SM调教贱屁股眼哭叫求饶H,亚洲精品~无码抽插,西西人体WWW大胆高清视频,JULIAANN女医生在办公室

商用密碼應(yīng)用安全性評估管理辦法
發(fā)布時間: 2024-03-29
瀏覽次數(shù):308

商用密碼應(yīng)用安全性評估管理辦法

2023年9月26日國家密碼管理局令第3號公布  自2023年11月1日起施行)

 

第一條 為了規(guī)范商用密碼應(yīng)用安全性評估工作,保障網(wǎng)絡(luò)與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權(quán)益,根據(jù)《中華人民共和國密碼法》、《商用密碼管理條例》等有關(guān)法律法規(guī),制定本辦法。

第二條 本辦法所稱商用密碼應(yīng)用安全性評估,是指按照有關(guān)法律法規(guī)和標準規(guī)范,對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進行檢測分析和評估驗證的活動。

第三條 國家密碼管理局負責管理全國的商用密碼應(yīng)用安全性評估工作??h級以上地方各級密碼管理部門負責管理本行政區(qū)域的商用密碼應(yīng)用安全性評估工作。

國家機關(guān)和涉及商用密碼工作的單位在其職責范圍內(nèi)負責指導(dǎo)、監(jiān)督本機關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評估工作。

第四條 從事商用密碼應(yīng)用安全性評估活動,向社會出具具有證明作用的商用密碼應(yīng)用安全性評估數(shù)據(jù)、結(jié)果的機構(gòu),應(yīng)當經(jīng)國家密碼管理局認定,依法取得商用密碼檢測機構(gòu)資質(zhì)。

第五條 國家密碼管理局支持商用密碼應(yīng)用安全性評估技術(shù)、標準、工具創(chuàng)新,完善商用密碼應(yīng)用安全性評估標準體系,鼓勵設(shè)立商用密碼應(yīng)用安全性評估行業(yè)組織,加強行業(yè)自律,維護行業(yè)秩序。

第六條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡(luò)與信息系統(tǒng)(以下簡稱重要網(wǎng)絡(luò)與信息系統(tǒng)),其運營者應(yīng)當使用商用密碼進行保護,制定商用密碼應(yīng)用方案,配備必要的資金和專業(yè)人員,同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng),并定期開展商用密碼應(yīng)用安全性評估。

第七條 重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段,其運營者應(yīng)當依照相關(guān)法律法規(guī)和標準規(guī)范,根據(jù)商用密碼應(yīng)用需求,制定商用密碼應(yīng)用方案,規(guī)劃商用密碼保障系統(tǒng)。

重要網(wǎng)絡(luò)與信息系統(tǒng)的運營者應(yīng)當自行或者委托商用密碼檢測機構(gòu)對商用密碼應(yīng)用方案進行商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評估的,不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。

第八條 重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段,其運營者應(yīng)當按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案組織實施,落實商用密碼安全防護措施,建設(shè)商用密碼保障系統(tǒng)。

重要網(wǎng)絡(luò)與信息系統(tǒng)運行前,其運營者應(yīng)當自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。網(wǎng)絡(luò)與信息系統(tǒng)未通過商用密碼應(yīng)用安全性評估的,運營者應(yīng)當進行改造,改造期間不得投入運行。

第九條 重要網(wǎng)絡(luò)與信息系統(tǒng)建成運行后,其運營者應(yīng)當自行或者委托商用密碼檢測機構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估,確保商用密碼保障系統(tǒng)正確有效運行。未通過商用密碼應(yīng)用安全性評估的,運營者應(yīng)當進行改造,并在改造期間采取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運行安全。

第十條 對商用密碼應(yīng)用方案開展商用密碼應(yīng)用安全性評估,應(yīng)當包括以下內(nèi)容:

(一)考量商用密碼應(yīng)用需求的全面性、合理性和針對性,對照相關(guān)標準規(guī)范選取適用指標的準確性,以及不適用指標論證的充分性;

(二)分析商用密碼應(yīng)用流程和機制是否具備可實施性、商用密碼保護措施是否達到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡;

(三)論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規(guī)性,密鑰管理的安全性,以及使用商用密碼解決安全風(fēng)險的科學(xué)性;

(四)編制形成商用密碼應(yīng)用安全性評估報告。

第十一條 對建設(shè)完成的網(wǎng)絡(luò)與信息系統(tǒng)開展商用密碼應(yīng)用安全性評估,應(yīng)當包括以下內(nèi)容:

(一)對照商用密碼應(yīng)用方案,了解網(wǎng)絡(luò)與信息系統(tǒng)基本情況,準確劃定評估范圍;

(二)確定評估指標及評估對象,論證編制商用密碼應(yīng)用安全性評估實施方案;

(三)依據(jù)商用密碼應(yīng)用安全性評估實施方案,開展現(xiàn)場評估,做好數(shù)據(jù)采集和信息匯總,研判商用密碼保障系統(tǒng)配置及運行情況;

(四)根據(jù)客觀憑據(jù)逐項對評估指標進行判定,編制形成商用密碼應(yīng)用安全性評估報告。

第十二條 運營者開展商用密碼應(yīng)用安全性評估活動,應(yīng)當遵守法律法規(guī)、標準規(guī)范要求,遵循客觀實際、科學(xué)公正、誠實信用原則。委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估的,不得對評估結(jié)果施加不當影響,并應(yīng)當提供以下支持:

