商用密码应用安全性评估管理办法

国家密码管理局令

第 3 号

《商用密码应用安全性评估管理办法》已经2023年9月11日国家密码管理局局务会议审议通过，现予公布，自2023年11月1日起施行。

     局  长 刘东方             

             2023年9月26日   

商用密码应用安全性评估管理办法

第一条　为了规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。

第二条　本办法所称商用密码应用安全性评估，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

第三条　国家密码管理局负责管理全国的商用密码应用安全性评估工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。

国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。

第四条　从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

第五条　国家密码管理局支持商用密码应用安全性评估技术、标准、工具创新，完善商用密码应用安全性评估标准体系，鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业秩序。

第六条　法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

第七条　重要网络与信息系统规划阶段，其运营者应当依照相关法律法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统。

重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。

第八条　重要网络与信息系统建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。