(来源:中华人民共和国司法部官网)
为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》,现向社会公开征求意见。公众可以在2023年7月9日前,通过以下途径和方式提出意见:
  1.登录“中华人民共和国司法部 中国政府法制信息网”(网址:www.moj.gov.cn、www.chinalaw.gov.cn),进入首页“立法意见征集”栏目提出意见。
  2.电子邮件:[email protected]
  3.通信地址:北京市丰台区靛厂路7号国家密码管理局政策法规室,邮政编码100036,请在信封上注明“《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》反馈意见”字样。
  国家密码管理局
  2023年6月9日

关于《商用密码检测机构管理办法(征求意见稿)》的说明

来源:国家密码管理局发布时间:2023-06-09
现就《商用密码检测机构管理办法(征求意见稿)》(以下简称《办法》)说明如下。
一、《办法》制定的必要性
(一)制定《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。2019年10月,《中华人民共和国密码法》(以下简称《密码法》)正式发布,提出了“商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证”的要求。最新修订公布的《商用密码管理条例》(以下简称《条例》)进一步明确了商用密码检测机构资质认定相关要求。落实上位法规定,按照商用密码依法管理要求,有必要制定《办法》,细化商用密码检测机构管理措施。
(二)制定《办法》是深化行政审批制度改革、优化营商环境的重要举措。近年来,党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署,为严格落实行政审批制度改革要求,有必要制定《办法》,优化审批流程,规范审批条件,为保护市场主体权益,净化市场环境,优化政务服务,规范监管执法提供法制保障和政策支持。
(三)制定《办法》是规范商用密码检测机构管理的迫切需要。随着商用密码产业的持续发展和应用需求的不断提升,商用密码检测需求显著增加,急需出台法规规章进一步规范检测机构管理工作。《办法》根据商用密码检测机构管理现实需要,对商用密码检测机构资质许可、监督管理等提出明确要求,对规范机构市场准入及从业行为、促进商用密码检测活动健康发展具有重要意义。
二、《办法》制定的主要思路
(一)坚持依法管理原则。严格依据《密码法》《条例》及相关法律法规中商用密码检测相关管理要求,制定商用密码检测机构管理各项措施。
(二)坚持客观公正原则。始终坚持客观公正的原则,设计商用密码检测机构管理体系,规范商用密码检测机构检测活动。
(三)坚持保障安全和创新发展相统一原则。按照既满足商用密码检测安全需要,又鼓励机构创新发展、做大做强的导向,科学设置机构准入条件和监督管理措施。
三、《办法》主要内容
《办法》共29条。第1条至第4条规定了立法目的、适用范围、监管主体等内容;第5条至第14条为资质认定条件和程序,规定了商用密码检测机构资质认定的条件、程序、证书,以及资质变更、延续、注销等内容;第15条至第22条为从业规范,规定了商用密码检测机构及相关从业人员应遵守的行为规范,以及检测报告、数据和样品等管理要求;第23条为监督检查,规定了商用密码检测机构监督管理内容和要求;第24条至第28条为法律责任,规定了商用密码检测机构、从事商用密码检测机构资质认定和监督管理的工作人员的违法情形、法律责任及信用公示;第29条规定了施行时间及相关安排。
商用密码检测机构管理办法
(征求意见稿)
第一条  为了加强商用密码检测机构管理,规范商用密码检测活动,根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本办法。
第二条  商用密码检测机构的资质认定和监督管理适用本办法。
第三条  从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
第四条  国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。
第五条  商用密码检测机构应当在资质认定业务范围内从事商用密码检测活动。国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测业务范围目录。
第六条  申请商用密码检测机构资质应当符合下列条件:
(一)具有法人资格;
(二)具有与从事商用密码检测活动相适应的资金条件;
(三)成立2年以上,从事网络安全检测评估领域相关工作1年以上,无重大违法或者不良信用记录;
(四)申请人及其关联方不从事商用密码产品(检测工具类除外)生产、销售以及信息系统或者商用密码保障系统集成、信息系统或者商用密码保障系统运营、电子认证服务、电子政务电子认证服务或者其他可能影响公平公正性的活动;
(五)具有与从事商用密码检测活动相适应的工作环境;
(六)具有与从事商用密码检测活动相适应的商用密码检测设备设施;
(七)具有保证商用密码检测活动独立、公正、科学、诚信的管理体系;
(八)具有与从事商用密码检测活动相适应的专业技术人员和管理人员;
