【中英文对照版】商用密码应用安全性评估管理办法.docx

商用密码应用安全性评估管理办法AdministrativeMeasuresfortheSecurityAssessmentofCommercialCryptographyApplication制定机关：国家密码管理局发文字号：国家密码管理局令第3号公布日期：2023.09.26施行日期：2023.11.01效力位阶：部门规章法规类别：商用密码IssuingAuthority：StateEncryptionAdministrationDocumentNumber:OrderNo.3oftheStaleCryptographyAdministrationDateIssued：09-26-2023EffectiveDate：11-01-20231.evelofAuthority：DepartmentalRulesAreaofLaw：CommercialCryptography国家密码管理局令OrderoftheStateCryptographyAdministration(No. 3)（第3号）商用密码应用安全性评估管理 办法已经2023年9月11日国 家密码管理局局务会议审议通 过，现予公布，自2023年11月 1日起施行。局长刘东方2023年9月26日TheAdministrativeMeasuresfortheSecurityAssessmentofCommercialCryptographyApplication,asdeliberatedandadoptedattheexecutivemeetingoftheStateCryptographyAdministrationonSeptember11,2023,areherebyissuedandshallcomeintoforceonNovember1,2023.Director:LiuDongfangSeptember26,2023the SecurityCryptography商用密码应用安全性评估管理办 法AdministrativeMeasuresforAssessmentofCommercialApplication第一条 为了规范商用密码 应用安全性评估工作，保障网络 与信息安全，维护国家安全和社 会公共利益，保护公民、法人和 其他组织的合法权益，根据中 华人民共和国密码法、商用 密码管理条例等有关法律法 规，制定本办法。第二条本办法所称商用密 码应用安全性评估，是指按照有 关法律法规和标准规范，对网络 与信息系统使用商用密码技术、 产品和服务的合规性、正确性、 有效性进行检测分析和评估验证 的活动。第三条国家密码管理局负 责管理全国的商用密码应用安全 性评估工作。县级以上地方各级 密码管理部门负责管理本行政区 域的商用密码应用安全性评估工 作。国家机关和涉及商用密码工作的Article1TheseMeasuresaredevelopedinaccordancewiththeCryptographyLawofthePeople'sRepublicofChina,theRegulationontheAdministrationofCommercialCryptography,andotherrelevantlawsandregulationstoregulatethesecurityassessmentofcommercialcryptographyapplication,guaranteecybersecurityandinformationsecurity,safeguardnationalsecurityandpublicinterest,andprotectthelawfulrightsandinterestsofcitizens,legalpersons,andotherorganizations.Article2ForthepurposesoftheseMeasures,"securityassessmentofcommercialcryptographyapplicationmeanstheactivitiesoftesting,analyzing,assessing,andverifyingthecompliance,accuracy,andeffectivenessofcommercialcryptographytechnologies,products,andservicesusedinnetworkandinformationsystemsinaccordancewithrelevantlaws,regulations,standards,andspecifications.Article3TheStateCryptographyAdministration(SCA)shallberesponsibleforadministeringthesecurityassessmentofcommercialcryptographyapplicationnationwide.Localcryptographyadministrationsatandabovethecountylevelshallberesponsibleforadministeringthesecurityassessmentofcommercialcryptographyapplicationwithintheirrespectiveadministrativeregions.Stateorgansandentitiesinvolvedinthecommercialcryptographyworkshall,withinthe单位在其职责范围内负责指导、 监督本机关、本单位或者本系统 的商用密码应用安全性评估工 作。scopeoftheirduties,beresponsibleforguidingandsupervisingthesecurityassessmentofcommercialcryptographyapplicationwithintheirorgans,entities,orsystems.第四条从事商用密码应用 安全性评估活动，向社会出具具 有证明作用的商用密码应用安全 性评估数据、结果的机构，应当 经国家密码管理局认定，依法取 得商用密码检测机构资质。Article4InstitutionsthatconductthesecurityassessmentofcommercialcryptographyapplicationandprovidedataandresultswiththefunctionofprooftothepublicshallberecognizedbytheSCAandobtainthequalificationofacommercialcryptographytestinginstitutioninaccordancewiththelaw.第五条国家密码管理局支 持商用密码应用安全性评估技 术、标准、工具创新，完善商用 密码应用安全性评估标准体系， 鼓励设立商用密码应用安全性评 估行业组织，加强行业自律，维 护行业秩序。Article5TheSCAshallsupportinnovationintechnologies,standards,andtoolsforthesecurityassessmentofcommercialcryptographyapplication,improvethesystemofstandardsforthesecurityassessmentofcommercialcryptographyapplication,encouragetheestablishmentofindustryorganizationsforthesecurityassessmentofcommercialcryptographyapplication,strengthenindustryself-regulation,andmaintaintheindustryorder.第六条法律、行政法规和 国家有关规定要求使用商用密码 进行保护的网络与信息系统（以 下简称重要网络与信息系统）， 其运营者应当使用商用密码进行 保护，制定商用密码应用方案， 配备必要的资金和专业人员，同 步规划、同步建设、同步运行商 用密码保障系统，并定期开展商 用密码应用安全性评估。Article6Anoperatorofanetworkandinformationsystemwhichshallbeprotectedbycommercialcryptographyasrequiredbylaws,administrativeregulations,andrelevantrulesofthestate(hereinafterreferredtoastheukeynetworkandinformationsystemn)shallusecommercialcryptographyforprotection,developcommercialcryptographyapplicationplans,allocatenecessaryfundsandprofessionals,concurrentlyplan,construct,andoperatecommercialcryptographysecuritysystems,andassessthesecurityofcommercialcryptographyapplicationonaperiodicalbasis.第七条重要网络与信息系 统规划阶段，其运营者应当依照 相关法律法规和标准规范，根据 商用密码应用需求，制定商用密 码应用方案，规划商用密码保障 系统。Article7Duringtheplanningstageofakeynetworkandinformationsystem,itsoperatorshallmakecommercialcryptographyapplicationplansandplancommercialcryptographysecuritysystemsinaccordancewiththerelevantlaws,regulations,standards,andspecificationsandtheneedsofcommercialcryptographyapplication.重要网络与信息系统的运营者应 当自行或者委托商用密码检测机 构对商用密码应用方案进行商用 密码应用安全性评估。商用密码 应用方案未通过商用密码应用安 全性评估的，不得作为商用密码 保障系统的建设依据。Anoperatorofakeynetworkandinformationsystemshallconductthesecurityassessmentofcommercialcryptographyapplicationorentrustacommercialcryptographytestinginstitutiontodoso.Acommercialcryptographyapplicationplanthatfailstopassthesecurityassessmentofcommercialcryptographyapplicationshallnotbetakenasthebasisfortheconstructionofacommercialcryptographysecuritysystem.第八条重要网络与信息系 统建设阶段，其运营者应当按照 通过商用密