商用密碼應(yīng)用安全性評(píng)估各方職責(zé)

       根據(jù)《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法（試行）》等有關(guān)規(guī)定的要求，測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員、網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位、密碼管理部門三方在密評(píng)工作中的職責(zé)各不相同，只有三方通力協(xié)作配合，才能將密評(píng)工作扎實(shí)做好。

       商用密碼應(yīng)用安全性評(píng)估工作是一項(xiàng)專業(yè)性很強(qiáng)的工作，需要專門的測(cè)評(píng)機(jī)構(gòu)派出專業(yè)測(cè)評(píng)人員實(shí)施測(cè)評(píng)，測(cè)評(píng)結(jié)果作為密碼應(yīng)用安全性評(píng)估結(jié)論的重要依據(jù)。

       測(cè)評(píng)機(jī)構(gòu)是商用密碼應(yīng)用安全性評(píng)估的承擔(dān)單位，應(yīng)當(dāng)按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求科學(xué)、公正地開展評(píng)估。承擔(dān)商用密碼應(yīng)用安全性評(píng)估工作的測(cè)評(píng)機(jī)構(gòu)，需要經(jīng)過國(guó)家密碼管理部門組織的試點(diǎn)培育，經(jīng)評(píng)審后，納入試點(diǎn)測(cè)評(píng)機(jī)構(gòu)目錄；在測(cè)評(píng)過程中，需要全面、客觀地反映被測(cè)系統(tǒng)的密碼應(yīng)用安全狀態(tài)，不得泄露被測(cè)評(píng)對(duì)象的工作秘密和重要數(shù)據(jù)，不得妨礙被測(cè)系統(tǒng)的正常運(yùn)行。測(cè)評(píng)機(jī)構(gòu)完成商用密碼應(yīng)用安全性評(píng)估工作后，應(yīng)在30個(gè)工作日內(nèi)將評(píng)估結(jié)果報(bào)國(guó)家密碼管理部門備案。

       從事商用密碼應(yīng)用安全性評(píng)估工作的測(cè)評(píng)人員應(yīng)當(dāng)通過國(guó)家密碼管理部門（或其授權(quán)的機(jī)構(gòu)）組織的考核，遵守國(guó)家有關(guān)法律法規(guī)，按照相關(guān)標(biāo)準(zhǔn)，為用戶提供，安全、客觀、公正的評(píng)估服務(wù)，保證評(píng)估的質(zhì)量和效果。

       網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位即網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)、使用、管理單位，是商用密碼應(yīng)用安全性評(píng)估的責(zé)任單位，應(yīng)當(dāng)健全密碼保障系統(tǒng)，并在規(guī)劃、建設(shè)和運(yùn)行階段，組織開展商用密碼應(yīng)用安全性評(píng)估工作，并負(fù)主體責(zé)任。重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營(yíng)者，應(yīng)按如下要求開展工作。

       第一，系統(tǒng)規(guī)劃階段，網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)依據(jù)商用密碼技術(shù)標(biāo)準(zhǔn)，制定商用密碼應(yīng)用建設(shè)方案（簡(jiǎn)稱密碼應(yīng)用方案），組織專家或委托具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)估。其中，使用財(cái)政性資金建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)，商用密碼應(yīng)用安全性評(píng)估結(jié)果應(yīng)作為項(xiàng)目立項(xiàng)的必備材料。

       第二，系統(tǒng)建設(shè)完成后，網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)委托具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行商用密碼應(yīng)用安全性評(píng)估，評(píng)估結(jié)果作為項(xiàng)目建設(shè)驗(yàn)收的必備材料，評(píng)估通過后，方可投入運(yùn)行。

       第三，系統(tǒng)投入運(yùn)行后，網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)委托具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)定期開展商用密碼應(yīng)用安全性評(píng)估。未通過評(píng)估的，網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)按要求進(jìn)行整改并重新組織評(píng)估。其中，關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)每年至少評(píng)估一次。

       第四，系統(tǒng)發(fā)生密碼相關(guān)重大安全事件、重大調(diào)整或特殊緊急情況時(shí)，網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)及時(shí)組織具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估，并依據(jù)評(píng)估結(jié)果進(jìn)行應(yīng)急處置，采取必要的安全防范措施。

       第五，完成規(guī)劃、建設(shè)、運(yùn)行和應(yīng)急評(píng)估后，網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)在30個(gè)工作日內(nèi)將評(píng)估結(jié)果報(bào)主管部門及所在地區(qū)（部門）的密碼管理部門備案（部委建設(shè)直管的系統(tǒng)及其延伸系統(tǒng)，商用密碼應(yīng)用安全性評(píng)估結(jié)果報(bào)部委密碼管理部門備案）。

       網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位應(yīng)當(dāng)認(rèn)真履行密碼安全主體責(zé)任，明確密碼安全負(fù)責(zé)人，制定完善的密碼管理制度，按照要求開展商用密碼應(yīng)用安全性評(píng)估、備案和整改，配合密碼管理部門和有關(guān)部門的安全檢查。

       國(guó)家密碼管理部門負(fù)責(zé)指導(dǎo)、監(jiān)督和檢查全國(guó)的商用密碼應(yīng)用安全性評(píng)估工作；?。ú浚┟艽a管理部門負(fù)責(zé)指導(dǎo)、監(jiān)督和檢查本地區(qū)、本部門、本行業(yè)（系統(tǒng)）的商用密碼應(yīng)用安全性評(píng)估工作。

       國(guó)家密碼管理部門依據(jù)有關(guān)規(guī)定，組織對(duì)測(cè)評(píng)機(jī)構(gòu)工作開展情況進(jìn)行監(jiān)督檢查。檢查內(nèi)容主要包括兩方面：對(duì)測(cè)評(píng)機(jī)構(gòu)出具的評(píng)估結(jié)果的客觀、公允和真實(shí)性進(jìn)行評(píng)判；對(duì)測(cè)評(píng)機(jī)構(gòu)開展評(píng)估工作的客觀、規(guī)范和獨(dú)立性進(jìn)行檢查。

       各地區(qū)（部門）密碼管理部門根據(jù)工作需要，定期或不定期地對(duì)本地區(qū)、本部門重要領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估工作落實(shí)情況進(jìn)行檢查。國(guó)家密碼管理部門對(duì)全國(guó)的商用密碼應(yīng)用安全性評(píng)估工作落實(shí)情況進(jìn)行抽查。檢查的主要內(nèi)容包括：是否在規(guī)劃、建設(shè)、運(yùn)行階段按照要求開展商用密碼應(yīng)用安全性評(píng)估，評(píng)估后問題整改情況，評(píng)估結(jié)果有效性情況等。