根據《中華人民共和國密碼法》（以下簡稱《密碼法》）,、《商用密碼管理條例》（以下簡稱《條例》）等法律法規(guī)，國家密碼管理局研究制定了《商用密碼應用安全性評估管理辦法》（國家密碼管理局令第3號）（以下簡稱《辦法》）,，現就《辦法》的有關內容解讀如下,。

　　一,、制定的必要性

　　商用密碼應用安全性評估是加強和規(guī)范商用密碼應用的重要抓手。隨著《密碼法》頒布實施,，商用密碼應用安全性評估制度依法確立,，商用密碼應用安全性評估機構納入商用密碼檢測機構統(tǒng)一管理，新修訂的《條例》第三十八條,、第四十一條進一步明確了商用密碼應用安全性評估相關制度要求,。為有效貫徹落實上位法規(guī)定，急需制定《辦法》,，統(tǒng)籌細化商用密碼應用安全性評估對象范圍,、責任主體、工作原則,、程序內容,、實施規(guī)范等規(guī)定，依法規(guī)范商用密碼應用安全性評估工作,。2017年以來，國家密碼管理部門組織開展一系列商用密碼應用安全性評估試點,，在試點過程中,，商用密碼應用安全性評估的基本要求和思路做法已逐步得到相關管理部門、運營者和評估機構的認同,，為《辦法》的制定奠定了堅實的實踐基礎,。

　　二、總體思路

　　《辦法》的制定細化《密碼法》,、《條例》關于商用密碼應用安全性評估工作主體,、方式、程序,、備案等方面要求,，吸收繼承商用密碼應用安全性評估試點經驗做法，結合工作實際,，注重合法性,、合理性和可操作性，力求做到內容完備,、邏輯嚴密,。主要體現了以下三方面思路：

　　（一）細化落實“三同步一評估”要求,。按照《密碼法》,、《條例》規(guī)定，《辦法》對依法應當使用商用密碼進行保護的重要網絡與信息系統(tǒng),，明確要求同步規(guī)劃,、同步建設、同步運行商用密碼保障系統(tǒng)，并定期進行商用密碼應用安全性評估,。細化商用密碼應用安全性評估要求,，從規(guī)劃、建設,、運行各個階段分別提出落實安排,、明確評估程序及內容，建立起商用密碼應用安全性評估制度的基本框架,。

　?。ǘw現商用密碼應用安全性評估系統(tǒng)性原則?！掇k法》將商用密碼應用方案評估,、網絡與信息系統(tǒng)運行前評估、網絡與信息系統(tǒng)運行后定期評估統(tǒng)一納入商用密碼應用安全性評估工作體系,，在實施中“按照同一套標準,、遵循同一套程序、囊括同一套活動”,，確保重要網絡與信息系統(tǒng)全生命周期落實商用密碼應用安全性評估要求,。同時，將商用密碼應用安全性評估機構統(tǒng)一納入商用密碼檢測機構管理,，進一步體現工作的系統(tǒng)性整體性,。

　　（三）明確商用密碼應用安全性評估實施依據,。按照《密碼法》,、《條例》關于運營者自行或者委托商用密碼應用安全性評估機構開展評估的規(guī)定，《辦法》分別明確了相關要求,，并就兩者需共同遵守的行為規(guī)范作出規(guī)定,，從而明確了商用密碼應用安全性評估活動的實施依據，有助于規(guī)范提升商用密碼應用安全性評估工作質量,。

　　三,、主要內容

　　《辦法》共21條。主要內容包括：

　?。ㄒ唬┛傮w要求,。一是明確概念定義，商用密碼應用安全性評估是指按照有關法律法規(guī)和標準規(guī)范,，對網絡與信息系統(tǒng)使用商用密碼技術,、產品和服務的合規(guī)性、正確性,、有效性進行檢測分析和評估驗證的活動,。二是規(guī)定管理體制，包括縣級以上各級密碼管理部門、國家機關和涉及商用密碼工作的單位的監(jiān)督管理職權,。三是明確對商用密碼應用安全性評估從業(yè)機構的資質要求,，以及對商用密碼應用安全性評估行業(yè)發(fā)展的保障支持。四是規(guī)定了商用密碼應用安全性評估的對象范圍,。

　?。ǘ┏绦蚣皟热菀蟆Ｒ皇且?guī)定“三同步一評估”的總體要求,。二是明確重要網絡與信息系統(tǒng)規(guī)劃,、建設、運行各階段的商用密碼應用安全性評估的程序要求,。三是針對商用密碼應用方案,、網絡與信息系統(tǒng)兩類不同對象，分別提出商用密碼應用安全性評估的內容要求,。

　?。ㄈ嵤┮?guī)范。一是規(guī)定開展商用密碼應用安全性評估的通用行為規(guī)范和運營者委托開展評估的支持配合義務,。二是規(guī)定運營者自行開展商用密碼應用安全性評估的基本要求與行為規(guī)范,。三是規(guī)定商用密碼應用安全性評估結果備案制度。四是規(guī)定運營者開展應急處置的有關內容,。

　　（四）監(jiān)督檢查及法律責任,。一是規(guī)定了縣級以上地方各級密碼管理部門,、國家機關和涉及商用密碼工作的單位的監(jiān)督檢查職權。二是明確了運營者的違法情形及法律責任,。三是規(guī)定了商用密碼應用安全性評估管理人員的責任義務,。

　　（五）其他事項,。規(guī)定了本辦法實施的過渡安排和施行時間,。