商用密碼應用與安全性評估常見問題匯總整理

  業界資訊     |      2023-03-31 18:07

一、密評系統需要制定《密碼應用方案》,并組織專家或委托測評機構進行評估的依據?

答:《商用密碼應用安全性評估管理辦法》(試行)

第八條重要領域網絡和信息系統規劃階段,責任單位應當依據商用密碼應用安全性有關標準,制定商用密碼應用建設方案,組織專家或委托測評機構進行評估,評估結果作為項目規劃立項的重要依據和申報使用財政性資金項目的必備材料。

二、密評系統需要委托測評機構進行評估的依據?多久做一次?

1.《商用密碼應用安全性評估管理辦法》(試行)

第九條重要領域網絡和信息系統建設完成后,責任單位應當委托測評機構進行商用密碼應用安全性評估,評估結果作為項目建設驗收的必備材料。

第十條重要領域網絡和信息系統投入運行后,責任單位應當委托測評機構定期開展商用密碼應用安全性評估。評估未通過,責任單位應當限期整改并重新組織評估。

2.《國家政務信息化項目建設管理辦法》

第九條除國家發展改革委審批或者核報國務院審批的外,其他有關部門自行審批新建、改建、擴建,以及通過政府購買服務方式產生的國家政務信息化項目,應當按規定履行審批程序并向國家發展改革委備案。

備案文件應當包括項目名稱、建設單位、審批部門、績效目標及績效指標、投資額度、運行維護經費、經費渠道、信息資源目錄、信息共享開放、應用系統、等級保護或者分級保護備案情況、密碼應用方案和密碼應用安全性評估報告等內容,其中改建、擴建項目還需提交前期項目第三方后評價報告。

第十五條 項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

第二十五條國家政務信息化項目建成后半年內,項目建設單位應當按照國家有關規定申請審批部門組織驗收,提交驗收申請報告時應當一并附上項目建設總結、財務報告、審計報告、安全風險評估報告(包括涉密信息系統安全保密測評報告或者非涉密信息系統網絡安全等級保護測評報告等)、密碼應用安全性評估報告等材料。

3.《密碼法》

第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

第三十七條 關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。

4.《商用密碼管理條例》(修訂草案征求意見稿)

第三十八條 非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統,其運營者應當使用商用密碼進行保護,制定商用密碼應用方案,配備必要的資金和專業人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

前款所列網絡與信息系統通過商用密碼應用安全性評估方可投入運行,運行后每年至少進行一次評估,評估情況報送所在地設區的市級密碼管理部門備案。

5.《網絡安全等級保護條例》(征求意見稿)

第四十七條非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。

第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。

三、不做密評或測試結果不合格會有哪些影響

1.《密碼法》