信息化觀察網(wǎng)

本文來自微信公眾號“安全學(xué)習(xí)那些事兒”。

2023年9月26日，國家密碼管理局令第2號《商用密碼檢測機構(gòu)管理辦法》已經(jīng)2023年9月11日國家密碼管理局局務(wù)會議審議通過，現(xiàn)予公布，自2023年11月1日起施行。國家密碼管理局令第3號《商用密碼應(yīng)用安全性評估管理辦法》已經(jīng)2023年9月11日國家密碼管理局局務(wù)會議審議通過，現(xiàn)予公布，自2023年11月1日起施行。點擊閱讀原文查看辦法全文。

《商用密碼檢測機構(gòu)管理辦法》解讀

根據(jù)《中華人民共和國密碼法》(以下簡稱《密碼法》)、《商用密碼管理條例》(以下簡稱《條例》)等法律法規(guī)，國家密碼管理局研究制定了《商用密碼檢測機構(gòu)管理辦法》(國家密碼管理局令第2號)(以下簡稱《辦法》)，現(xiàn)就《辦法》的有關(guān)內(nèi)容解讀如下。

一、制定的必要性

(一)制定《辦法》是貫徹落實黨中央、國務(wù)院關(guān)于商用密碼管理決策部署的必然要求?！睹艽a法》第二十五條明確提出“商用密碼檢測、認證機構(gòu)應(yīng)當(dāng)依法取得相關(guān)資質(zhì)，并依照法律、行政法規(guī)的規(guī)定和商用密碼檢測認證技術(shù)規(guī)范、規(guī)則開展商用密碼檢測認證”的要求。新修訂的《條例》第十三條規(guī)定：“從事商用密碼產(chǎn)品檢測、網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評估等商用密碼檢測活動，向社會出具具有證明作用的數(shù)據(jù)、結(jié)果的機構(gòu)，應(yīng)當(dāng)經(jīng)國家密碼管理部門認定，依法取得商用密碼檢測機構(gòu)資質(zhì)。”為有效貫徹落實上位法規(guī)定，按照商用密碼依法管理要求，有必要制定《辦法》，細化商用密碼檢測機構(gòu)管理措施。

(二)制定《辦法》是深化行政審批制度改革、優(yōu)化營商環(huán)境的重要舉措。近年來，黨中央、國務(wù)院圍繞深化行政審批制度改革、優(yōu)化營商環(huán)境作出了一系列重大決策部署，為嚴格落實行政審批制度改革要求，有必要制定《辦法》，優(yōu)化審批流程，規(guī)范審批條件，為保護市場主體權(quán)益，凈化市場環(huán)境，優(yōu)化政務(wù)服務(wù)，規(guī)范監(jiān)管執(zhí)法提供法治保障和政策支持。

(三)制定《辦法》是規(guī)范商用密碼檢測機構(gòu)管理的迫切需要。隨著商用密碼產(chǎn)業(yè)的持續(xù)發(fā)展和應(yīng)用需求的不斷提升，商用密碼檢測需求顯著增加，急需出臺專門規(guī)章進一步規(guī)范商用密碼檢測機構(gòu)管理工作。《辦法》根據(jù)商用密碼檢測機構(gòu)管理現(xiàn)實需要，對檢測機構(gòu)資質(zhì)認定、監(jiān)督管理等提出明確要求，對于規(guī)范檢測機構(gòu)市場準入及從業(yè)行為、促進商用密碼檢測行業(yè)健康發(fā)展具有重要意義。

二、總體思路

《辦法》的制定細化《密碼法》、《條例》關(guān)于商用密碼檢測機構(gòu)許可、從業(yè)、監(jiān)管等方面要求，研究借鑒有關(guān)檢驗檢測機構(gòu)管理規(guī)定，結(jié)合工作實際，注重合法性、合理性和可操作性，力求做到內(nèi)容完備、邏輯嚴密。主要體現(xiàn)了以下三方面思路：

