近日
国家密码管理局发布
《商用密码检测机构
(商用密码应用安全性评估业务)目录》
苏州市软件评测中心有限公司
成为全国首批、苏州首家
获得商用密码检测机构
(商用密码应用安全性评估业务)
资质的单位
苏州市软件评测中心有限公司
苏州市软件评测中心有限公司成立于2005年,位于苏州工业园区。该公司是国资控股的信息化第三方服务机构,也是江苏省软件产品检测中心唯一授权分中心。
十多年来,专注为客户提供覆盖立项、规划、实施、验收、运维的全过程咨询服务,包括规划咨询、造价评估、信息化监理、检验检测、绩效评价、信息安全、运营维护等。公司拥有数十个权威资质,专业执证服务人员超过400人,累计服务超过10000多个项目,覆盖全国100多个城市。
商用密码及商用密码应用
安全性评估
商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。
商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
开展商用密码应用安全性评估的
相关法律法规要求
《密码法》:
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码管理条例》:
第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
《商用密码应用安全性评估管理办法》:
第六条 法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
第七条 重要网络与信息系统规划阶段,其运营者应当依照相关法律法规和标准规范,根据商用密码应用需求,制定商用密码应用方案,规划商用密码保障系统。
重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的,不得作为商用密码保障系统的建设依据。
第八条 重要网络与信息系统建设阶段,其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施,落实商用密码安全防护措施,建设商用密码保障系统。
重要网络与信息系统运行前,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的,运营者应当进行改造,改造期间不得投入运行。
重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。
第十七条 重要网络与信息系统的运营者违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定,有下列情形之一的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:
(一)重要网络与信息系统规划阶段,未对商用密码应用方案进行商用密码应用安全性评估的;
(二)重要网络与信息系统建设阶段,未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的;
(三)重要网络与信息系统运行前,未开展商用密码应用安全性评估的;
(四)重要网络与信息系统运行前,未通过商用密码应用安全性评估且未进行改造的;
(五)重要网络与信息系统建成运行后,未定期开展商用密码应用安全性评估的;
(六)重要网络与信息系统建成运行后,未通过定期开展的商用密码应用安全性评估且未进行改造的;
(七)违反法律法规、标准规范要求开展商用密码应用安全性评估的;
(八)不符合相关要求自行开展商用密码应用安全性评估的。
来源:苏密卫士
拟稿:余杨
审核:王子元
审签:单小辉