10月7日晚间,国家密码管理局正式发布《商用密码应用安全性评估管理办法》,办法将于2023年11月1日起施行。该办法施行之后,将与《密码法》、新修订的《商用密码管理条例》一道,将推动商用密码应用和市场进一步释放。
密评管理办法共21条,主要内容包括总体要求,程序及内容要求,实施规范、监督检查及法律责任。具体上,密评管理办法明确了什么是密评,以及密评工作应如何开展。
办法规定,从事密评活动需依法取得商用密码检测机构资质,重要网络与信息系统需要在规划阶段对商密应用方案进行有效性评估,在建设阶段需要对商密应用安全性进行评估,系统建成运行后,需至少每年开展一次密评工作。
办法在相应处罚方面,执法权下沉至县级相关执法部门,未进行密评工作的单位将受到警告,如拒不改正或者有其他严重情节的,将处10万元以上100万元以下罚款。
办法对已经投入运行的重要网络与信息系统规定是每年至少开展一次密评工作,未通过密的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。