重庆市针对“重要网络与信息系统”密码应用提出明确要求

admin 2024年2月26日11:40:20评论38 views字数 2788阅读9分17秒阅读模式

重庆市密码管理局

渝密局〔20241

重庆市针对“重要网络与信息系统”密码应用提出明确要求

关于进一步规范全市重要网络与信息系统

密码应用有关要求的通知
各区县(自治县)党委办公室,两江新区、重庆高新区、万盛经开区党工委办公室,市级各部门办公室,有关单位:
为深入贯彻落实《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》,进一步规范全市重要网络与信息系统密码应用与安全性评估工作,现就有关事项通知如下。
一、适用范围
在本通知中所称重要网络与信息系统,包括非涉密政务数字化应用、关键信息基础设施、网络安全等级保护第三级及以上信息系统等;所称“密码”,特指商用密码所称“密码应用安全性评估”,是指按照有关法律法规和标准规范,对网络和信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
二、总体要求
重要网络与信息系统应当严格落实国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估,采用符合国家要求的密码算法、密码技术、密码产品和密码服务。
三、项目各阶段密码应用要求
(一)规划阶段
1.密码应用方案编制。各单位在编制重要网络与信息系统开发方案时,应当按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和GB/T 43207-2023《信息安全技术 信息系统密码应用设计指南》等标准规范,同步编制密码应用方案。
2.密码应用方案评估。各单位编制完成密码应用方案后,应当自行组织或委托国家密码管理部门认定的商用密码应用安全性评估机构(以下简称密评机构)进行密码应用方案评估,自行组织评估必须满足《商用密码应用安全性评估管理办法》以及密评结果备案审查等相关要求。
3.方案评估结果备案。各单位完成密码应用方案评估后,将评估报告和备案信息表(见附件)报市密码局备案,市密码局进行形式审查并出具备案回执。市级政务数字化应用开发项目联合评审时,市密码局将查验备案回执。密码应用方案未通过密码应用安全性评估的,不得作为密码保障系统的建设依据。各区县密码管理部门负责接收本区域的密码应用方案评估备案材料,并及时提交至市密码局。
(二)建设阶段
1.建设要求。各单位应当严格按照通过评估的密码应用方案完成建设任务。
2.系统评估。建设完成后,应委托密评机构对重要网络与信息系统进行密码应用安全性评估。评估结论为“符合”或“基本符合”的评估报告,是验收环节的必备材料。
3.系统评估结果备案。各单位完成对重要网络与信息系统的密码应用安全性评估后,应在30日内将评估报告和备案信息表报市密码局备案。市密码局收到备案材料,经形式审查合格后,向备案单位出具证明回执。形式审查未通过的,应当重新提交备案材料。各区县密码管理部门负责接收本区域的系统评估备案材料,并及时提交至市密码局。
(三)运行阶段
1.定期评估。按照国家密码管理要求,已投入运行的重要网络与信息系统,每年应至少开展一次密码应用安全性评估。
2.应急评估。重要网络与信息系统发生密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的,运营者应当向市密码局报告,并及时开展密码应用安全性评估。
3.密码应用与改造。重要网络与信息系统未通过密码应用安全性评估的,应当对其进行改造,并在改造期间采取必要措施保证运行安全。政务数字化应用到2024年底尚未完善密码保障措施并通过评估的,市密码局将对责任单位重点督促并纳入年度绩效考核评分。2027年底,重要网络与信息系统运营者应按照国家密码应用要求,完成密码体系化应用建设任务。
4.系统评估结果备案。各单位完成对重要网络与信息系统的年度密码应用安全性评估后,应在30日内将评估结果报市密码局备案(流程与项目建设阶段系统评估结果备案流程一致)。
四、集约建设
各单位应按照“集中、集成、集约”的原则,尽可能采用云密码服务的方式加强密码保障措施,减少重复建设,避免资源浪费。
五、经费保障
各单位在编制年度经费预算时应统筹好密码保障经费,主要包括密码应用方案咨询、设计、评估和密码应用系统建设、运维、评估等费用。
六、监督检查
市密码局依照法律法规和有关规定,对各单位重要网络与信息系统密码应用及安全性评估工作加强监督检查。
七、咨询联系方式
1.市密码局咨询电话:023-63898690、023-63897898。
2.商用密码应用安全性评估机构目录可在国家密码管理局官方网站通知公告栏(http://www.oscca.gov.cn)查询。
3.云密码服务目录等相关内容可通过市电子政务内网市委门户网站和重庆商用密码行业协会网站(http://www.cqsmxh.org.cn/)查询。
本通知由市密码局负责解释。
附件:网络与信息系统密评备案信息表
重庆市密码管理局
2024年2月21日

附件

备案编号:

CASE-

网络与信息系统密评备案信息表

单位名称

填写规范全称(加盖公章)

统一社会信用代码

单位地址

所属地区

备案密码管理部门

单位负责人

姓名

职务/职称

联系电话

电子邮件

责任部门

责任部门联系人

姓名

职务/职称

联系电话

电子邮件

网络与信息系统名称

功能描述

(200字以内,如已被认定为关键信息基础设施,

或属于已认定的关键信息基础设施的组成部分,请专门注明)

服务对象

填写相关人群

用户数量

单位:万人

网络覆盖情况

覆盖地域及业务领域

网络性质

填写专网/互联网/其他

等级保护定级情况

填写是否定级与定级结果

等级保护测评情况

填写是否测评与测评结果

测评机构

测评日期

填写报告出具日期

密评节点

□规划阶段密码应用方案评估 □建设完成运行前系统评估 □运行后系统定期评估

规划单位

建设单位

运维单位

投入运行日期

密评方式

□自行开展 □委托机构开展

密评报告出具日期

密评工作信息

密评机构

填写规范全称

密评周期

格式:xxxx.xx.xx--xxxx.xx.xx

密评人员

收费金额

单位:万元(需附合同或者说明等证明材料)

密码应用简况

(200字以内)

取得商用密码产品认证证书的产品使用情况

(请列出产品名称及证书编号)

未取得商用密码产品认证证书的产品使用情况

(请列出产品名称及主要功能)

密评结论及整改计划

(200字以内)

其他需要说明的事项

填写说明:
备案编号由市密码局确定并填写,由英文字母“CASE”与10位阿拉伯数字构成,其中:
1. “CASE”为密码应用安全性评估英文Cryptography Application Security Evaluation首字母大写简称。
2.阿拉伯数字共10位,第1-4位为年份码,如“2023”代表2023年;第5-6位为备案密码管理部门所属省区市行政区划序列码,“22”代表“重庆”;第7-10位为备案顺序码,按备案时间先后从“0001”排列至“9999”。
重庆市密码管理局办公室

2024221日印发

编辑:陈十九

审核:商密君

原文始发于微信公众号(商密君):重庆市针对“重要网络与信息系统”密码应用提出明确要求

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日11:40:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   重庆市针对“重要网络与信息系统”密码应用提出明确要求https://cn-sec.com/archives/2524513.html

发表评论

匿名网友 填写信息