商用密码应用监管体系（第1部分：总则）.docx

3

T/ZXCH××××—××××

商用密码应用监管体系第1部分：总则

1范围

本文件确定了商用密码应用监管体系的监管主体、监管对象、监管领域、监管周期、监管内容和监管交互。

本文件适用于商用密码应用监管体系规划、设计、建设和应用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T40692-2021政务信息系统定义和范围

3术语和定义

下列术语和定义适用于本文件。3.1

政务信息系统governmentinformationsystem

由政务部门建设、运行或使用的，用于直接支持政务部门工作或履行其职能的各类信息系统。执行政务信息处理的基础设施、数据系统、业务系统、服务系统均属于政务信息系统。

［来源：GB/T40692-2021，4］

3.2

监管内容supervisioncontent

在商用密码应用监管活动中，监管主体对监管对象所实施的具体监督和管理事项。

4监管体系

由监管主体、监管对象、法律法规、规章制度等构成的有机整体，是对商用密码的应用方案、应用建设、应用安全性评估、应用成效等各个环节进行监督和管理的体系。这一体系旨在监督和规范商用密码的应用和管理，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

5监管主体

行政区域内负责密码工作的管理单位，行业领域内涉及密码工作的管理单位。

4

T/ZXCH××××—××××

6监管对象

行政区域内关键信息基础设施和重要信息系统的运营者、电子认证服务机构、开展密评工作的商用密码应用安全性评估机构。

7监管领域

商用密码应用监管覆盖的领域范围。

7.1关键信息基础设施

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

7.2重要信息系统

基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、政务信息系统和面向社会服务的信息系统，以及其他网络安全等级保护第三级及以上信息系统。

7.3商用密码能力支撑系统

针对一个或多个信息系统的应用需求，通过组织整合、集成优化各类商用密码资源，提供可共享共用的商用密码资源和服务，为一个或多个信息系统的公共需求提供统一的商用密码应用。

7.4电子认证服务

按照有关法律法规和标准规范，为关键信息基础设施、重要信息系统、商用密码能力支撑系统提供数字证书服务、和电子签名认证服务，保证电子认证的真实性和可靠性的活动。

7.5电子认证服务机构

为关键信息基础设施、重要信息系统、商用密码能力支撑系统提供数字证书服务和电子认证服务，符合法律法规要求的第三方服务机构。

7.6商用密码应用安全性评估

按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

7.7商用密码应用安全性评估机构

符合法律法规要求的，开展商用密码应用安全性评估的第三方机构。

7.8其他监管领域

经法律法规授权允许的其他监管领域。

8监管周期

监管主体履行其监管职能所涵盖的商用密码应用各阶段，包括但不限于：

5

T/ZXCH××××—××××

a）商用密码应用方案编制；

b）商用密码应用建设；

c）商用密码应用安全性评估；

d）商用密码应用成效。

9监管内容

监管主体开展各类商用密码应用监管的内容，包括但不限于：

a）数字证书应用监管；

b）商用密码算法应用监管；

c）密钥生命周期监管；

d）随机数质量监管；

e）商用密码功能应用监管；f）电子认证服务监管；

g）商用密码应用安全性评估监管；h）商用密码资产监管；

i）其他监管。

10监管交互

指监管主体之间、监管主体和监管对象之间监管内容和监管数据的交互，监管交互包括但不限于：

a）高层级监管主体与低层级监管主体之间的交互；

b）同级监管主体与监管对象之间的交互；

c）行业监管主体与监管对象之间的交互；

d）行业监管主体与同级监管主体之间的交互。

6

T/ZXCH××××—××××

参考文献

[1]《中华人民共和国密码法》

[2]《商用密码管理条例》

[3]《关键信息基础设施安全保护条例》

_____________