本文为重庆市密码管理局公文:关于进一步规范全市重要网络与信息系统密码应用有关要求的通知。通过对本通知内容的阐述,我们可以清晰地看到为规范全市重要网络与信息系统密码应用与安全性评估工作所做的周密安排和具体要求。从项目的规划阶段到建设阶段,再到运行阶段,并且考虑到集约建设与经费保障的每个环节,本通知为确保网络与信息系统安全提供了一份详细可行的操作指南。这一系列措施不仅有助于提升我市密码应用的安全性和合规性,同时也标志着我市在网络与信息安全领域迈出了坚实的步伐。
随着政策的进一步实施,预计将极大提高公众对密码应用重要性的认识,增强整个社会网络环境的安全防护。市密码局将继续发挥其监管作用,确保各项规定得到有效执行。同时,也将依靠市级各部门办公室、相关单位的通力合作,共同致力于打造一个更为安全、可靠的网络环境,以适应数字化时代不断升级的安全需求。
各区县(自治县)党委办公室,两江新区、重庆高新区、万盛经开区党工委办公室,市级各部门办公室,有关单位:
为深入贯彻落实《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》,进一步规范全市重要网络与信息系统密码应用与安全性评估工作,现就有关事项通知如下。
一、适用范围
在本通知中所称“重要网络与信息系统”,包括非涉密政务数字化应用、关键信息基础设施、网络安全等级保护第三级及以上信息系统等;所称“密码”,特指商用密码;所称“密码应用安全性评估”,是指按照有关法律法规和标准规范,对网络和信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
二、总体要求
重要网络与信息系统应当严格落实国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估,采用符合国家要求的密码算法、密码技术、密码产品和密码服务。
三、项目各阶段密码应用要求
(一)规划阶段
1.密码应用方案编制。各单位在编制重要网络与信息系统开发方案时,应当按照 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和 GB/T 43207-2023《信息安全技术 信息系统密码应用设计指南》等标准规范,同步编制密码应用方案。
2.密码应用方案评估。各单位编制完成密码应用方案后,应当自行组织或委托国家密码管理部门认定的商用密码应用安全性评估机构(以下简称密评机构)进行密码应用方案评估,自行组织评估必须满足《商用密码应用安全性评估管理办法》以及密评结果备案审查等相关要求。
3.方案评估结果备案。各单位完成密码应用方案评估后,将评估报告和备案信息表(见附件)报市密码局备案,市密码局进行形式审查并出具备案回执。市级政务数字化应用开发项目联合评审时,市密码局将查验备案回执。密码应用方案未通过密码应用安全性评估的,不得作为密码保障系统的建设依据。各区县密码管理部门负责接收本区域的密码应用方案评估备案材料,并及时提交至市密码局。
(二)建设阶段
1.建设要求。各单位应当严格按照通过评估的密码应用方案完成建设任务。
2.系统评估。建设完成后,应委托密评机构对重要网络与信息系统进行密码应用安全性评估。评估结论为“符合”或“基本符合”的评估报告,是验收环节的必备材料。
3.系统评估结果备案。各单位完成对重要网络与信息系统的密码应用安全性评估后,应在 30 日内将评估报告和备案信息表报市密码局备案。市密码局收到备案材料,经形式审查合格后,向备案单位出具证明回执。形式审查未通过的,应当重新提交备案材料。各区县密码管理部门负责接收本区域的系统评估备案材料,并及时提交至市密码局。
(三)运行阶段
1.定期评估。按照国家密码管理要求,已投入运行的重要网络与信息系统,每年应至少开展一次密码应用安全性评估。
2.应急评估。重要网络与信息系统发生密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的,运营者应当向市密码局报告,并及时开展密码应用安全性评估。
3.密码应用与改造。重要网络与信息系统未通过密码应用安全性评估的,应当对其进行改造,并在改造期间采取必要措施保证运行安全。政务数字化应用到 2024 年底尚未完善密码保障措施并通过评估的,市密码局将对责任单位重点督促并纳入年度绩效考核评分。2027 年底,重要网络与信息系统运营者应按照国家密码应用要求,完成密码体系化应用建设任务。
4.系统评估结果备案。各单位完成对重要网络与信息系统的年度密码应用安全性评估后,应在 30 日内将评估结果报市密码局备案(流程与项目建设阶段系统评估结果备案流程一致)。
四、集约建设
各单位应按照“集中、集成、集约”的原则,尽可能采用云密码服务的方式加强密码保障措施,减少重复建设,避免资源浪费。
五、经费保障
各单位在编制年度经费预算时应统筹好密码保障经费,主要包括密码应用方案咨询、设计、评估和密码应用系统建设、运维、评估等费用。
六、监督检查
市密码局依照法律法规和有关规定,对各单位重要网络与信息系统密码应用及安全性评估工作加强监督检查。
七、咨询联系方式
1.市密码局咨询电话:023-63898690、023-63897898。
2.商用密码应用安全性评估机构目录可在国家密码管理局官方网站通知公告栏(http://www.oscca.gov.cn)查询。
3.云密码服务目录等相关内容可通过市电子政务内网市委门户网站和重庆商用密码行业协会网站(http://www.cqsmxh.org.cn/)查询。
本通知由市密码局负责解释。附件:网络与信息系统密评备案信息表