(九)具有与从事商用密码检测活动相适应的专业能力。
外商投资法人申请商用密码检测机构资质,除符合上述条件外,还应当符合我国外商投资有关法律法规的规定。
第七条  申请商用密码检测机构资质,应当向国家密码管理局提出书面申请,向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交《商用密码检测机构资质申请表》及以下证明材料,并对其真实性负责。
(一)法人资格证书;
(二)资本结构和股权情况;
(三)无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公正性活动的承诺;
(四)工作场所等固定资产产权证书或者租赁合同;
(五)工作环境和设备设施配置情况;
(六)法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业技术人员情况;
(七)项目管理、质量管理、人员管理、档案管理、安全保密管理等管理体系建立情况;
(八)申请人认为需要补充的其他材料。
受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,内容齐全、符合规定形式的,应当以国家密码管理局名义出具受理通知书,并于5个工作日内将申请材料送国家密码管理局;对内容不齐全或者不符合规定形式的,应当当场或者5个工作日内一次性告知申请人需要补正的全部材料;对不予受理的,应当以国家密码管理局名义出具不予受理通知书并说明理由,并于5个工作日内将不予受理通知书送国家密码管理局。
第八条  国家密码管理局应当自受理申请之日起20个工作日内,依据商用密码检测机构资质认定基本规范的要求,对申请进行审查,并依法作出是否准予许可的书面决定。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。
第九条  国家密码管理局根据技术评审需要和专业要求,可以自行或者委托专业技术评价机构实施技术评审。
技术评审包括专业技术人员能力考核,工作环境、设备设施、管理体系建设实地查勘,检测能力验证等。
专业技术评价机构应当严格按照商用密码检测机构资质认定基本规范开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。
第十条  申请人有下列情形之一的,国家密码管理局应当终止审查:
(一)隐瞒有关情况或者提供虚假材料的;
(二)采取贿赂、请托等不正当手段,影响审查工作公平公正进行的;
(三)无正当理由拒绝接受审查的。
第十一条  准予许可的,国家密码管理局向申请人颁发《商用密码检测机构资质证书》。
有下列情形之一的,国家密码管理局应当出具不予行政许可决定书,说明理由并告知申请人相关权利:
(一)审查不合格的;
(二)终止审查的;
(三)法律法规规定的不予许可的其他情形。
第十二条  《商用密码检测机构资质证书》内容包括发证机关、获证机构名称和注册地址、资质认定业务范围、有效期限、证书编号,有效期5年。
《商用密码检测机构资质证书》有效期届满需要延续的,应当在届满3个月前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查,在《商用密码检测机构资质证书》有效期届满前作出是否准予延续的决定。
禁止转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质证书》。
第十三条  有下列情形之一的,商用密码检测机构应当向国家密码管理局申请办理变更手续:
(一)机构名称、注册地址、法人性质发生变更的;
(二)法定代表人、最高管理者、技术负责人、质量负责人、授权签字人发生变更的;
(三)资质认定业务范围发生变更的;
(四)依法需要办理变更的其他事项。
商用密码检测机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查,需要技术评审的,依照本办法第九条规定对其开展技术评审。
第十四条  商用密码检测机构有下列情形之一的,国家密码管理局应当依法注销其资质:
(一)资质证书有效期届满,未申请延续或者依法不予延续批准的;
(二)申请注销资质证书的;
(三)被依法撤销、吊销资质证书的;
(四)依法终止的;
(五)因法人性质变更、改制、分立或者合并等原因发生变化,或者发生其他影响其符合资质认定条件和要求的变更事项,经审查发现不符合资质认定条件和要求的;
(六)法律法规规定的应当注销资质的其他情形。
第十五条  商用密码检测机构及相关从业人员应当按照法律法规、标准规范等要求开展检测活动,遵循客观独立、科学公正、诚实信用原则,尊重知识产权,恪守职业道德,承担社会责任,保守在工作中知悉的国家秘密、商业秘密和个人隐私。
第十六条  商用密码检测机构应当保证其基本条件和技术能力能够持续符合资质认定条件和要求,并确保管理体系有效运行。
商用密码检测机构应当参加国家密码管理局定期开展的检测能力验证。检测能力验证结果不合格的,应当开展为期不少于6个月的整改,整改期间不得开展相应业务范围的商用密码检测活动。经整改仍不能满足资质认定条件和要求的,由国家密码管理局取消其相应的资质认定业务范围直至吊销资质证书。
第十七条  商用密码检测机构应当遵守以下从业要求:
