapplication.Thereportsonthesecurityassessmentofcommercialcryptographyapplicationformedthroughtheself-assessmentofthesecurityofcommercialcryptographyapplica

39、tionshall求，由本单位密码或者网络安全 负责人签字确认并加盖本单位公 章Qsatisfytherequirementsoftherelevantnationalstandards,industrystandards,andtherelevantprovisions,andbesignedandconfirmedbythepersoninchargeofcryptographysecurityorcybersecurityandbeartheofficialsealoftheentity.运营者应当对商用密码应用安全 性评估原始记录和商用密码应用 安全性评估报告归档留存，保证 其具有可追

40、溯性。商用密码应用 安全性评估原始记录和商用密码 应用安全性评估报告的保存期限 不得少于6年。Theoperatorshallarchiveandretaintheoriginalrecordsofthesecurityassessmentofcommercialcryptographyapplicationandthereportsonthesecurityassessmentofcommercialcryptographyapplicationtoensuretheirtraceability.Theoriginalrecordsofthesecurityassessmentofcomme

41、rcialcryptographyapplicationandthereportsonthesecurityassessmentofcommercialcryptographyapplicationshallbekeptforatleastsixyears.第十四条重要网络与信息 系统的运营者应当在商用密码应 用安全性评估报告形成后30日 内，将评估报告和相关工作情况 按照国家有关规定报送国家密码 管理局或者网络与信息系统所在 地省、自治区、直辖市密码管理 部门备案。Article14Anoperatorofakeynetworkandinformationsystemshall,within

42、30daysaftertheformationofthereportonthesecurityassessmentofcommercialcryptographyapplication,submittheassessmentreportandreportrelevantworktotheSCAorthecryptographyadministrationoftheprovince,autonomousregion,ormunicipalitydirectlyundertheCentralGovernmentwherethenetworkandinformationsystemislocated

43、forrecordationinaccordancewiththerelevantrulesissuedbythestate.国家密码管理局或者省、自治 区、直辖市密码管理部门对商用 密码应用安全性评估结果备案材 料进行形式审查。形式审查未通 过的，相关运营者应当重新提交 备案材料。TheSCAorthecryptographyadministrationofaprovince,autonomousregion,ormunicipalitydirectlyundertheCentralGovernmentshallconductaformalreviewofmaterialsonthereco

44、rdationoftheresultsofthesecurityassessmentofcommercialcryptographyapplication.Iftheformalreviewisnotpassed,therelevantoperatorshallresubmitrecordationmaterials.国家密码管理局可以对商用密码 应用安全性评估结果进行抽样检 查Q抽样检查不合格的，相关运 营者应当重新开展商用密码应用 安全性评估。TheSCAmayconductsamplinginspectionsoftheresultsofthesecurityassessmentofco

45、mmercialcryptographyapplication.Iftheapplicationofcommercialcryptographyfailstopassthesampleinspection,therelevantoperatorshallconductthesecurityassessmentofcommercialcryptographyapplicationonceagain.省、自治区、直辖市密码管理部 门应当按季度向国家密码管理局 报送本地区商用密码应用安全性 评估工作开展情况。Thecryptographyadministrationofaprovince,auton

46、omousregion,ormunicipalitydirectlyundertheCentralGovernmentshall,onaquarterlybasis,reporttheinformationonthesecurityassessmentofcommercialcryptographyapplicationinitsregiontotheSCA.、第十五条运营者发现密码 相关重大安全事件、重大密码安 全隐患或者特殊紧急情况的，应 当及时向国家密码管理局或者网 络与信息系统所在地省、自治 区、直辖市密码管理部门报告， 并启动应急处置方案，必要时开 展商用密码应用安全性评估。第十六条

47、县级以上地方各 级密码管理部门、国家机关和涉 及商用密码工作的单位可以根据 工作需要，对本地区、本机关、 本单位或者本系统的重要网络与 信息系统商用密码应用安全性评 估情况开展专项检查。Article15Whereanoperatorfindsanymajorcryptography-reIatedsecurityincident,majorpotentialcryptographysecurityhazard,oranyparticularemergency,itshallpromptlyreporttheinformationtotheSCAorthecryptographyadminis

48、trationoftheprovince,autonomousregion,ormunicipalitydirectlyundertheCentralGovernmentwherethenetworkandinformationsystemislocated,launchanemergencyresponseplan,andcarryoutthesecurityassessmentofcommercialcryptographyapplicationifnecessary.Article16Localcryptographyadministrationsatorabovethecountylevel,stateorgans,andentitiesinvolvedinthecommercialcryptographyworkmay,asrequiredforwork,conductspecialinspectionsofthesecurityassessmentofcommercialcryptographyapplicationofkeynetworkandinformationsystemswithintheirrespectiveregions,organs,entities,orsystems.第十七条重要网络与信息 系统的运营者违反中华人民共 和国密码法、商用密码管