商用密码应用安全性测评机构管理办法(试行) 国家密码管理局 2017年9月27日印发 第一章 总则 第一条 为加强商用密码应用安全性测评机构管理,规范测评行为,提高测 评技术能力和服务水平,依据密码法律法规和《商用密码应用安全性评估管理办 法(试行) 》等规定,制定本办法。 第二条 在中华人民共和国境内对商用密码应用安全性测评机构的监督管理, 适用本办法;对测评机构、测评人员及其测评活动的管理与规范,适用本办法。 第三条 商用密码应用安全性测评机构(以下简称测评机构) ,是指具备本办 法规定的基本条件,通过审核评定,在商用密码应用安全性评估体系中从事测评 服务的机构。 第四条 测评机构遴选应遵循满足需求、统筹规划、合理布局、动态管理的 方针,按照“依法合规、公正公开、客观独立”的原则有序开展。 第五条 国家密码管理局负责测评机构的申请受理、 能力评审和监督检查等。 第二章 设立与评定 第六条 申请成为测评机构的单位(以下简称申请单位)应具备以下基本条 件: (一)在中华人民共和国境内注册,由国家投资、法人投资或公民投资成立 的企事业单位; (二)产权关系明晰,注册资金 500万元以上; (三)成立年限在 2年以上,从事信息系统安全相关工作 1年以上,无违法 记录; (四)具备与从事系统测评相适应的独立、集中、可控的工作环境,测评工 作场地应不少于 200平方米; (五)具备必要的检测设施、设备,使用的设施设备应满足实施商用密码应 用安全性评估工作的要求; (六)具备完善的人员结构,包括专业技术人员和管理人员,通过“商用密 码应用安全性测评人员考核”的测评人员数量不少于 10人; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理、培训教 育、客户管理和投诉处理等规章制度; (八) 本单位及直接控股的母公司或子公司不从事商用密码产品生产、 销售、 集成以及运营等可能影响测评结果公正性的活动(测评工具类除外) ; (九)法律法规要求的其他条件。 第七条 申请时,申请单位应当提交以下材料: (一) 《商用密码应用安全性测评机构申请表》 ; (二)从事与商用密码相关工作情况的说明; (三)开展测评工作所需的软硬件及其他服务保障设施配备情况; (四)管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)申请单位认为有必要提交的其他材料。 第八条 国家密码管理 局设立申请材料初审工作组,对申请材料进行初审, 出具初审结论。初审结果按程序报批后,告知申请单位。通过初审的申请单位, 应在 60 个工作日内参加培训、考核和能力评审。 第九条 测评人员培训、考核工作由国家密码管理局委托的机构承担,申请 单位应当确保本单位测评人员全程参加。考核通过后,测评人员方可参加商用密 码应用安全性评估工作。 第十条 国家密码管理局设立测评机构能力评审专家组,负责申请单位的能 力评审工作,根据《商用密码应用安全性测评机构能力评审实施细则》等要求, 开展材料核查、现场评审和综合评议。 第十一条 能力评审工作结束后,国家密码管理局组织召开综合评定会,研 究形成综合评定结论,确定测评机构名单,并印发试点地区和部门。 第十二条 下列事项发生变更时,测评机构应在 10 个工作日内向国家密码 管理局报告。 (一)测评机构名称、地址、主要负责人发生变更的; (二)测评机构法人、股权结构发生变更的; (三)其他重大事项发生变更的。 第十三条 测评机构应加强对本机构测评人员的监督管理,定期组织开展安 全保密教育和业务培训。 第三章 责任和义务 第十四条 测评机构不得从事影响测评结果公正性的相关活动。 第十五条 测评机构应严格按照商用密码应用安全性评估相关标准规范,公 正、独立地开展测评工作,依据模板出具测评报告,确保测评质量,全面、客观 地反映被测信息系统的密码应用安全性状况。 第四章 监督检查 第十六条 测评项目实施过程中,测评机构应接受国家密码管理局的监督管 理。 第十七条 测评机构应当在年底编制商用密码应用安全性评估工作报告,并 报送国家密码管理局。 第十八条 国家密码管理局、测评机构所属省部密码管理局对测评机构负有 监督检查职责,根据需要开展测评机 构检查工作。 第五章 法律责任 第十九条 测评机构有下列情形之一的, 国家密码管理局应责令其限期整改; 情形严重的,予以通报。 (一)未按照有关标准规范开展测评或未按规定出具测评报告的; (二)严重妨碍被测评信息系统正常运行,危害被测评信息系统安全的; (三)未妥善保管、非授权占有或使用商用密码应用安全性评估相关资料及 数据文件的; (四)分包或转包测评项目,以及有其他扰乱测评市场秩序行为的; (五)限定被测评单位购买、使用指定信息安全和密码相关产品的; (六)测评人员未通过培训考核,但从事商用密码应用安全性评估 工作的; (七)未按本办法规定提交材料、报告情况或弄虚作假的; (八)其他违反商用密码应用安全性评估工作有关规定的行为。 第二十条 测评机构有下列情形之一的,国家密码管理局应取消其商用密码 应用安全性测评机构试点资格。 (一)因单位股权、人员等情况发生变动,不符合商用密码应用安全性测评 机构基本条件的; (二)故意泄露被测评单位工作秘密、重要信息系统数据信息的; (三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未 如实出具测评报告的; (四)自愿退出测评机构目录的。 第二十一条 测评人员有下列行为 之一的,责令测评机构督促其限期改正: 情节严重的,责令测评机构暂停其参与测评工作;情形特别严重的,应在商用密 码应用安全性测评人员名单中移除,并对其所在测评机构进行通报。 (一)未经允许擅自使用或泄露、出售商用密码应用安全性评估工作中收集 的数据信息、资料或测评报告的; (二)测评行为失误或不当,影响重要领域网络与信息系统安全或造成运营 使用单位利益损失的; (三)其他违反商用密码应用安全性评估工作有关规定的行为。 第二十二条 测评机构及其测评人员违反本办法的相关规定,给被测评信息 系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以 处理。 第二十三条 任何单位和个人如发现测评机构、测评人员有违法、违规行为 的,可向国家密码管理局举报、投诉。 第六章 附则 第二十四条 本办法由国家密码管理局负责解释。 第二十五条 本办法自发布之日起实施。

pdf文档 商用密码应用安全性测评机构管理办法(试行)

文档预览
中文文档 4 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共4页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
商用密码应用安全性测评机构管理办法(试行) 第 1 页 商用密码应用安全性测评机构管理办法(试行) 第 2 页 商用密码应用安全性测评机构管理办法(试行) 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-07-15 21:19:47上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言