(一)對網(wǎng)絡(luò)與信息系統(tǒng)的重要數(shù)據(jù)進行備份;

(二)提供完整有效的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)拓撲;

(三)提供詳細的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、運行、維護記錄;

(四)提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入端口等相關(guān)信息、數(shù)據(jù)接入分析條件,并配合進行數(shù)據(jù)采集;

(五)安排網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、密鑰管理員、密碼安全審計員、密碼操作員等做好配合;

(六)其他需要配合的事項。

第十三條 自行開展商用密碼應(yīng)用安全性評估的網(wǎng)絡(luò)與信息系統(tǒng),其運營者應(yīng)當符合以下要求:

(一)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的設(shè)備設(shè)施;

(二)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的項目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度;

(三)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的專業(yè)人員;

(四)具有與開展商用密碼應(yīng)用安全性評估活動相適應(yīng)的專業(yè)能力。

自行開展商用密碼應(yīng)用安全性評估形成的商用密碼應(yīng)用安全性評估報告,應(yīng)當符合相關(guān)國家標準、行業(yè)標準和有關(guān)規(guī)定的要求,由本單位密碼或者網(wǎng)絡(luò)安全負責人簽字確認并加蓋本單位公章。

運營者應(yīng)當對商用密碼應(yīng)用安全性評估原始記錄和商用密碼應(yīng)用安全性評估報告歸檔留存,保證其具有可追溯性。商用密碼應(yīng)用安全性評估原始記錄和商用密碼應(yīng)用安全性評估報告的保存期限不得少于6年。

第十四條 重要網(wǎng)絡(luò)與信息系統(tǒng)的運營者應(yīng)當在商用密碼應(yīng)用安全性評估報告形成后30日內(nèi),將評估報告和相關(guān)工作情況按照國家有關(guān)規(guī)定報送國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門備案。

國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門對商用密碼應(yīng)用安全性評估結(jié)果備案材料進行形式審查。形式審查未通過的,相關(guān)運營者應(yīng)當重新提交備案材料。

國家密碼管理局可以對商用密碼應(yīng)用安全性評估結(jié)果進行抽樣檢查。抽樣檢查不合格的,相關(guān)運營者應(yīng)當重新開展商用密碼應(yīng)用安全性評估。

省、自治區(qū)、直轄市密碼管理部門應(yīng)當按季度向國家密碼管理局報送本地區(qū)商用密碼應(yīng)用安全性評估工作開展情況。

第十五條 運營者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的,應(yīng)當及時向國家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報告,并啟動應(yīng)急處置方案,必要時開展商用密碼應(yīng)用安全性評估。

第十六條 縣級以上地方各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位可以根據(jù)工作需要,對本地區(qū)、本機關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評估情況開展專項檢查。

第十七條 重要網(wǎng)絡(luò)與信息系統(tǒng)的運營者違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法規(guī)定,有下列情形之一的,由密碼管理部門責令改正,給予警告;拒不改正或者有其他嚴重情節(jié)的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款:

(一)重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃階段,未對商用密碼應(yīng)用方案進行商用密碼應(yīng)用安全性評估的;

(二)重要網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)階段,未按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的;

(三)重要網(wǎng)絡(luò)與信息系統(tǒng)運行前,未開展商用密碼應(yīng)用安全性評估的;

(四)重要網(wǎng)絡(luò)與信息系統(tǒng)運行前,未通過商用密碼應(yīng)用安全性評估且未進行改造的;

(五)重要網(wǎng)絡(luò)與信息系統(tǒng)建成運行后,未定期開展商用密碼應(yīng)用安全性評估的;

(六)重要網(wǎng)絡(luò)與信息系統(tǒng)建成運行后,未通過定期開展的商用密碼應(yīng)用安全性評估且未進行改造的;

(七)違反法律法規(guī)、標準規(guī)范要求開展商用密碼應(yīng)用安全性評估的;

(八)不符合相關(guān)要求自行開展商用密碼應(yīng)用安全性評估的。

第十八條 重要網(wǎng)絡(luò)與信息系統(tǒng)的運營者違反本辦法規(guī)定,有下列情形之一的,由密碼管理部門責令改正;逾期未改正或者改正后仍不符合要求的,處1萬元以上10萬元以下罰款,對直接負責的主管人員處5000元以上5萬元以下罰款:

(一)對商用密碼應(yīng)用安全性評估結(jié)果施加不當影響的;

(二)未為商用密碼應(yīng)用安全性評估活動提供必要支持的;

(三)未按照要求進行商用密碼應(yīng)用安全性評估結(jié)果備案的。

第十九條 從事商用密碼應(yīng)用安全性評估監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私、舉報人信息的,依法給予處分。

第二十條 本辦法施行前正在建設(shè)的重要網(wǎng)絡(luò)與信息系統(tǒng),其運營者應(yīng)當加強商用密碼應(yīng)用方案編制論證,建設(shè)完善商用密碼保障系統(tǒng),并按照本辦法第八條規(guī)定開展商用密碼應(yīng)用安全性評估。

本辦法施行前已經(jīng)投入運行的重要網(wǎng)絡(luò)與信息系統(tǒng),其運營者應(yīng)當按照本辦法第九條規(guī)定開展商用密碼應(yīng)用安全性評估。

第二十一條 本辦法自2023年11月1日起施行。