本文来自微信公众号“安全学习那些事儿”。
2023年9月26日,国家密码管理局令第2号《商用密码检测机构管理办法》已经2023年9月11日国家密码管理局局务会议审议通过,现予公布,自2023年11月1日起施行。国家密码管理局令第3号《商用密码应用安全性评估管理办法》已经2023年9月11日国家密码管理局局务会议审议通过,现予公布,自2023年11月1日起施行。点击阅读原文查看办法全文。
《商用密码检测机构管理办法》解读
根据《中华人民共和国密码法》(以下简称《密码法》)、《商用密码管理条例》(以下简称《条例》)等法律法规,国家密码管理局研究制定了《商用密码检测机构管理办法》(国家密码管理局令第2号)(以下简称《办法》),现就《办法》的有关内容解读如下。
一、制定的必要性
(一)制定《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。《密码法》第二十五条明确提出“商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证”的要求。新修订的《条例》第十三条规定:“从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。”为有效贯彻落实上位法规定,按照商用密码依法管理要求,有必要制定《办法》,细化商用密码检测机构管理措施。
(二)制定《办法》是深化行政审批制度改革、优化营商环境的重要举措。近年来,党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署,为严格落实行政审批制度改革要求,有必要制定《办法》,优化审批流程,规范审批条件,为保护市场主体权益,净化市场环境,优化政务服务,规范监管执法提供法治保障和政策支持。
(三)制定《办法》是规范商用密码检测机构管理的迫切需要。随着商用密码产业的持续发展和应用需求的不断提升,商用密码检测需求显著增加,急需出台专门规章进一步规范商用密码检测机构管理工作。《办法》根据商用密码检测机构管理现实需要,对检测机构资质认定、监督管理等提出明确要求,对于规范检测机构市场准入及从业行为、促进商用密码检测行业健康发展具有重要意义。
二、总体思路
《办法》的制定细化《密码法》、《条例》关于商用密码检测机构许可、从业、监管等方面要求,研究借鉴有关检验检测机构管理规定,结合工作实际,注重合法性、合理性和可操作性,力求做到内容完备、逻辑严密。主要体现了以下三方面思路:
(一)坚持依法管理。严格依据《密码法》、《条例》及相关法律法规中商用密码检测相关管理要求,制定商用密码检测机构管理各项措施。(二)坚持公平公正。系统设计商用密码检测机构管理体系,细化明确商用密码检测活动要求,严格规范检测机构从业行为。(三)坚持保障安全和创新发展相统一。按照既满足商用密码检测安全需要,又鼓励商用密码检测机构创新发展、做大做强的导向,科学设置检测机构准入条件和监督管理措施。
三、主要内容
《办法》共29条。主要内容包括:(一)总体要求。一是规定适用范围,包括商用密码产品检测机构和商用密码应用安全性评估机构的资质认定和监督管理。二是明确监管体制,国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。(二)资质认定条件和程序。一是明确商用密码检测机构资质认定的规范依据。二是规定资质认定的条件要求。三是规定资质认定的程序,包括申请、受理、审查、决定、颁证等环节。四是规定资质变更、延续、注销等相关要求。(三)从业规范。一是明确了商用密码检测机构及相关从业人员应遵守的行为规范。二是针对检测报告、数据和样品管理、信息报送、检测行为等方面对检测活动提出具体要求。(四)监督检查及法律责任。一是规定了密码管理部门的监督检查职权及结果处理。二是明确了商用密码检测机构的违法情形及法律责任。三是规定了商用密码检测机构监督管理信息公示和管理人员的责任义务。(五)其他事项。规定了本办法的施行时间。
《商用密码应用安全性评估管理办法》解读
根据《中华人民共和国密码法》(以下简称《密码法》)、《商用密码管理条例》(以下简称《条例》)等法律法规,国家密码管理局研究制定了《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)(以下简称《办法》),现就《办法》的有关内容解读如下。
一、制定的必要性
商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。随着《密码法》颁布实施,商用密码应用安全性评估制度依法确立,商用密码应用安全性评估机构纳入商用密码检测机构统一管理,新修订的《条例》第三十八条、第四十一条进一步明确了商用密码应用安全性评估相关制度要求。为有效贯彻落实上位法规定,急需制定《办法》,统筹细化商用密码应用安全性评估对象范围、责任主体、工作原则、程序内容、实施规范等规定,依法规范商用密码应用安全性评估工作。2017年以来,国家密码管理部门组织开展一系列商用密码应用安全性评估试点,在试点过程中,商用密码应用安全性评估的基本要求和思路做法已逐步得到相关管理部门、运营者和评估机构的认同,为《办法》的制定奠定了坚实的实践基础。
二、总体思路
《办法》的制定细化《密码法》、《条例》关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求,吸收继承商用密码应用安全性评估试点经验做法,结合工作实际,注重合法性、合理性和可操作性,力求做到内容完备、逻辑严密。主要体现了以下三方面思路:
(一)细化落实“三同步一评估”要求。按照《密码法》、《条例》规定,《办法》对依法应当使用商用密码进行保护的重要网络与信息系统,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。细化商用密码应用安全性评估要求,从规划、建设、运行各个阶段分别提出落实安排、明确评估程序及内容,建立起商用密码应用安全性评估制度的基本框架。(二)体现商用密码应用安全性评估系统性原则。《办法》将商用密码应用方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系,在实施中“按照同一套标准、遵循同一套程序、囊括同一套活动”,确保重要网络与信息系统全生命周期落实商用密码应用安全性评估要求。同时,将商用密码应用安全性评估机构统一纳入商用密码检测机构管理,进一步体现工作的系统性整体性。(三)明确商用密码应用安全性评估实施依据。按照《密码法》、《条例》关于运营者自行或者委托商用密码应用安全性评估机构开展评估的规定,《办法》分别明确了相关要求,并就两者需共同遵守的行为规范作出规定,从而明确了商用密码应用安全性评估活动的实施依据,有助于规范提升商用密码应用安全性评估工作质量。
三、主要内容
《办法》共21条。主要内容包括:(一)总体要求。一是明确概念定义,商用密码应用安全性评估是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。二是规定管理体制,包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单位的监督管理职权。三是明确对商用密码应用安全性评估从业机构的资质要求,以及对商用密码应用安全性评估行业发展的保障支持。四是规定了商用密码应用安全性评估的对象范围。(二)程序及内容要求。一是规定“三同步一评估”的总体要求。二是明确重要网络与信息系统规划、建设、运行各阶段的商用密码应用安全性评估的程序要求。三是针对商用密码应用方案、网络与信息系统两类不同对象,分别提出商用密码应用安全性评估的内容要求。(三)实施规范。一是规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合义务。二是规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范。三是规定商用密码应用安全性评估结果备案制度。四是规定运营者开展应急处置的有关内容。(四)监督检查及法律责任。一是规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督检查职权。二是明确了运营者的违法情形及法律责任。三是规定了商用密码应用安全性评估管理人员的责任义务。(五)其他事项。规定了本办法实施的过渡安排和施行时间。