重庆:进一步规范全市重要网络与信息系统密码应用有关要求
2024年2月21日, 重庆市密码管理局发布《关于进一步规范全市重要网络与信息系统密码应用有关要求的通知》全文如下:点击阅读原文查看全文
各区县(自治县)党委办公室,两江新区、重庆高新区、万盛经开区党工委办公室,市级各部门办公室,有关单位:为深入贯彻落实《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》,进一步规范全市重要网络与信息系统密码应用与安全性评估工作,现就有关事项通知如下。
一、适用范围
在本通知中所称“重要网络与信息系统”,包括非涉密政务数字化应用、关键信息基础设施、网络安全等级保护第三级及以上信息系统等;所称“密码”,特指商用密码;所称“密码应用安全性评估”,是指按照有关法律法规和标准规范,对网络和信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
二、总体要求
重要网络与信息系统应当严格落实国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估,采用符合国家要求的密码算法、密码技术、密码产品和密码服务。
三、项目各阶段密码应用要求
(一)规划阶段
1.密码应用方案编制。各单位在编制重要网络与信息系统开发方案时,应当按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和GB/T 43207-2023《信息安全技术 信息系统密码应用设计指南》等标准规范,同步编制密码应用方案。
2.密码应用方案评估。各单位编制完成密码应用方案后,应当自行组织或委托国家密码管理部门认定的商用密码应用安全性评估机构(以下简称密评机构)进行密码应用方案评估,自行组织评估必须满足《商用密码应用安全性评估管理办法》以及密评结果备案审查等相关要求。
3.方案评估结果备案。各单位完成密码应用方案评估后,将评估报告和备案信息表(见附件)报市密码局备案,市密码局进行形式审查并出具备案回执。市级政务数字化应用开发项目联合评审时,市密码局将查验备案回执。密码应用方案未通过密码应用安全性评估的,不得作为密码保障系统的建设依据。各区县密码管理部门负责接收本区域的密码应用方案评估备案材料,并及时提交至市密码局。
(二)建设阶段
1.建设要求。各单位应当严格按照通过评估的密码应用方案完成建设任务。
2.系统评估。建设完成后,应委托密评机构对重要网络与信息系统进行密码应用安全性评估。评估结论为“符合”或“基本符合”的评估报告,是验收环节的必备材料。
3.系统评估结果备案。各单位完成对重要网络与信息系统的密码应用安全性评估后,应在30日内将评估报告和备案信息表报市密码局备案。市密码局收到备案材料,经形式审查合格后,向备案单位出具证明回执。形式审查未通过的,应当重新提交备案材料。各区县密码管理部门负责接收本区域的系统评估备案材料,并及时提交至市密码局。
(三)运行阶段
1.定期评估。按照国家密码管理要求,已投入运行的重要网络与信息系统,每年应至少开展一次密码应用安全性评估。
2.应急评估。重要网络与信息系统发生密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的,运营者应当向市密码局报告,并及时开展密码应用安全性评估。
3.密码应用与改造。重要网络与信息系统未通过密码应用安全性评估的,应当对其进行改造,并在改造期间采取必要措施保证运行安全。政务数字化应用到2024年底尚未完善密码保障措施并通过评估的,市密码局将对责任单位重点督促并纳入年度绩效考核评分。2027年底,重要网络与信息系统运营者应按照国家密码应用要求,完成密码体系化应用建设任务。
4.系统评估结果备案。各单位完成对重要网络与信息系统的年度密码应用安全性评估后,应在30日内将评估结果报市密码局备案(流程与项目建设阶段系统评估结果备案流程一致)。
四、集约建设
各单位应按照“集中、集成、集约”的原则,尽可能采用云密码服务的方式加强密码保障措施,减少重复建设,避免资源浪费。
五、经费保障
各单位在编制年度经费预算时应统筹好密码保障经费,主要包括密码应用方案咨询、设计、评估和密码应用系统建设、运维、评估等费用。
六、监督检查
市密码局依照法律法规和有关规定,对各单位重要网络与信息系统密码应用及安全性评估工作加强监督检查。
相关阅读
中央网信办等四部门印发《2024年提升全民数字素养与技能工作要点》