煉石-圖解《商用密碼應(yīng)用安全性評(píng)估管理辦法（征求意見稿）》

商用密碼應(yīng)用安全性評(píng)估管理辦法規(guī)范商用密碼應(yīng)用安全性評(píng)估工作國(guó)家密碼管理局制定目的國(guó)家密碼管理局WWW.SCA.GOVCN首頁(yè)機(jī)構(gòu)概況新聞動(dòng)態(tài)信息公開在線服務(wù)互動(dòng)交流首頁(yè)>互動(dòng)交流>意見征集辦法(征求意見稿)》公開征求意見的通知發(fā)布日期：2023-06-09來(lái)源：為加強(qiáng)商用密碼檢測(cè)機(jī)構(gòu)管理，規(guī)范商用密碼檢測(cè)活動(dòng)和商用密碼應(yīng)用安全性評(píng)估工作，根據(jù)《中華人民共和國(guó)密碼法》和新修訂的《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，國(guó)家密碼管理局研究起草了《商用密碼檢測(cè)機(jī)構(gòu)管理辦法(征求意見稿)》和《商用密碼應(yīng)用安全性評(píng)估管理辦法(征求意見稿)》,現(xiàn)向社會(huì)公開征求意見。公眾可以在2023年7月9日前，通過以下途徑和方式提出意見：1.登錄“中華人民共和國(guó)司法部中國(guó)政府法制信息網(wǎng)”(網(wǎng)址：、),進(jìn)入首頁(yè)“立法意見征集”欄目提出意見。3.通信地址：北京市豐臺(tái)區(qū)靛廠路7號(hào)國(guó)家密碼管理局政策法規(guī)室，郵政編碼100036,請(qǐng)?jiān)谛欧馍献⒚鳌啊渡逃妹艽a檢測(cè)機(jī)構(gòu)管理辦法》和《商用密碼應(yīng)用安全性評(píng)估管理辦法》反饋意見”字樣。為規(guī)范商用密碼應(yīng)用安全性評(píng)估工作，根據(jù)《中華人民共和國(guó)密碼法》和新修訂的《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，國(guó)家密碼管理局研究起草了《商用密碼應(yīng)用安全性評(píng)估管理辦法(征求意見稿)》,2023年6月9日向社會(huì)公開征求意見。國(guó)家密碼管理局2023年6月9日《辦法》制定的必要性商用密碼應(yīng)用安全性評(píng)估是加強(qiáng)和規(guī)范商用密碼應(yīng)用的重要抓手國(guó)家密碼管理局公告(第42號(hào))商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄(共48家，以行政區(qū)劃為序)《中華人民共和國(guó)密碼法》新修訂《商用密碼管理?xiàng)l例》商用密碼應(yīng)用安全性評(píng)估試點(diǎn)構(gòu)納入商用密碼檢測(cè)機(jī)構(gòu)統(tǒng)一管理明確了商用密碼應(yīng)用安全性評(píng)估相關(guān)制度要求，·進(jìn)一步細(xì)化商用密碼應(yīng)用安全性評(píng)估范圍、責(zé)2017年以來(lái)，國(guó)家密碼管理部門組織開展一系列商用密碼應(yīng)用安全性評(píng)估試點(diǎn)，為《辦法》的制碼應(yīng)用安全性評(píng)估的一些基本要求和思路做法，已逐步得到相關(guān)管理部門、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)CipherGatewayCipherGateway細(xì)化落實(shí)“三同步一評(píng)估”要求依法應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)明確要求同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，并定期進(jìn)行商用密碼應(yīng)用安全性評(píng)估建設(shè)、運(yùn)行各個(gè)階段分別提出落實(shí)安排、明建立起商用密碼應(yīng)用安全性評(píng)估制度的基本框架體現(xiàn)商用密碼應(yīng)用安全性評(píng)估工作系統(tǒng)性原則《辦法》秉持商用密碼應(yīng)用安全性評(píng)估工作網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前評(píng)估、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行后定期評(píng)估統(tǒng)一納入商用密碼應(yīng)用安體現(xiàn)“按照同一套標(biāo)準(zhǔn)、遵循同一套程序、囊括同一套活動(dòng)”開展商用密碼應(yīng)用安全性安全性評(píng)估機(jī)構(gòu)管理統(tǒng)一納入商用密碼檢測(cè)機(jī)構(gòu)管理明確商用密碼應(yīng)用安全性評(píng)估活動(dòng)實(shí)施依據(jù)按照《密碼法》《條例》關(guān)于運(yùn)營(yíng)者自行或者委托商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)開展評(píng)明確了商用密碼應(yīng)用安全性評(píng)估活動(dòng)的實(shí)施依據(jù)，有助于規(guī)范并提升商用密碼應(yīng)用安全性評(píng)估工作質(zhì)量《辦法》主要內(nèi)容《辦法》主要內(nèi)容CipherGateway《辦法》共19條第1~5條立法目的第6~9條評(píng)估要求第10~15條實(shí)施規(guī)范第16~17條第18~19條CipherGatewayCipherGateway一、立法目的二、一、立法目的2.