(一)加强对本机构人员的监督管理,经常性组织开展安全保密教育和业务培训;本机构从事检测活动的专业技术人员每年接受商用密码教育培训的时长不得少于40学时,相关情况应当记录留存;
(二)独立于出具的检测数据、结果所涉及的利益相关各方,不受任何可能干扰技术判断因素的影响,不得同时聘用正在其他商用密码检测机构从业的人员;
(三)不得以单独出租设备设施或者委派人员等方式承担业务,所承担的业务不得分包和转包;
(四)不得以任何方式推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务;
(五)使用符合国家密码管理要求的设备设施;
(六)法律法规和国家有关规定提出的其他从业要求。
第十八条  商用密码检测机构出具的检测报告,应当符合相关国家标准、行业标准和有关规定的要求,保证内容真实、客观、准确、完整。商用密码检测机构对其出具的检测报告负责,并承担相应的法律责任。
商用密码检测机构应当指定授权签字人签字确认本机构出具的检测报告,并加盖机构公章或者专用章。非授权签字人不得签发检测报告。授权签字人应当系统掌握商用密码管理政策和专业知识,具备密码或者网络安全领域高级技术职称或者同等专业水平。
第十九条  商用密码检测机构应当对检测原始记录和检测报告归档留存,保证其具有可追溯性。原始记录和检测报告的保存期限不得少于6年。
从事商用密码产品检测的商用密码检测机构应当按照相关标准规范的要求,对检测样品和相关数据信息进行妥善管理。资质证书被注销的,应当对检测样品和相关数据信息进行妥善处理。
第二十条  商用密码检测机构应当于每年1月15日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据,包括持续符合资质认定条件和要求、遵守从业规范、开展检测活动、标准实施等情况。
第二十一条  商用密码检测机构不得有以下出具虚假检测数据、结果的行为:
(一)未经检测,直接出具检测数据、结果的;
(二)篡改、编造原始数据、记录,出具检测数据、结果的;
(三)伪造检测报告和原始记录签名,或者非授权签字人签发检测报告的;
(四)漏检关键项目、干扰检测过程或者改动关键项目的检测方法,造成检测数据、结果不真实的;
(五)其他出具虚假检测数据、结果的行为。
第二十二条  商用密码检测机构开展业务不受地域、行业、领域的限制。任何单位或者个人不得对商用密码检测机构承接业务作出不合理限制。
第二十三条  密码管理部门对商用密码检测机构依法开展监督检查,可以行使下列职权:
(一)进入检测活动场所实施现场检查;
(二)向商用密码检测机构、委托人等有关单位及人员询问、调查有关情况或者验证相关检测活动;
(三)查阅、复制有关合同、票据、账簿以及检测活动中形成的检测数据、结果、检测报告等有关资料;
(四)抽取备案的商用密码应用安全性评估报告进行技术复核。
商用密码检测机构应当积极配合密码管理部门的监督检查,如实提供相关材料和信息。
第二十四条  以欺骗、贿赂等不正当手段取得商用密码检测机构资质的,国家密码管理局应当依法撤销商用密码检测机构资质。该机构在3年内不得再次申请商用密码检测机构资质。
申请商用密码检测机构资质时提供虚假材料或者隐瞒有关情况的,国家密码管理局应当不予受理或者不予许可。该机构在1年内不得再次申请商用密码检测机构资质。
第二十五条  商用密码检测机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定,有下列情形之一的,由密码管理部门责令限期整改;逾期未改正或者改正后仍不符合要求的,处1万元以上10万元以下罚款:
(一)未按要求申请办理变更手续的;
(二)未按要求开展安全保密教育和业务培训的;
(三)推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务的;
(四)未在检测报告上加盖机构公章或者专用章,或者未经授权签字人签发检测报告,或者授权签字人超出其技术能力范围签发检测报告的;
(五)未按要求保存检测原始记录和检测报告,或者未按照要求妥善管理检测样品和相关数据信息的;
(六)未按要求报送年度工作报告和相关统计数据的。
第二十六条  商用密码检测机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,由国家密码管理局吊销其商用密码检测机构资质:
(一)转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质证书》的;
(二)同时聘用正在其他商用密码检测机构从业的人员或者存在其他恶意竞争、扰乱市场秩序情形的;
(三)以单独出租设备设施或者委派人员等方式承担业务,或者分包、转包所承担业务的;
(四)未按照法律法规、标准规范要求开展检测活动或者存在其他违反客观独立、科学公正、诚实信用原则情形的;
(五)出具虚假检测数据、结果的;
(六)泄露在工作中知悉的商业秘密、个人隐私的。
第二十七条  县级以上地方各级密码管理部门应当依法公开监督检查结果,将商用密码检测机构受到的行政处罚等信息纳入国家企业信用信息公示系统等平台,并定期逐级上报年度商用密码检测机构监督检查结果等信息。
第二十八条  从事商用密码监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
第二十九条  本办法自××××年××月××日起施行。

