根据《商用密码应用安全性评估管理办法(试行)》《商用密码应用安全性测评机构管理办法(试行)》等有关规定的要求,测评机构和测评人员、网络与信息系统责任单位、密码管理部门三方在密评工作中的职责各不相同,只有三方通力协作配合,才能将密评工作扎实做好。01
商用密码应用安全性评估工作是一项专业性很强的工作,需要专门的测评机构派出专业测评人员实施测评,测评结果作为密码应用安全性评估结论的重要依据。测评机构是商用密码应用安全性评估的承担单位,应当按照有关法律法规和标准要求科学、公正地开展评估。承担商用密码应用安全性评估工作的测评机构,需要经过国家密码管理部门组织的试点培育,经评审后,纳入试点测评机构目录;在测评过程中,需要全面、客观地反映被测系统的密码应用安全状态,不得泄露被测评对象的工作秘密和重要数据,不得妨碍被测系统的正常运行。测评机构完成商用密码应用安全性评估工作后,应在30个工作日内将评估结果报国家密码管理部门备案。从事商用密码应用安全性评估工作的测评人员应当通过国家密码管理部门(或其授权的机构)组织的考核,遵守国家有关法律法规,按照相关标准,为用户提供,安全、客观、公正的评估服务,保证评估的质量和效果。
02
网络与信息系统责任单位即网络与信息系统建设、使用、管理单位,是商用密码应用安全性评估的责任单位,应当健全密码保障系统,并在规划、建设和运行阶段,组织开展商用密码应用安全性评估工作,并负主体责任。重要领域网络与信息系统的运营者,应按如下要求开展工作。第一,系统规划阶段,网络与信息系统责任单位应当依据商用密码技术标准,制定商用密码应用建设方案(简称密码应用方案),组织专家或委托具有相关资质的测评机构进行评估。其中,使用财政性资金建设的网络与信息系统,商用密码应用安全性评估结果应作为项目立项的必备材料。第二,系统建设完成后,网络与信息系统责任单位应当委托具有相关资质的测评机构进行商用密码应用安全性评估,评估结果作为项目建设验收的必备材料,评估通过后,方可投入运行。第三,系统投入运行后,网络与信息系统责任单位应当委托具有相关资质的测评机构定期开展商用密码应用安全性评估。未通过评估的,网络与信息系统责任单位应当按要求进行整改并重新组织评估。其中,关键信息基础设施、网络安全等级保护第三级及以上信息系统每年至少评估一次。第四,系统发生密码相关重大安全事件、重大调整或特殊紧急情况时,网络与信息系统责任单位应当及时组织具有相关资质的测评机构开展商用密码应用安全性评估,并依据评估结果进行应急处置,采取必要的安全防范措施。第五,完成规划、建设、运行和应急评估后,网络与信息系统责任单位应当在30个工作日内将评估结果报主管部门及所在地区(部门)的密码管理部门备案(部委建设直管的系统及其延伸系统,商用密码应用安全性评估结果报部委密码管理部门备案)。网络与信息系统责任单位应当认真履行密码安全主体责任,明确密码安全负责人,制定完善的密码管理制度,按照要求开展商用密码应用安全性评估、备案和整改,配合密码管理部门和有关部门的安全检查。
03
国家密码管理部门负责指导、监督和检查全国的商用密码应用安全性评估工作;省(部)密码管理部门负责指导、监督和检查本地区、本部门、本行业(系统)的商用密码应用安全性评估工作。国家密码管理部门依据有关规定,组织对测评机构工作开展情况进行监督检查。检查内容主要包括两方面:对测评机构出具的评估结果的客观、公允和真实性进行评判;对测评机构开展评估工作的客观、规范和独立性进行检查。各地区(部门)密码管理部门根据工作需要,定期或不定期地对本地区、本部门重要领域网络与信息系统商用密码应用安全性评估工作落实情况进行检查。国家密码管理部门对全国的商用密码应用安全性评估工作落实情况进行抽查。检查的主要内容包括:是否在规划、建设、运行阶段按照要求开展商用密码应用安全性评估,评估后问题整改情况,评估结果有效性情况等。
