商用密码应用安全评估管理办法

"商用密码应用安全性评估管理办法（试行）" 本文档主要介绍了中国在商用密码应用安全性评估方面的管理规定，旨在规范重要领域网络和信息系统的密码应用，确保网络安全。管理办法适用于涉及国家安全和社会公共利益的重要领域，如基础信息网络、关键信息基础设施等。 一、管理办法的总则 1. 法规依据：该办法根据《中华人民共和国网络安全法》和《商用密码管理条例》等相关法规制定，旨在发挥商用密码在网络安全中的核心作用。 2. 定义：商用密码应用安全性评估是指对采用密码技术、产品和服务的网络和信息系统进行合规性、正确性和有效性的评估。 3. 责任单位：重要领域的建设、使用和管理单位需建立健全密码保障体系，并执行商用密码应用安全性评估。 二、评估程序 1. 评估阶段：责任单位在系统规划、建设和运行阶段需组织评估工作。 2. 测评机构：国家密码管理部门认定的测评机构负责评估，其名单由国家密码管理部门定期公布。 3. 规范与原则：评估应遵循国家法律法规、相关标准，坚持独立、客观、公正。 4. 标准制定：国家标准化管理部门和密码管理部门负责制定商用密码应用安全性评估的国家标准和行业标准。 5. 评估流程：规划阶段需制定密码应用建设方案并进行专家评估；建设完成后，须委托测评机构进行安全评估；运行后定期评估，未通过则需整改。 三、重要领域网络和信息系统的要求 1. 规划阶段：评估结果是规划立项的重要依据和使用财政资金的必备材料。 2. 建设完成：评估结果作为项目建设验收的必备条件。 3. 运行期间：定期评估，未达标需在限期内整改并重新评估。 4. 关键信息基础设施和网络安全等级保护第三级以上信息系统每年至少评估一次。 这个试行的管理办法旨在确保重要领域的网络和信息系统的密码应用安全，通过规范化的评估程序和严格的监管，提升整体网络安全水平。责任单位必须遵循这些规定，确保密码技术的有效运用和系统的安全性。同时，国家密码管理部门和相关部门将提供指导、监督和检查，以促进商用密码应用的安全性和合规性。