(一)堅持依法管理。嚴格依據(jù)《密碼法》、《條例》及相關(guān)法律法規(guī)中商用密碼檢測相關(guān)管理要求，制定商用密碼檢測機構(gòu)管理各項措施。(二)堅持公平公正。系統(tǒng)設(shè)計商用密碼檢測機構(gòu)管理體系，細化明確商用密碼檢測活動要求，嚴格規(guī)范檢測機構(gòu)從業(yè)行為。(三)堅持保障安全和創(chuàng)新發(fā)展相統(tǒng)一。按照既滿足商用密碼檢測安全需要，又鼓勵商用密碼檢測機構(gòu)創(chuàng)新發(fā)展、做大做強的導(dǎo)向，科學(xué)設(shè)置檢測機構(gòu)準入條件和監(jiān)督管理措施。

三、主要內(nèi)容

《辦法》共29條。主要內(nèi)容包括：(一)總體要求。一是規(guī)定適用范圍，包括商用密碼產(chǎn)品檢測機構(gòu)和商用密碼應(yīng)用安全性評估機構(gòu)的資質(zhì)認定和監(jiān)督管理。二是明確監(jiān)管體制，國家密碼管理局負責(zé)全國商用密碼檢測機構(gòu)的資質(zhì)認定和監(jiān)督管理。縣級以上地方各級密碼管理部門負責(zé)本行政區(qū)域內(nèi)商用密碼檢測機構(gòu)的監(jiān)督管理。(二)資質(zhì)認定條件和程序。一是明確商用密碼檢測機構(gòu)資質(zhì)認定的規(guī)范依據(jù)。二是規(guī)定資質(zhì)認定的條件要求。三是規(guī)定資質(zhì)認定的程序，包括申請、受理、審查、決定、頒證等環(huán)節(jié)。四是規(guī)定資質(zhì)變更、延續(xù)、注銷等相關(guān)要求。(三)從業(yè)規(guī)范。一是明確了商用密碼檢測機構(gòu)及相關(guān)從業(yè)人員應(yīng)遵守的行為規(guī)范。二是針對檢測報告、數(shù)據(jù)和樣品管理、信息報送、檢測行為等方面對檢測活動提出具體要求。(四)監(jiān)督檢查及法律責(zé)任。一是規(guī)定了密碼管理部門的監(jiān)督檢查職權(quán)及結(jié)果處理。二是明確了商用密碼檢測機構(gòu)的違法情形及法律責(zé)任。三是規(guī)定了商用密碼檢測機構(gòu)監(jiān)督管理信息公示和管理人員的責(zé)任義務(wù)。(五)其他事項。規(guī)定了本辦法的施行時間。

《商用密碼應(yīng)用安全性評估管理辦法》解讀

根據(jù)《中華人民共和國密碼法》(以下簡稱《密碼法》)、《商用密碼管理條例》(以下簡稱《條例》)等法律法規(guī)，國家密碼管理局研究制定了《商用密碼應(yīng)用安全性評估管理辦法》(國家密碼管理局令第3號)(以下簡稱《辦法》)，現(xiàn)就《辦法》的有關(guān)內(nèi)容解讀如下。

一、制定的必要性

商用密碼應(yīng)用安全性評估是加強和規(guī)范商用密碼應(yīng)用的重要抓手。隨著《密碼法》頒布實施，商用密碼應(yīng)用安全性評估制度依法確立，商用密碼應(yīng)用安全性評估機構(gòu)納入商用密碼檢測機構(gòu)統(tǒng)一管理，新修訂的《條例》第三十八條、第四十一條進一步明確了商用密碼應(yīng)用安全性評估相關(guān)制度要求。為有效貫徹落實上位法規(guī)定，急需制定《辦法》，統(tǒng)籌細化商用密碼應(yīng)用安全性評估對象范圍、責(zé)任主體、工作原則、程序內(nèi)容、實施規(guī)范等規(guī)定，依法規(guī)范商用密碼應(yīng)用安全性評估工作。2017年以來，國家密碼管理部門組織開展一系列商用密碼應(yīng)用安全性評估試點，在試點過程中，商用密碼應(yīng)用安全性評估的基本要求和思路做法已逐步得到相關(guān)管理部門、運營者和評估機構(gòu)的認同，為《辦法》的制定奠定了堅實的實踐基礎(chǔ)。

二、總體思路

《辦法》的制定細化《密碼法》、《條例》關(guān)于商用密碼應(yīng)用安全性評估工作主體、方式、程序、備案等方面要求，吸收繼承商用密碼應(yīng)用安全性評估試點經(jīng)驗做法，結(jié)合工作實際，注重合法性、合理性和可操作性，力求做到內(nèi)容完備、邏輯嚴密。主要體現(xiàn)了以下三方面思路：

