信息安全等级保护

您现在的位置:首页 >> 政策法规 >> 信息安全等级保护

《信息安全等级保护商用密码管理办法》实施意见

发布日期:2014/10/23  

 

《信息安全等级保护商用密码管理办法》实施意见

为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11) 的实施,进一步规范信息安全等级保护商用密码管理工作,特提出以下意见。
一、使用商用密码对信息系统进行密码保护,应当严格遵守国家商用密码相关政策和标准规范。
二、在实施信息安全等级保护的信息系统中,商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。
四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。
五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。中央和国家机关各部委第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。设有密码管理部门的中央和国家机关部委,其第三级信息 系统的商用密码应用系统建设方案可由本部门密码管理部门组织专家进行评审。
各省(区、市) 第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向所在省(区、市) 密码管理部门提出评审申请,所在省(区、市) 密码管理部门组织专家进行评审。
第四级以上信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。
六、第三级以上信息系统的商用密码应用系统建设必须严格按照通过评审的方案实施。需变更商用密码应用系统建设方案的,应当按照上述第五条的要求重新评审,评审通过后方可实施。
七、使用商用密码实施信息安全等级保护,选用的商用密码产品应当是国家密码管理部门准予销售的产品;选用的含有密码技术的产品,应当是通过国家密码管理部门指定测评机构密码测评的产品。
八、第三级以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等。信息系统的责任单位应当将测评结果报相应的密码
管理部门备案。
九、第二级以上信息系统的责任单位,应当填写《信息安全等级保护商用密码产品备案表》,并按照《信息安全等级保护商用密码管理办法》的要求进行备案。
十、第三级以上信息系统的责任单位,应当建立完善的商用密码使用管理制度,保障商用密码应用系统的安全运行。按照密码管理部门的要求办理相关事项。
十一、第三级以上信息系统发生重大变更时,信息系统的责任单位应当将变更情况及时报相应的密码管理部门,并按照密码管理部门的要求办理相关事项。
十二、第三级以上信息系统的商用密码应用系统需要由责任单位以外的单位负责日常维护的,应当选择具有商用密码相关资质的单位。
十三、第三级以上信息系统的责任单位,应当积极配合密码管理部门组织开展的商用密码检查工作。
十四、使用商用密码实施信息安全等级保护,应当符合《信息安全等级保护商用密码技术实施要求》(附后)
十五、本意见施行前已建成的第三级以上信息系统的商用密码应用系统,应当按照本意见第八条的要求进行密码测评,并根据密码测评意见实施改造。
十六、本意见所称以上包含本级。

 

热点新闻

  • 江苏商用密码企业集体亮相“全国商用密码展览会”受关注

    江苏商用密码企业集体...

    2015年12月10日至12日,由中国密码学会...更多>>
  • 中国密码学会江苏省工作站密码学术交流活动在南京大学成功举办

    中国密码学会江苏省工...

    3月22日,中国密码学会江苏省工作站...更多>>
  • 省密码管理局在宁组织召开全省金融领域密码应用研讨会

    省密码管理局在宁组织...

    3月21日,省国家密码管理局在南京...更多>>
  • 中国密码学会密码科普基地在江苏沭阳揭牌

    中国密码学会密码科普...

      10月20日,首家“中国密...更多>>
主办:江苏省国家密码管理局返回顶部