关于《商用密码应用安全性评估管理办法(征求意见稿)》的说明

来源:国家密码管理局发布时间:2023-06-09 14:05
现就《商用密码应用安全性评估管理办法(征求意见稿)》(以下简称《办法》)说明如下。
一、《办法》制定的必要性
商用密码应用安全性评估是加强和规范商用密码应用的重要抓手,《中华人民共和国密码法》(以下简称《密码法》)颁布实施后,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理,新修订的《商用密码管理条例》(以下简称《条例》)明确了商用密码应用安全性评估相关制度要求,贯彻落实上位法规定,急需制定《办法》,进一步细化商用密码应用安全性评估范围、责任主体、工作原则及要求、实施规范等内容,依法规范商用密码应用安全性评估工作。2017年以来,国家密码管理部门组织开展一系列商用密码应用安全性评估试点,为《办法》的制定奠定了坚实的实践基础,试点过程中,商用密码应用安全性评估的一些基本要求和思路做法,已逐步得到相关管理部门、网络与信息系统运营者的认同。
二、《办法》制定的主要思路
1.细化落实“三同步一评估”要求。落实《密码法》《条例》规定,《办法》对依法应当使用商用密码进行保护的网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求,从规划、建设、运行各个阶段分别提出落实安排、明确程序条件,从而建立起商用密码应用安全性评估制度的基本框架。
2.体现商用密码应用安全性评估工作系统性原则。《办法》秉持商用密码应用安全性评估工作系统性原则,将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系,体现“按照同一套标准、遵循同一套程序、囊括同一套活动”开展商用密码应用安全性评估工作的系统性原则。同时,依据《密码法》《条例》,将商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理。
3.明确商用密码应用安全性评估活动实施依据。按照《密码法》《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定,《办法》分别界定了相关要求,并就两者需共同遵守的活动内容作出规定,从而明确了商用密码应用安全性评估活动的实施依据,有助于规范并提升商用密码应用安全性评估工作质量。
三、《办法》主要内容
《办法》共19条。第1条至第5条规定了立法目的,商用密码应用安全性评估定义、管理体制、保障措施等内容;第6条至第9条为商用密码应用安全性评估要求,规定了总体要求,以及规划、建设、运行各阶段的具体要求;第10条至第15条为商用密码应用安全性评估实施规范,规定运营者委托商用密码应用安全性评估机构或者自行开展商用密码应用安全性评估的主要内容、配合义务以及出具报告、备案等强制性要求;第16条至第17条为监督及法律责任,规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任;第18条、第19条规定有关过渡、施行等程序性事项。
商用密码应用安全性评估管理办法
(征求意见稿)
第一条  为了规范商用密码应用安全性评估工作,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本办法。
第二条  本办法所称商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
第三条  国家密码管理局负责管理全国的商用密码应用安全性评估工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。
国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。
第四条  从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
第五条  国家密码管理局支持商用密码应用安全性评估技术、标准、工具、手段创新,完善商用密码应用安全性评估标准体系,鼓励设立商用密码应用安全性评估行业组织,加强行业自律,维护行业秩序。
第六条  法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
第七条  重要网络与信息系统规划阶段,其运营者应当依照相关法律法规和标准规范,根据商用密码应用需求,制定商用密码应用方案,规划商用密码保障系统。
重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的,不得作为商用密码保障系统的建设依据。
第八条  重要网络与信息系统建设阶段,其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施,落实商用密码安全防护措施,建设商用密码保障系统。
重要网络与信息系统运行前,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的,运营者应当进行改造,改造期间不得投入运行。
第九条  重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。