(一)細化落實“三同步一評估”要求。按照《密碼法》、《條例》規(guī)定，《辦法》對依法應(yīng)當(dāng)使用商用密碼進行保護的重要網(wǎng)絡(luò)與信息系統(tǒng)，明確要求同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，并定期進行商用密碼應(yīng)用安全性評估。細化商用密碼應(yīng)用安全性評估要求，從規(guī)劃、建設(shè)、運行各個階段分別提出落實安排、明確評估程序及內(nèi)容，建立起商用密碼應(yīng)用安全性評估制度的基本框架。(二)體現(xiàn)商用密碼應(yīng)用安全性評估系統(tǒng)性原則。《辦法》將商用密碼應(yīng)用方案評估、網(wǎng)絡(luò)與信息系統(tǒng)運行前評估、網(wǎng)絡(luò)與信息系統(tǒng)運行后定期評估統(tǒng)一納入商用密碼應(yīng)用安全性評估工作體系，在實施中“按照同一套標準、遵循同一套程序、囊括同一套活動”，確保重要網(wǎng)絡(luò)與信息系統(tǒng)全生命周期落實商用密碼應(yīng)用安全性評估要求。同時，將商用密碼應(yīng)用安全性評估機構(gòu)統(tǒng)一納入商用密碼檢測機構(gòu)管理，進一步體現(xiàn)工作的系統(tǒng)性整體性。(三)明確商用密碼應(yīng)用安全性評估實施依據(jù)。按照《密碼法》、《條例》關(guān)于運營者自行或者委托商用密碼應(yīng)用安全性評估機構(gòu)開展評估的規(guī)定，《辦法》分別明確了相關(guān)要求，并就兩者需共同遵守的行為規(guī)范作出規(guī)定，從而明確了商用密碼應(yīng)用安全性評估活動的實施依據(jù)，有助于規(guī)范提升商用密碼應(yīng)用安全性評估工作質(zhì)量。

三、主要內(nèi)容

《辦法》共21條。主要內(nèi)容包括：(一)總體要求。一是明確概念定義，商用密碼應(yīng)用安全性評估是指按照有關(guān)法律法規(guī)和標準規(guī)范，對網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù)、產(chǎn)品和服務(wù)的合規(guī)性、正確性、有效性進行檢測分析和評估驗證的活動。二是規(guī)定管理體制，包括縣級以上各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位的監(jiān)督管理職權(quán)。三是明確對商用密碼應(yīng)用安全性評估從業(yè)機構(gòu)的資質(zhì)要求，以及對商用密碼應(yīng)用安全性評估行業(yè)發(fā)展的保障支持。四是規(guī)定了商用密碼應(yīng)用安全性評估的對象范圍。(二)程序及內(nèi)容要求。一是規(guī)定“三同步一評估”的總體要求。二是明確重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃、建設(shè)、運行各階段的商用密碼應(yīng)用安全性評估的程序要求。三是針對商用密碼應(yīng)用方案、網(wǎng)絡(luò)與信息系統(tǒng)兩類不同對象，分別提出商用密碼應(yīng)用安全性評估的內(nèi)容要求。(三)實施規(guī)范。一是規(guī)定開展商用密碼應(yīng)用安全性評估的通用行為規(guī)范和運營者委托開展評估的支持配合義務(wù)。二是規(guī)定運營者自行開展商用密碼應(yīng)用安全性評估的基本要求與行為規(guī)范。三是規(guī)定商用密碼應(yīng)用安全性評估結(jié)果備案制度。四是規(guī)定運營者開展應(yīng)急處置的有關(guān)內(nèi)容。(四)監(jiān)督檢查及法律責(zé)任。一是規(guī)定了縣級以上地方各級密碼管理部門、國家機關(guān)和涉及商用密碼工作的單位的監(jiān)督檢查職權(quán)。二是明確了運營者的違法情形及法律責(zé)任。三是規(guī)定了商用密碼應(yīng)用安全性評估管理人員的責(zé)任義務(wù)。(五)其他事項。規(guī)定了本辦法實施的過渡安排和施行時間。