根據(jù)《中華人民共和國密碼法》(以下簡稱《密碼法》)���、《商用密碼管理條例》(以下簡稱《條例》)等法律法規(guī)�����,國家密碼管理局研究制定了《商用密碼應(yīng)用安全性評估管理辦法》(國家密碼管理局令第3號)(以下簡稱《辦法》)��,現(xiàn)就《辦法》的有關(guān)內(nèi)容解讀如下�。
一�、制定的必要性
商用密碼應(yīng)用安全性評估是加強和規(guī)范商用密碼應(yīng)用的重要抓手。隨著《密碼法》頒布實施��,商用密碼應(yīng)用安全性評估制度依法確立��,商用密碼應(yīng)用安全性評估機構(gòu)納入商用密碼檢測機構(gòu)統(tǒng)一管理�����,新修訂的《條例》第三十八條�����、第四十一條進一步明確了商用密碼應(yīng)用安全性評估相關(guān)制度要求����。為有效貫徹落實上位法規(guī)定,急需制定《辦法》�,統(tǒng)籌細化商用密碼應(yīng)用安全性評估對象范圍、責(zé)任主體���、工作原則��、程序內(nèi)容�����、實施規(guī)范等規(guī)定����,依法規(guī)范商用密碼應(yīng)用安全性評估工作��。2017年以來���,國家密碼管理部門組織開展一系列商用密碼應(yīng)用安全性評估試點��,在試點過程中����,商用密碼應(yīng)用安全性評估的基本要求和思路做法已逐步得到相關(guān)管理部門、運營者和評估機構(gòu)的認同����,為《辦法》的制定奠定了堅實的實踐基礎(chǔ)。
二��、總體思路
《辦法》的制定細化《密碼法》�����、《條例》關(guān)于商用密碼應(yīng)用安全性評估工作主體�����、方式��、程序��、備案等方面要求�����,吸收繼承商用密碼應(yīng)用安全性評估試點經(jīng)驗做法�,結(jié)合工作實際,注重合法性��、合理性和可操作性�����,力求做到內(nèi)容完備�����、邏輯嚴密�。主要體現(xiàn)了以下三方面思路:
(一)細化落實“三同步一評估”要求。按照《密碼法》����、《條例》規(guī)定,《辦法》對依法應(yīng)當使用商用密碼進行保護的重要網(wǎng)絡(luò)與信息系統(tǒng)�����,明確要求同步規(guī)劃�����、同步建設(shè)、同步運行商用密碼保障系統(tǒng)�,并定期進行商用密碼應(yīng)用安全性評估。細化商用密碼應(yīng)用安全性評估要求���,從規(guī)劃���、建設(shè)、運行各個階段分別提出落實安排���、明確評估程序及內(nèi)容����,建立起商用密碼應(yīng)用安全性評估制度的基本框架�。
(二)體現(xiàn)商用密碼應(yīng)用安全性評估系統(tǒng)性原則?��!掇k法》將商用密碼應(yīng)用方案評估��、網(wǎng)絡(luò)與信息系統(tǒng)運行前評估�、網(wǎng)絡(luò)與信息系統(tǒng)運行后定期評估統(tǒng)一納入商用密碼應(yīng)用安全性評估工作體系�,在實施中“按照同一套標準、遵循同一套程序、囊括同一套活動”�,確保重要網(wǎng)絡(luò)與信息系統(tǒng)全生命周期落實商用密碼應(yīng)用安全性評估要求。同時���,將商用密碼應(yīng)用安全性評估機構(gòu)統(tǒng)一納入商用密碼檢測機構(gòu)管理,進一步體現(xiàn)工作的系統(tǒng)性整體性���。
(三)明確商用密碼應(yīng)用安全性評估實施依據(jù)��。按照《密碼法》�、《條例》關(guān)于運營者自行或者委托商用密碼應(yīng)用安全性評估機構(gòu)開展評估的規(guī)定��,《辦法》分別明確了相關(guān)要求��,并就兩者需共同遵守的行為規(guī)范作出規(guī)定�,從而明確了商用密碼應(yīng)用安全性評估活動的實施依據(jù),有助于規(guī)范提升商用密碼應(yīng)用安全性評估工作質(zhì)量�。
三、主要內(nèi)容
《辦法》共21條�����。主要內(nèi)容包括:
(一)總體要求����。一是明確概念定義���,商用密碼應(yīng)用安全性評估是指按照有關(guān)法律法規(guī)和標準規(guī)范,對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)��、產(chǎn)品和服務(wù)的合規(guī)性���、正確性���、有效性進行檢測分析和評估驗證的活動。二是規(guī)定管理體制�,包括縣級以上各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位的監(jiān)督管理職權(quán)��。三是明確對商用密碼應(yīng)用安全性評估從業(yè)機構(gòu)的資質(zhì)要求��,以及對商用密碼應(yīng)用安全性評估行業(yè)發(fā)展的保障支持��。四是規(guī)定了商用密碼應(yīng)用安全性評估的對象范圍�����。
(二)程序及內(nèi)容要求��。一是規(guī)定“三同步一評估”的總體要求。二是明確重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃����、建設(shè)、運行各階段的商用密碼應(yīng)用安全性評估的程序要求����。三是針對商用密碼應(yīng)用方案��、網(wǎng)絡(luò)與信息系統(tǒng)兩類不同對象���,分別提出商用密碼應(yīng)用安全性評估的內(nèi)容要求��。
(三)實施規(guī)范����。一是規(guī)定開展商用密碼應(yīng)用安全性評估的通用行為規(guī)范和運營者委托開展評估的支持配合義務(wù)���。二是規(guī)定運營者自行開展商用密碼應(yīng)用安全性評估的基本要求與行為規(guī)范���。三是規(guī)定商用密碼應(yīng)用安全性評估結(jié)果備案制度。四是規(guī)定運營者開展應(yīng)急處置的有關(guān)內(nèi)容����。
(四)監(jiān)督檢查及法律責(zé)任����。一是規(guī)定了縣級以上地方各級密碼管理部門��、國家機關(guān)和涉及商用密碼工作的單位的監(jiān)督檢查職權(quán)���。二是明確了運營者的違法情形及法律責(zé)任��。三是規(guī)定了商用密碼應(yīng)用安全性評估管理人員的責(zé)任義務(wù)���。
(五)其他事項。規(guī)定了本辦法實施的過渡安排和施行時間����。
來源:國家密碼管理局