重要定義三、實(shí)施規(guī)范容條件全事件四、監(jiān)督及法律責(zé)任五、程序性事項(xiàng)求CipherGatewayCipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任為了規(guī)范商用密碼應(yīng)用安全性評(píng)估工作保障網(wǎng)絡(luò)與信息安全，維護(hù)國(guó)家安全和社會(huì)公共利益保護(hù)公民、法人和其他組織的合法權(quán)益制定依據(jù)根據(jù)《中華人民共和國(guó)密碼等有關(guān)法律法規(guī)，制定本辦法應(yīng)用安全性評(píng)估是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用正確性、有效性進(jìn)行檢測(cè)分析和5.程序性事項(xiàng)2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)商用密碼應(yīng)用2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)國(guó)家密碼管理局·負(fù)責(zé)管理全國(guó)的商用密碼應(yīng)用安全性評(píng)估工作支持商用密碼應(yīng)用安全性評(píng)估技術(shù)、標(biāo)準(zhǔn)、工具、手段創(chuàng)新完善商用密碼應(yīng)用安全性評(píng)估標(biāo)準(zhǔn)體系鼓勵(lì)設(shè)立商用密碼應(yīng)用安全性評(píng)估行業(yè)組織，加強(qiáng)行業(yè)自律，維護(hù)行業(yè)秩序管理部門負(fù)責(zé)管理本行政區(qū)域的商用密碼應(yīng)用安全性評(píng)估工作。在其職責(zé)范圍內(nèi)負(fù)責(zé)指導(dǎo)、監(jiān)督本機(jī)關(guān)、本單位或者本系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估工作。評(píng)估機(jī)構(gòu)從事商用密碼應(yīng)用安全性評(píng)估活動(dòng)，向社會(huì)出具具有證明作用的商用密碼應(yīng)用安全性評(píng)估數(shù)據(jù)、結(jié)果的機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國(guó)家密碼管理局認(rèn)定，依法取得商用密碼檢測(cè)機(jī)構(gòu)資法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)重要網(wǎng)絡(luò)與信息系統(tǒng)其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)并定期開展商用密碼應(yīng)用安全性評(píng)估1.立法目的規(guī)劃階段建設(shè)階段建成運(yùn)行后2.評(píng)估要求應(yīng)當(dāng)依照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，根據(jù)商用密碼應(yīng)用需求制定商用密碼應(yīng)用方案，規(guī)劃商用密碼保障系統(tǒng)應(yīng)當(dāng)按照通過商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案組織實(shí)施落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評(píng)估確保商用密碼保障系統(tǒng)正確有效運(yùn)行3.實(shí)施規(guī)范應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估未通過商用密碼應(yīng)用安全性評(píng)估的應(yīng)當(dāng)進(jìn)行改造，并在改造期間采4.監(jiān)督及法律責(zé)任取必要措施保證網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全商用密碼應(yīng)用安全性評(píng)估的不得作為商用密碼保障系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估的運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造，改造期間5.程序性事項(xiàng)建設(shè)依據(jù)1.立法目的1.立法目的編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告?？剂可逃妹艽a應(yīng)用需求的編制形成商用密碼應(yīng)用安全性評(píng)估報(bào)告。合理性和針對(duì)性，對(duì)照相關(guān)標(biāo)準(zhǔn)2.評(píng)估要求規(guī)范選取適用指標(biāo)的準(zhǔn)確性，以方案評(píng)估及方案評(píng)估3.實(shí)施規(guī)范分析商用密碼應(yīng)用流程和機(jī)制是分析商用密碼應(yīng)用流程和機(jī)制是否具備可實(shí)施性、商用密碼保護(hù)措施是否達(dá)到相應(yīng)的商用密碼應(yīng)用要求、相關(guān)描述是否詳盡。論證商用密碼技術(shù)、產(chǎn)品和服務(wù)論證商用密碼技術(shù)、產(chǎn)品和服務(wù)選用的合規(guī)性，密鑰管理的安全性，以及使用商用密碼解決安全風(fēng)險(xiǎn)的科學(xué)性。5.