第十条  对商用密码应用方案开展商用密码应用安全性评估,应当包括以下内容:
(一)考量商用密码应用需求的全面性、合理性和针对性,对照相关标准规范选取适用指标的准确性,以及不适用指标论证的充分性;
(二)分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽;
(三)论证商用密码技术、产品和服务选用的合规性,密钥管理的安全性,以及使用商用密码解决安全风险的科学性;
(四)编制形成商用密码应用安全性评估报告。
第十一条  对建设完成的网络与信息系统开展商用密码应用安全性评估,应当包括以下内容:
(一)对照商用密码应用方案,了解网络与信息系统基本情况,准确划定评估范围;
(二)确定评估指标及评估对象,论证编制商用密码应用安全性评估实施方案;
(三)依据商用密码应用安全性评估实施方案,开展现场评估,做好数据采集和信息汇总,研判商用密码保障系统配置及运行情况;
(四)根据客观凭据逐项对评估指标进行判定,编制形成商用密码应用安全性评估报告。
第十二条  运营者开展商用密码应用安全性评估活动,应当遵守法律法规、标准规范要求,遵循客观实际、科学公正、诚实信用原则,委托商用密码检测机构开展商用密码应用安全性评估的,不得对评估结果施加影响,并需提供如下支持:
(一)对网络与信息系统的重要数据进行备份;
(二)提供完整有效的网络与信息系统设备清单和网络拓扑;
(三)提供详细的网络与信息系统商用密码应用方案、密码相关管理制度和密码配置、运行、维护记录;
(四)提供商用密码产品管理入口、网络交换设备接入端口等相关信息、数据接入分析条件,并配合进行数据采集;
(五)安排网络与信息系统相关网络管理员、系统管理员、商用密码产品管理员等做好配合;
(六)其他需要配合的事项。
第十三条  自行开展商用密码应用安全性评估的网络与信息系统,其运营者应当符合以下要求:
(一)具有与开展商用密码应用安全性评估活动相适应的商用密码检测设备设施;
(二)具有与开展商用密码应用安全性评估活动相适应的专业技术人员;
(三)具有与开展商用密码应用安全性评估活动相适应的项目管理、质量管理、人员管理、档案管理、安全保密管理等规章制度。
自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告,应当符合相关国家标准、行业标准和有关规定的要求,由本单位负责人签字确认并加盖本单位公章。商用密码应用安全性评估原始记录和商用密码应用安全性评估报告应当归档留存,保证其具有可追溯性,保存期限不得少于6年。
第十四条  重要网络与信息系统的运营者应当在商用密码应用安全性评估报告形成30日内,将评估报告连同相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门备案。
国家密码管理局或者省、自治区、直辖市密码管理部门应当对备案材料进行形式审查,审查不通过的,应当责令相关运营者重新提供商用密码应用安全性评估报告。相关商用密码检测机构应当配合运营者重新开展商用密码应用安全性评估或者重新出具商用密码应用安全性评估报告,不得重复收取费用。
省、自治区、直辖市密码管理部门应当按季度向国家密码管理局报送本地区商用密码应用安全性评估工作开展情况。国家密码管理局按季度抽取备案材料进行技术复核。复核不合格的,应当责令相关运营者重新提供商用密码应用安全性评估报告。相关商用密码检测机构应当暂停承接新的商用密码应用安全性评估业务,配合运营者重新开展商用密码应用安全性评估并履行备案程序,并不得重复收取费用。
第十五条  运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的,应当及时向国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门报告,必要时启动应急处置方案并开展商用密码应用安全性评估。
第十六条  县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位可以根据工作需要,对本地区、本机关、本单位或者本系统的重要网络与信息系统商用密码应用安全性评估情况开展专项检查。
第十七条  重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定,有下列情形之一的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(一)未按要求开展商用密码应用安全性评估的;
(二)重要网络与信息系统未通过商用密码应用安全性评估且未进行改造的;
(三)不符合要求自行开展商用密码应用安全性评估或者商用密码应用安全性评估实施违反相关法律法规、标准规范的;
(四)未为商用密码应用安全性评估活动提供必要支持,或者对商用密码应用安全性评估结果施加影响的;
(五)未按照要求进行商用密码应用安全性评估结果备案的。
第十八条  本办法施行前正在建设的重要网络与信息系统,其运营者应当加强商用密码应用方案编制论证,建设完善商用密码保障系统,并按照本办法第八条规定开展商用密码应用安全性评估。
本办法施行前已经投入运行的重要网络与信息系统,其运营者应当按照本办法第九条规定开展商用密码应用安全性评估。
第十九条  本办法自××××年××月××日起施行。
继续阅读
阅读原文