2021年3月17日,海南省国家密码管理局、海南省委网信办、海南省发改委、海南省财政厅、海南省公安厅、海南省大数据管理局等6部门联合发布《关于进一步明确省政务信息化项目密码应用有关要求的通知》。《通知》要求,新建、改建、扩建以及通过政府购买服务产生的政务信息化项目,项目建设单位在项目建设完成后,应委托评估机构对信息系统进行密码应用安全性评估。结论为“符合”或“基本符合”的密码应用安全性评估报告是项目验收环节必备材料。政务信息系统投入运行后,建设单位应按照密码管理有关法规要求定期委托评估机构对系统开展密码应用安全性评估,并根据安全需求、风险威胁程度、系统环境变化以及对系统安全认识的深化持续改进密码保障措施。
以下是《通知》全文:
关于进一步明确省政务信息化项目建设密码应用有关要求的通知为落实好《海南省政务信息化项目建设管理办法》(琼府办〔2020〕38号)关于密码应用的规定,根据《中华人民共和国密码法》《中共中央办公厅 国务院办公厅关于印发<金融和重要领域密码应用与创新发展工作规划(2018-2022年)>的通知》(厅字〔2018〕36号)等有关法规政策,参照国家密码管理局颁布的《政务信息系统密码应用与安全性评估工作指南》,结合我省实际,明确以下要求,请认真贯彻执行。一、本通知适用于《海南省政务信息化项目建设管理办法》明确的政务信息系统中的非涉密信息系统。本通知各条款所称“密码”,均指“商用密码”。二、项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。三、新建、改建、扩建以及通过政府购买服务产生的政务信息化项目,项目建设单位在项目规划审批阶段,应编制密码应用方案(密码应用方案编制模板见附件1),并委托评估机构或组织专家对方案进行密码应用安全性评估。密码应用方案、密码应用安全性评估意见是立项审批环节必备材料。四、《海南省信息化项目建议书网络安全部分编制规范(试行)》《海南省信息化项目可行性研究报告网络安全部分编制规范(试行)》《海南省信息化项目初步设计网络安全部分编制规范(试行)》《海南省购买信息化服务方案网络安全部分编制规范(试行)》中涉及密码应用的编制要求可由密码应用方案统一替代。五、新建、改建、扩建以及通过政府购买服务产生的政务信息化项目,项目建设单位在项目建设完成后,应委托评估机构对信息系统进行密码应用安全性评估。结论为“符合”或“基本符合”的密码应用安全性评估报告是项目验收环节必备材料。六、属于关键信息基础设施的政务信息系统采购涉及密码的网络产品和服务,影响或可能影响国家安全的,应按照《中华人民共和国网络安全法》和《网络安全审查办法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的网络安全审查。七、政务信息系统投入运行后,建设单位应按照密码管理有关法规要求定期委托评估机构对系统开展密码应用安全性评估,并根据安全需求、风险威胁程度、系统环境变化以及对系统安全认识的深化持续改进密码保障措施。系统发生重大网络安全事件、重大调整变动应及时开展密码应用安全性评估。鼓励网络安全等级保护测评与密码应用安全性评估统筹考虑、协调开展、同步进行。八、政务信息系统建设单位完成评估工作后,应督促评估机构在30个工作日内将评估情况送省国家密码管理局备案(评估情况主要内容见附件2)。九、政务信息系统建设单位在编制年度信息化项目经费预算时应统筹好密码保障经费,密码保障经费主要包括系统建设、运维、密码应用安全性评估等费用。密码保障系统建设有关费用的取费标准参照信息化项目建设取费标准执行,其密码应用方案编制纳入项目咨询设计服务统筹进行。密码保障系统运维费用参照《海南省省本级政务信息系统运维项目支出标准(试行)》执行。《海南省省本级政务信息系统运维项目支出标准(试行)》调整后按新标准执行。对信息系统的评估费用当前适用标准为网络安全等级保护第三级系统≤12万/个,网络安全等级保护第二级系统≤8万/个。特别复杂的、新型的信息系统密码应用安全性评估费用可高于上述标准。十、《海南省政务信息化项目建设管理办法》实施前已投入使用的政务信息系统应开展密码应用安全性评估、完善密码保障系统建设。《海南省政务信息化项目建设管理办法》实施前已完成立项审批的政务信息系统建成后应开展密码应用安全性评估、完善密码保障系统建设。前两款所指的政务信息系统可专门完善密码保障系统,也可结合信息系统改建、扩建同步完善,其中关键信息基础设施和网络安全等级保护第三级系统在全岛封关运作时未完善密码保障系统并通过评估的,第二年起不予安排运维经费。十一、各政务信息系统可充分利用省大数据管理局规划建设的密码管理服务平台提供密码应用支撑,减少重复建设,避免资源浪费。十二、本通知由省国家密码管理局会同省委网信办、省发改委、省财政厅、省公安厅、省大数据管理局负责解释。十三、各市、县、自治县政务信息化项目建设密码应用工作参照本通知执行。附件:1.密码应用方案编制模板(供参考)
2.密码应用安全性评估情况