商用密码应用安全性评估管理办法（试行） 第一章 总则 第一条 为规范重要领域网络和信息系统商用密码应用安全性评估工作， 发挥密码在保障网络安全中的核心支撑作用，根据《中华人民共和国网络安全法》、 《商用密码管理条例》以及国家关于网络安全等级保护和重要领域密码应用的有 关要求，制定本办法。 第二条 本办法所称商用密码应用安全性评估，是指在采用商用密码技术、 产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有 效性等进行评估。 第三条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、 使用、管理单位（以下简称责任单位），应当健全密码保障体系，实施商用密码 应用安全性评估。重要领域网络和信息系统包括：基础信息网络、涉及国计民生 和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息 系统，以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。 第四条 国家密码管理部门负责指导、监督和检查全国商用密码应用安全 性评估工作。 省(部)密码管理部门负责指导、监督和检查本地区、本部门、本行业(系统) 商用密码应用安全性评估工作。 第二章 评估程序 第五条 责任单位应当在系统规划、建设和运行阶段，组织开展商用密码应 用安全性评估工作。 第六条 商用密码应用安全性评估工作由国家密码管理部门认定的密码测 评机构(以下简称测评机构)承担，国家密码管理部门定期发布测评机构目录。 国家密码管理部门会同国务院公安部门制定测评机构的有关技术与管理规 范，组织测评机构业务培训。 第七条 评估工作应当遵守国家法律法规和相关标准，遵循独立、客观、公 正的原则。 国家标准化管理部门、国家密码管理部门根据各自职责，制定发布商用密码 

应用安全性评估国家标准、行业标准。 第八条 重要领域网络和信息系统规划阶段，责任单位应当依据商用密码 应用安全性有关标准, 制定商用密码应用建设方案, 组织专家或委托测评机构 进行评估，评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的 必备材料。 第九条 重要领域网络和信息系统建设完成后，责任单位应当委托测评机 构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料。 第十条 重要领域网络和信息系统投入运行后，责任单位应当委托测评机 构定期开展商用密码应用安全性评估。评估未通过, 责任单位应当限期整改并重 新组织评估。 关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评 估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测 评、网络安全等级保护测评同步进行。其他信息系统定期开展检查和抽查。 第十一条 重要领域网络和信息系统发生密码相关重大安全件、重大调整 或特殊紧急情况，责任单位应当及时组织测评机构开展商用密码应用安全性评估。 第十二条 测评机构完成商用密码应用安全性评估工作后，应在 30 个工作 日内将评估结果报国家密码管理部门备案。 责任单位完成规划、建设、运行和应急评估后，应在 30 个工作日内将评估 结果报主管部门及所在地区(部门)密码管理部门备案。其中，网络安全等级保护 第三级及以上信息系统，评估结果应同时报所在地区公安部门备案。 第三章 监督管理 第十三条 责任单位应按照本办法开展商用密码应用安全性评估工作，并 对评估工作承担管理责任，接受密码管理部门的监督、检查和指导。 责任单位在评估过程中违反本办法有关规定的，其主管部门和密码管理部门 应当依据有关规定予以处罚。 第十四条 各地区(部门)密码管理部门根据工作需要，不定期对本地区(部 门)重要领域网络和信息系统开展商用密码应用全性专项检查。 国家密码管理部门根据工作需要，不定期对各地区(部门)商用密码应用安全 性评估工作开展检查，并对有关重要领域网络和信息系统进行抽查。 

第十五条 国家、省(区、市)相关主管部门在开展重要领域网络和信息系统 安全检查时，应将商用密码应用安全性评估情况作为重要检查内容。 第十六条 国家密码管理部门对测评机构进行监督检查，并根据需要对测 评机构的评估结果进行抽查。 第十七条 测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个 人隐私，对所出具的商用密码应用安全性评估结果负责。有弄虚作假、泄露秘密 等违反相关规定的行为，按照国家相关法律法规予以处罚。 第四章 附则 第十八条 本办法施行前已经投入使用的重要领域网络和信息系统，应按 照本办法要求开展商用密码应用安全性评估，根据评估结果进行密码升级改造。 在升级改造期间，责任单位应当采取必要措施保证系统安全运行。 第十九条 未设立密码管理机构的有关部门，应指定本部门负责密码应用 安全性评估的主管单位，根据本办法规定开展评估工作。 第二十条 本办法第三条规定范围之外的其他网络和信息系统，其责任单 位可以参考本办法自愿开展商用密码应用安全性评估。 第二十一条 本办法由国家密码管理局负责解释。 第二十二条 本办法自 2017 年 4 月 22 日起施行