商用密码应用安全性评估管理办法（2023年）

第一条 为了规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》、《商用密码… 第二条 本办法所称商用密码应用安全性评估，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活… 第三条 国家密码管理局负责管理全国的商用密码应用安全性评估工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。 第四条 从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。 第五条 国家密码管理局支持商用密码应用安全性评估技术、标准、工具创新，完善商用密码应用安全性评估标准体系，鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业… 第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备… 第七条 重要网络与信息系统规划阶段，其运营者应当依照相关法律法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统。 第八条 重要网络与信息系统建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。 第九条 重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应… 第十条 对商用密码应用方案开展商用密码应用安全性评估，应当包括以下内容： 第十一条 对建设完成的网络与信息系统开展商用密码应用安全性评估，应当包括以下内容： 第十二条 运营者开展商用密码应用安全性评估活动，应当遵守法律法规、标准规范要求，遵循客观实际、科学公正、诚实信用原则。委托商用密码检测机构开展商用密码应用安全性评估的，不… 第十三条 自行开展商用密码应用安全性评估的网络与信息系统，其运营者应当符合以下要求： 第十四条 重要网络与信息系统的运营者应当在商用密码应用安全性评估报告形成后30日内，将评估报告和相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、… 第十五条 运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的，应当及时向国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门报告，并启动应… 第十六条 县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位可以根据工作需要，对本地区、本机关、本单位或者本系统的重要网络与信息系统商用密码应用安全性评估情况… 第十七条 重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他… 第十八条 重要网络与信息系统的运营者违反本办法规定，有下列情形之一的，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款，对直接负责… 第十九条 从事商用密码应用安全性评估监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处… 第二十条 本办法施行前正在建设的重要网络与信息系统，其运营者应当加强商用密码应用方案编制论证，建设完善商用密码保障系统，并按照本办法第八条规定开展商用密码应用安全性评估。 第二十一条 本办法自2023年11月1日起施行。