商用密碼應用安全性評估各方職責

       根據(jù)《商用密碼應用安全性評估管理辦法（試行）》《商用密碼應用安全性測評機構管理辦法（試行）》等有關規(guī)定的要求，測評機構和測評人員、網(wǎng)絡與信息系統(tǒng)責任單位、密碼管理部門三方在密評工作中的職責各不相同，只有三方通力協(xié)作配合，才能將密評工作扎實做好。

       商用密碼應用安全性評估工作是一項專業(yè)性很強的工作，需要專門的測評機構派出專業(yè)測評人員實施測評，測評結果作為密碼應用安全性評估結論的重要依據(jù)。

       測評機構是商用密碼應用安全性評估的承擔單位，應當按照有關法律法規(guī)和標準要求科學、公正地開展評估。承擔商用密碼應用安全性評估工作的測評機構，需要經(jīng)過國家密碼管理部門組織的試點培育，經(jīng)評審后，納入試點測評機構目錄；在測評過程中，需要全面、客觀地反映被測系統(tǒng)的密碼應用安全狀態(tài)，不得泄露被測評對象的工作秘密和重要數(shù)據(jù)，不得妨礙被測系統(tǒng)的正常運行。測評機構完成商用密碼應用安全性評估工作后，應在30個工作日內將評估結果報國家密碼管理部門備案。

       從事商用密碼應用安全性評估工作的測評人員應當通過國家密碼管理部門（或其授權的機構）組織的考核，遵守國家有關法律法規(guī)，按照相關標準，為用戶提供，安全、客觀、公正的評估服務，保證評估的質量和效果。

       網(wǎng)絡與信息系統(tǒng)責任單位即網(wǎng)絡與信息系統(tǒng)建設、使用、管理單位，是商用密碼應用安全性評估的責任單位，應當健全密碼保障系統(tǒng)，并在規(guī)劃、建設和運行階段，組織開展商用密碼應用安全性評估工作，并負主體責任。重要領域網(wǎng)絡與信息系統(tǒng)的運營者，應按如下要求開展工作。

       第一，系統(tǒng)規(guī)劃階段，網(wǎng)絡與信息系統(tǒng)責任單位應當依據(jù)商用密碼技術標準，制定商用密碼應用建設方案（簡稱密碼應用方案），組織專家或委托具有相關資質的測評機構進行評估。其中，使用財政性資金建設的網(wǎng)絡與信息系統(tǒng)，商用密碼應用安全性評估結果應作為項目立項的必備材料。

       第二，系統(tǒng)建設完成后，網(wǎng)絡與信息系統(tǒng)責任單位應當委托具有相關資質的測評機構進行商用密碼應用安全性評估，評估結果作為項目建設驗收的必備材料，評估通過后，方可投入運行。

       第三，系統(tǒng)投入運行后，網(wǎng)絡與信息系統(tǒng)責任單位應當委托具有相關資質的測評機構定期開展商用密碼應用安全性評估。未通過評估的，網(wǎng)絡與信息系統(tǒng)責任單位應當按要求進行整改并重新組織評估。其中，關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)每年至少評估一次。

       第四，系統(tǒng)發(fā)生密碼相關重大安全事件、重大調整或特殊緊急情況時，網(wǎng)絡與信息系統(tǒng)責任單位應當及時組織具有相關資質的測評機構開展商用密碼應用安全性評估，并依據(jù)評估結果進行應急處置，采取必要的安全防范措施。

       第五，完成規(guī)劃、建設、運行和應急評估后，網(wǎng)絡與信息系統(tǒng)責任單位應當在30個工作日內將評估結果報主管部門及所在地區(qū)（部門）的密碼管理部門備案（部委建設直管的系統(tǒng)及其延伸系統(tǒng)，商用密碼應用安全性評估結果報部委密碼管理部門備案）。

       網(wǎng)絡與信息系統(tǒng)責任單位應當認真履行密碼安全主體責任，明確密碼安全負責人，制定完善的密碼管理制度，按照要求開展商用密碼應用安全性評估、備案和整改，配合密碼管理部門和有關部門的安全檢查。

       國家密碼管理部門負責指導、監(jiān)督和檢查全國的商用密碼應用安全性評估工作；?。ú浚┟艽a管理部門負責指導、監(jiān)督和檢查本地區(qū)、本部門、本行業(yè)（系統(tǒng)）的商用密碼應用安全性評估工作。

       國家密碼管理部門依據(jù)有關規(guī)定，組織對測評機構工作開展情況進行監(jiān)督檢查。檢查內容主要包括兩方面：對測評機構出具的評估結果的客觀、公允和真實性進行評判；對測評機構開展評估工作的客觀、規(guī)范和獨立性進行檢查。

       各地區(qū)（部門）密碼管理部門根據(jù)工作需要，定期或不定期地對本地區(qū)、本部門重要領域網(wǎng)絡與信息系統(tǒng)商用密碼應用安全性評估工作落實情況進行檢查。國家密碼管理部門對全國的商用密碼應用安全性評估工作落實情況進行抽查。檢查的主要內容包括：是否在規(guī)劃、建設、運行階段按照要求開展商用密碼應用安全性評估，評估后問題整改情況，評估結果有效性情況等。