官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码应用安全性评估管理办法(征求意见稿)》(以下简称《办法》)。
《办法》共19条。第1条至第5条规定了立法目的,商用密码应用安全性评估定义、管理体制、保障措施等内容;第6条至第9条为商用密码应用安全性评估要求,规定了总体要求,以及规划、建设、运行各阶段的具体要求;第10条至第15条为商用密码应用安全性评估实施规范,规定运营者委托商用密码应用安全性评估机构或者自行开展商用密码应用安全性评估的主要内容、配合义务以及出具报告、备案等强制性要求;第16条至第17条为监督及法律责任,规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任;第18条、第19条规定有关过渡、施行等程序性事项。
一、《办法》制定的必要性
商用密码应用安全性评估是加强和规范商用密码应用的重要抓手,《中华人民共和国密码法》(以下简称《密码法》)颁布实施后,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理,新修订的《商用密码管理条例》(以下简称《条例》)明确了商用密码应用安全性评估相关制度要求,贯彻落实上位法规定,急需制定《办法》,进一步细化商用密码应用安全性评估范围、责任主体、工作原则及要求、实施规范等内容,依法规范商用密码应用安全性评估工作。2017年以来,国家密码管理部门组织开展一系列商用密码应用安全性评估试点,为《办法》的制定奠定了坚实的实践基础,试点过程中,商用密码应用安全性评估的一些基本要求和思路做法,已逐步得到相关管理部门、网络与信息系统运营者的认同。
二、《办法》制定的主要思路
1.细化落实“三同步一评估”要求。落实《密码法》《条例》规定,《办法》对依法应当使用商用密码进行保护的网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求,从规划、建设、运行各个阶段分别提出落实安排、明确程序条件,从而建立起商用密码应用安全性评估制度的基本框架。
2.体现商用密码应用安全性评估工作系统性原则。《办法》秉持商用密码应用安全性评估工作系统性原则,将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系,体现“按照同一套标准、遵循同一套程序、囊括同一套活动”开展商用密码应用安全性评估工作的系统性原则。同时,依据《密码法》《条例》,将商用密码应用安全性评估机构管理统一纳入商用密码检测机构管理。
3.明确商用密码应用安全性评估活动实施依据。按照《密码法》《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定,《办法》分别界定了相关要求,并就两者需共同遵守的活动内容作出规定,从而明确了商用密码应用安全性评估活动的实施依据,有助于规范并提升商用密码应用安全性评估工作质量。