程序性事項(xiàng)1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)劃定評(píng)估范圍確定評(píng)估指標(biāo)及對(duì)象現(xiàn)場(chǎng)評(píng)估編制評(píng)估報(bào)告確定評(píng)估指標(biāo)及評(píng)估對(duì)象，論證編制商用密碼應(yīng)用安全性評(píng)估3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)1.立法目的應(yīng)當(dāng)遵守法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求，遵循客觀實(shí)際、科學(xué)公正、誠(chéng)實(shí)信用原則運(yùn)營(yíng)者2.評(píng)估要求委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估，不得對(duì)評(píng)估結(jié)果施加影響，需提供如下支持：提供完整有效的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備清單和網(wǎng)絡(luò)提供詳細(xì)的網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用方案、密碼相關(guān)管理制度和密碼配置、提供商用密碼產(chǎn)品管理入口、網(wǎng)提供商用密碼產(chǎn)品管理入口、網(wǎng)絡(luò)交換設(shè)備接入數(shù)據(jù)接入分析條件，并配合進(jìn)行其他需要配合的系統(tǒng)相關(guān)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、商用密碼產(chǎn)品管理員等做好2.評(píng)估要求運(yùn)營(yíng)者自行開展網(wǎng)絡(luò)與信息系統(tǒng)展商用密碼應(yīng)用安全性2.評(píng)估要求自行開展商用密碼應(yīng)用安全性評(píng)估的網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)符合以下要求：1.立法目的具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的商用密碼檢測(cè)具有與開展商用密碼應(yīng)用安全性具有與開展商用密碼應(yīng)用安全性評(píng)估活動(dòng)相適應(yīng)的項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等規(guī)章制度。3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任自行開展商用密碼應(yīng)用安全性評(píng)估形成的商用密碼應(yīng)用安全性評(píng)估報(bào)告相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和有關(guān)規(guī)定的要求由本單位負(fù)責(zé)人簽字確認(rèn)并加蓋本單位公章。5.程序性事項(xiàng)注意：商用密碼應(yīng)用安全性評(píng)估原始記錄和商用密碼應(yīng)用安全性評(píng)估報(bào)告應(yīng)當(dāng)歸檔留存，保證其具有可追溯性，保存5.程序性事項(xiàng)期限不得少于6年。審查不通過材料形式CipherGateway審查不通過材料形式CipherGateway1.立法目的應(yīng)當(dāng)責(zé)令相關(guān)運(yùn)營(yíng)者重新應(yīng)當(dāng)責(zé)令相關(guān)運(yùn)營(yíng)者重新提供商用密碼應(yīng)用安全性應(yīng)當(dāng)在商用密碼應(yīng)用安全性評(píng)估報(bào)告形成30日肉3.實(shí)施規(guī)范將評(píng)估報(bào)告連同相關(guān)工作情況按照國(guó)家有關(guān)規(guī)定報(bào)送4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)國(guó)家密碼管或網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門相關(guān)商用密碼檢測(cè)機(jī)構(gòu)應(yīng)當(dāng)配合運(yùn)營(yíng)者重新開展商用密碼應(yīng)用安全性評(píng)估或者重新出具商用密碼應(yīng)用報(bào)送不合格CipherGateway報(bào)送不合格CipherGateway1.立法目的2.評(píng)估要求3.實(shí)施規(guī)范直轄市理部門備案材料相關(guān)商用密碼檢測(cè)機(jī)構(gòu)應(yīng)當(dāng)暫停承接新的商用密碼應(yīng)用安全性評(píng)估業(yè)務(wù)，配合運(yùn)營(yíng)者重新開展商用密碼應(yīng)用安全性評(píng)估并履行備案程序，并不得重復(fù)收取費(fèi)用。4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)本地區(qū)商用密碼應(yīng)用安全性評(píng)估工作開展情況技術(shù)復(fù)核責(zé)令相關(guān)運(yùn)營(yíng)者重新提供商用密碼應(yīng)用安全性評(píng)估報(bào)告CipherGatewayCipherGateway1.立法目的專項(xiàng)檢查密碼相關(guān)重大事件專項(xiàng)檢查2.