《【中英文对照版】商用密码应用安全性评估管理办法.docx》由会员分享,可在线阅读,更多相关《【中英文对照版】商用密码应用安全性评估管理办法.docx(17页珍藏版)》请在第壹文秘上搜索。
1、商用密码应用安全性评估管理办法AdministrativeMeasuresfortheSecurityAssessmentofCommercialCryptographyApplication制定机关:国家密码管理局发文字号:国家密码管理局令第3号公布日期:2023.09.26施行日期:2023.11.01效力位阶:部门规章法规类别:商用密码IssuingAuthority:StateEncryptionAdministrationDocumentNumber:OrderNo.3oftheStaleCryptographyAdministrationDateIssued:09-26-2023E
2、ffectiveDate:11-01-20231.evelofAuthority:DepartmentalRulesAreaofLaw:CommercialCryptography国家密码管理局令OrderoftheStateCryptographyAdministration(No. 3)(第3号)商用密码应用安全性评估管理 办法已经2023年9月11日国 家密码管理局局务会议审议通 过,现予公布,自2023年11月 1日起施行。局长刘东方2023年9月26日TheAdministrativeMeasuresfortheSecurityAssessmentofCommercialCrypto
3、graphyApplication,asdeliberatedandadoptedattheexecutivemeetingoftheStateCryptographyAdministrationonSeptember11,2023,areherebyissuedandshallcomeintoforceonNovember1,2023.Director:LiuDongfangSeptember26,2023the SecurityCryptography商用密码应用安全性评估管理办 法AdministrativeMeasuresforAssessmentofCommercialApplica
4、tion第一条 为了规范商用密码 应用安全性评估工作,保障网络 与信息安全,维护国家安全和社 会公共利益,保护公民、法人和 其他组织的合法权益,根据中 华人民共和国密码法、商用 密码管理条例等有关法律法 规,制定本办法。第二条本办法所称商用密 码应用安全性评估,是指按照有 关法律法规和标准规范,对网络 与信息系统使用商用密码技术、 产品和服务的合规性、正确性、 有效性进行检测分析和评估验证 的活动。第三条国家密码管理局负 责管理全国的商用密码应用安全 性评估工作。县级以上地方各级 密码管理部门负责管理本行政区 域的商用密码应用安全性评估工 作。国家机关和涉及商用密码工作的Article1The
5、seMeasuresaredevelopedinaccordancewiththeCryptographyLawofthePeoplesRepublicofChina,theRegulationontheAdministrationofCommercialCryptography,andotherrelevantlawsandregulationstoregulatethesecurityassessmentofcommercialcryptographyapplication,guaranteecybersecurityandinformationsecurity,safeguardnati
6、onalsecurityandpublicinterest,andprotectthelawfulrightsandinterestsofcitizens,legalpersons,andotherorganizations.Article2ForthepurposesoftheseMeasures,securityassessmentofcommercialcryptographyapplicationmeanstheactivitiesoftesting,analyzing,assessing,andverifyingthecompliance,accuracy,andeffectiven
7、essofcommercialcryptographytechnologies,products,andservicesusedinnetworkandinformationsystemsinaccordancewithrelevantlaws,regulations,standards,andspecifications.Article3TheStateCryptographyAdministration(SCA)shallberesponsibleforadministeringthesecurityassessmentofcommercialcryptographyapplication
8、nationwide.Localcryptographyadministrationsatandabovethecountylevelshallberesponsibleforadministeringthesecurityassessmentofcommercialcryptographyapplicationwithintheirrespectiveadministrativeregions.Stateorgansandentitiesinvolvedinthecommercialcryptographyworkshall,withinthe单位在其职责范围内负责指导、 监督本机关、本单位
9、或者本系统 的商用密码应用安全性评估工 作。scopeoftheirduties,beresponsibleforguidingandsupervisingthesecurityassessmentofcommercialcryptographyapplicationwithintheirorgans,entities,orsystems.第四条从事商用密码应用 安全性评估活动,向社会出具具 有证明作用的商用密码应用安全 性评估数据、结果的机构,应当 经国家密码管理局认定,依法取 得商用密码检测机构资质。Article4Institutionsthatconductthesecurityass
10、essmentofcommercialcryptographyapplicationandprovidedataandresultswiththefunctionofprooftothepublicshallberecognizedbytheSCAandobtainthequalificationofacommercialcryptographytestinginstitutioninaccordancewiththelaw.第五条国家密码管理局支 持商用密码应用安全性评估技 术、标准、工具创新,完善商用 密码应用安全性评估标准体系, 鼓励设立商用密码应用安全性评 估行业组织,加强行业自律,维
11、 护行业秩序。Article5TheSCAshallsupportinnovationintechnologies,standards,andtoolsforthesecurityassessmentofcommercialcryptographyapplication,improvethesystemofstandardsforthesecurityassessmentofcommercialcryptographyapplication,encouragetheestablishmentofindustryorganizationsforthesecurityassessmentofcom
12、mercialcryptographyapplication,strengthenindustryself-regulation,andmaintaintheindustryorder.第六条法律、行政法规和 国家有关规定要求使用商用密码 进行保护的网络与信息系统(以 下简称重要网络与信息系统), 其运营者应当使用商用密码进行 保护,制定商用密码应用方案, 配备必要的资金和专业人员,同 步规划、同步建设、同步运行商 用密码保障系统,并定期开展商 用密码应用安全性评估。Article6Anoperatorofanetworkandinformationsystemwhichshallbeprot
13、ectedbycommercialcryptographyasrequiredbylaws,administrativeregulations,andrelevantrulesofthestate(hereinafterreferredtoastheukeynetworkandinformationsystemn)shallusecommercialcryptographyforprotection,developcommercialcryptographyapplicationplans,allocatenecessaryfundsandprofessionals,concurrentlyp
14、lan,construct,andoperatecommercialcryptographysecuritysystems,andassessthesecurityofcommercialcryptographyapplicationonaperiodicalbasis.第七条重要网络与信息系 统规划阶段,其运营者应当依照 相关法律法规和标准规范,根据 商用密码应用需求,制定商用密 码应用方案,规划商用密码保障 系统。Article7Duringtheplanningstageofakeynetworkandinformationsystem,itsoperatorshallmakecomme
15、rcialcryptographyapplicationplansandplancommercialcryptographysecuritysystemsinaccordancewiththerelevantlaws,regulations,standards,andspecificationsandtheneedsofcommercialcryptographyapplication.重要网络与信息系统的运营者应 当自行或者委托商用密码检测机 构对商用密码应用方案进行商用 密码应用安全性评估。商用密码 应用方案未通过商用密码应用安 全性评估的,不得作为商用密码 保障系统的建设依据。Anope
16、ratorofakeynetworkandinformationsystemshallconductthesecurityassessmentofcommercialcryptographyapplicationorentrustacommercialcryptographytestinginstitutiontodoso.Acommercialcryptographyapplicationplanthatfailstopassthesecurityassessmentofcommercialcryptographyapplicationshallnotbetakenasthebasisfortheconstructionofacommercialcryptographysecuritysystem.第八条重要网络与信息系 统建设阶段,其运营者应当按照 通过商用密