根據(jù)《中華人民共和國密碼法》（以下簡稱《密碼法》）,、《商用密碼管理?xiàng)l例》（以下簡稱《條例》）等法律法規(guī),，國家密碼管理局研究制定了《商用密碼應(yīng)用安全性評(píng)估管理辦法》（國家密碼管理局令第3號(hào)）（以下簡稱《辦法》），現(xiàn)就《辦法》的有關(guān)內(nèi)容解讀如下,。

　　一,、制定的必要性

　　商用密碼應(yīng)用安全性評(píng)估是加強(qiáng)和規(guī)范商用密碼應(yīng)用的重要抓手。隨著《密碼法》頒布實(shí)施,，商用密碼應(yīng)用安全性評(píng)估制度依法確立,，商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)納入商用密碼檢測機(jī)構(gòu)統(tǒng)一管理，新修訂的《條例》第三十八條,、第四十一條進(jìn)一步明確了商用密碼應(yīng)用安全性評(píng)估相關(guān)制度要求,。為有效貫徹落實(shí)上位法規(guī)定，急需制定《辦法》,，統(tǒng)籌細(xì)化商用密碼應(yīng)用安全性評(píng)估對(duì)象范圍,、責(zé)任主體、工作原則,、程序內(nèi)容,、實(shí)施規(guī)范等規(guī)定，依法規(guī)范商用密碼應(yīng)用安全性評(píng)估工作,。2017年以來,，國家密碼管理部門組織開展一系列商用密碼應(yīng)用安全性評(píng)估試點(diǎn)，在試點(diǎn)過程中,，商用密碼應(yīng)用安全性評(píng)估的基本要求和思路做法已逐步得到相關(guān)管理部門,、運(yùn)營者和評(píng)估機(jī)構(gòu)的認(rèn)同，為《辦法》的制定奠定了堅(jiān)實(shí)的實(shí)踐基礎(chǔ),。

　　二,、總體思路

　　《辦法》的制定細(xì)化《密碼法》、《條例》關(guān)于商用密碼應(yīng)用安全性評(píng)估工作主體、方式,、程序,、備案等方面要求，吸收繼承商用密碼應(yīng)用安全性評(píng)估試點(diǎn)經(jīng)驗(yàn)做法,，結(jié)合工作實(shí)際,，注重合法性、合理性和可操作性,，力求做到內(nèi)容完備,、邏輯嚴(yán)密。主要體現(xiàn)了以下三方面思路：

　?。ㄒ唬┘?xì)化落實(shí)“三同步一評(píng)估”要求,。按照《密碼法》、《條例》規(guī)定,，《辦法》對(duì)依法應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)的重要網(wǎng)絡(luò)與信息系統(tǒng),，明確要求同步規(guī)劃、同步建設(shè),、同步運(yùn)行商用密碼保障系統(tǒng),，并定期進(jìn)行商用密碼應(yīng)用安全性評(píng)估。細(xì)化商用密碼應(yīng)用安全性評(píng)估要求,，從規(guī)劃,、建設(shè)、運(yùn)行各個(gè)階段分別提出落實(shí)安排,、明確評(píng)估程序及內(nèi)容,，建立起商用密碼應(yīng)用安全性評(píng)估制度的基本框架。

　?。ǘw現(xiàn)商用密碼應(yīng)用安全性評(píng)估系統(tǒng)性原則,。《辦法》將商用密碼應(yīng)用方案評(píng)估,、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行前評(píng)估,、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行后定期評(píng)估統(tǒng)一納入商用密碼應(yīng)用安全性評(píng)估工作體系，在實(shí)施中“按照同一套標(biāo)準(zhǔn),、遵循同一套程序,、囊括同一套活動(dòng)”，確保重要網(wǎng)絡(luò)與信息系統(tǒng)全生命周期落實(shí)商用密碼應(yīng)用安全性評(píng)估要求,。同時(shí),，將商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)統(tǒng)一納入商用密碼檢測機(jī)構(gòu)管理，進(jìn)一步體現(xiàn)工作的系統(tǒng)性整體性,。

　?。ㄈ┟鞔_商用密碼應(yīng)用安全性評(píng)估實(shí)施依據(jù),。按照《密碼法》、《條例》關(guān)于運(yùn)營者自行或者委托商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)開展評(píng)估的規(guī)定,，《辦法》分別明確了相關(guān)要求,，并就兩者需共同遵守的行為規(guī)范作出規(guī)定，從而明確了商用密碼應(yīng)用安全性評(píng)估活動(dòng)的實(shí)施依據(jù),，有助于規(guī)范提升商用密碼應(yīng)用安全性評(píng)估工作質(zhì)量。

　　三,、主要內(nèi)容

　　《辦法》共21條,。主要內(nèi)容包括：

　　（一）總體要求,。一是明確概念定義,，商用密碼應(yīng)用安全性評(píng)估是指按照有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)使用商用密碼技術(shù),、產(chǎn)品和服務(wù)的合規(guī)性,、正確性、有效性進(jìn)行檢測分析和評(píng)估驗(yàn)證的活動(dòng),。二是規(guī)定管理體制,，包括縣級(jí)以上各級(jí)密碼管理部門、國家機(jī)關(guān)和涉及商用密碼工作的單位的監(jiān)督管理職權(quán),。三是明確對(duì)商用密碼應(yīng)用安全性評(píng)估從業(yè)機(jī)構(gòu)的資質(zhì)要求,，以及對(duì)商用密碼應(yīng)用安全性評(píng)估行業(yè)發(fā)展的保障支持。四是規(guī)定了商用密碼應(yīng)用安全性評(píng)估的對(duì)象范圍,。

　?。ǘ┏绦蚣皟?nèi)容要求。一是規(guī)定“三同步一評(píng)估”的總體要求,。二是明確重要網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃,、建設(shè)、運(yùn)行各階段的商用密碼應(yīng)用安全性評(píng)估的程序要求,。三是針對(duì)商用密碼應(yīng)用方案,、網(wǎng)絡(luò)與信息系統(tǒng)兩類不同對(duì)象，分別提出商用密碼應(yīng)用安全性評(píng)估的內(nèi)容要求,。

　?。ㄈ?shí)施規(guī)范。一是規(guī)定開展商用密碼應(yīng)用安全性評(píng)估的通用行為規(guī)范和運(yùn)營者委托開展評(píng)估的支持配合義務(wù),。二是規(guī)定運(yùn)營者自行開展商用密碼應(yīng)用安全性評(píng)估的基本要求與行為規(guī)范,。三是規(guī)定商用密碼應(yīng)用安全性評(píng)估結(jié)果備案制度。四是規(guī)定運(yùn)營者開展應(yīng)急處置的有關(guān)內(nèi)容,。

　?。ㄋ模┍O(jiān)督檢查及法律責(zé)任。一是規(guī)定了縣級(jí)以上地方各級(jí)密碼管理部門、國家機(jī)關(guān)和涉及商用密碼工作的單位的監(jiān)督檢查職權(quán),。二是明確了運(yùn)營者的違法情形及法律責(zé)任,。三是規(guī)定了商用密碼應(yīng)用安全性評(píng)估管理人員的責(zé)任義務(wù)。

　?。ㄎ澹┢渌马?xiàng),。規(guī)定了本辦法實(shí)施的過渡安排和施行時(shí)間。