評(píng)估要求運(yùn)營(yíng)者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重運(yùn)營(yíng)者發(fā)現(xiàn)密碼相關(guān)重大安全事件、重大密碼安全隱患或者特殊緊急情況的，應(yīng)當(dāng)及時(shí)向國(guó)家密碼管理局或者網(wǎng)絡(luò)與信息系統(tǒng)所在地省、自治區(qū)、直轄市密碼管理部門報(bào)告，必要時(shí)啟動(dòng)應(yīng)急處置方案并開展商用密碼應(yīng)用安全性評(píng)估。3.實(shí)施規(guī)范家機(jī)關(guān)和涉及商用密碼工作的單位可以3.實(shí)施規(guī)范根據(jù)工作需要，對(duì)本地區(qū)、本機(jī)關(guān)、本單位或者本系統(tǒng)的重要網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估情況開展專項(xiàng)5.程序性事項(xiàng)重要網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者法律責(zé)任1.立法目的處罰重要網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營(yíng)者違反《中華人民共和國(guó)密碼密碼管理?xiàng)l例》和本辦法規(guī)定(一)未按要求開展商用密碼應(yīng)用安全性評(píng)估的；由密碼管理部門責(zé)令改正，給予警告；拒不改正或者有其他嚴(yán)重情節(jié)的，處10萬(wàn)元以上100萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款。2.評(píng)估要求(二)重要網(wǎng)絡(luò)與信息系統(tǒng)未通過商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的；3.實(shí)施規(guī)范(三)不符合要求自行開展商用密碼應(yīng)用安全性評(píng)估或者商用密碼應(yīng)用安全性評(píng)估實(shí)施違反相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的；(四)未為商用密碼應(yīng)用安全性評(píng)估活動(dòng)提供必要支持，或者對(duì)商用密碼應(yīng)用安全性評(píng)估結(jié)果施加影響的；5.程序性事項(xiàng)(五)未按照要求進(jìn)行商用密碼應(yīng)用安全性評(píng)估結(jié)果備案的。CipherGateway正建和已運(yùn)行的重要網(wǎng)絡(luò)與信息系統(tǒng)的評(píng)估要求CipherGateway1.立法目的本辦法施行前正在建設(shè)的重要網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)商用密碼應(yīng)用方案編制論證，建設(shè)完善商用密碼保障系統(tǒng)，并按照本辦法第八條規(guī)定開展商用密碼應(yīng)用安全性評(píng)估。2.評(píng)估要求3.實(shí)施規(guī)范4.監(jiān)督及法律責(zé)任5.程序性事項(xiàng)本辦法施行前已經(jīng)投入運(yùn)行的重要網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)按照本辦法第九條規(guī)定開展商用密碼應(yīng)用安全性評(píng)估。本辦法自××××年××月××日起施行。煉石是以“免改造”為創(chuàng)新特色的數(shù)據(jù)安全產(chǎn)品廠商，并為客戶提供專業(yè)數(shù)據(jù)安全服務(wù)公司成立安天投資應(yīng)用融合數(shù)據(jù)安全Pre-A輪免改造數(shù)據(jù)安全數(shù)據(jù)保護(hù)平臺(tái)騰訊投資主平臺(tái)A+輪數(shù)據(jù)安全威脅檢測(cè)系統(tǒng)安全強(qiáng)化煉石系統(tǒng)安全能力中國(guó)解學(xué)院HINISIACADENYGFSCILNCL強(qiáng)化煉石安全算法能力騰訊云騰訊安全騰訊云TencentSecurity產(chǎn)品共研深度融合拓展市場(chǎng)戰(zhàn)略布局國(guó)科嘉和產(chǎn)業(yè)互聯(lián)網(wǎng)巨頭國(guó)資運(yùn)營(yíng)賦能增效發(fā)展存儲(chǔ)加密錨點(diǎn)解密產(chǎn)品矩陣：免改造的全面數(shù)據(jù)保護(hù)，支持靈活部署存儲(chǔ)加密錨點(diǎn)解密產(chǎn)品矩陣：免改造的全面數(shù)據(jù)保護(hù)，支持靈活部署免改造增強(qiáng)數(shù)據(jù)安全數(shù)據(jù)資產(chǎn)管理系統(tǒng)無(wú)需改動(dòng)目標(biāo)應(yīng)用系統(tǒng)的代碼，即可為各行業(yè)應(yīng)用系統(tǒng)增強(qiáng)數(shù)據(jù)加密、脫敏、審計(jì)保護(hù)數(shù)據(jù)資產(chǎn)管理系統(tǒng)敏感數(shù)據(jù)識(shí)別敏感數(shù)據(jù)識(shí)別敏感資產(chǎn)可視數(shù)據(jù)加密系統(tǒng)解密授權(quán)具備PCT國(guó)際專利保護(hù)的高性能國(guó)密技術(shù)，在單顆IntelCPU上實(shí)現(xiàn)SM4加解密速度突破數(shù)據(jù)去標(biāo)識(shí)化系統(tǒng)適應(yīng)復(fù)雜應(yīng)用架構(gòu)數(shù)據(jù)去標(biāo)識(shí)化系統(tǒng)DSM/PIP數(shù)據(jù)安全合規(guī)系統(tǒng)動(dòng)態(tài)脫敏煉石數(shù)據(jù)安全主平臺(tái)靜態(tài)脫敏DSM/PIP數(shù)據(jù)安全合規(guī)系統(tǒng)