為貫徹落實《中華人民共和國密碼法》、新修訂的《商用密碼管理條例》等規(guī)定，2023年9月26日，國家密碼管理局公布《商用密碼應(yīng)用安全性評估管理辦法》（國家密碼管理局令第3號，以下簡稱《密評管理辦法》，點擊查看全文），統(tǒng)籌細(xì)化商用密碼應(yīng)用安全性評估（以下簡稱密評）對象范圍、責(zé)任主體、工作原則、程序內(nèi)容、實施規(guī)范等規(guī)定，依法規(guī)范密評工作，自2023年11月1日起施行。

《密評管理辦法》第六條規(guī)定，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡(luò)與信息系統(tǒng)（以下簡稱重要網(wǎng)絡(luò)與信息系統(tǒng)），其運營者應(yīng)當(dāng)使用商用密碼進行保護，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，并定期開展商用密碼應(yīng)用安全性評估；第九條規(guī)定，重要網(wǎng)絡(luò)與信息系統(tǒng)建成運行后，其運營者應(yīng)當(dāng)自行或者委托商用密碼檢測機構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估，確保商用密碼保障系統(tǒng)正確有效運行。

值得注意的是，該辦法只規(guī)定怎么做密評，哪些網(wǎng)絡(luò)系統(tǒng)應(yīng)該密評由其他法律、法規(guī)和國家有關(guān)規(guī)定確定。

不少朋友有疑問，“重要網(wǎng)絡(luò)與信息系統(tǒng)”到底指的是哪些呢？依據(jù)目前的法律、行政法規(guī)和國家有關(guān)規(guī)定，密博士幫您梳理。

“重要網(wǎng)絡(luò)與信息系統(tǒng)”主要包括關(guān)鍵信息基礎(chǔ)設(shè)施、政務(wù)信息化系統(tǒng)、網(wǎng)絡(luò)安全等級保護制度明確要求使用商用密碼保護的網(wǎng)絡(luò)與信息系統(tǒng)等。

一、關(guān)鍵信息基礎(chǔ)設(shè)施

《中華人民共和國密碼法》（以下簡稱《密碼法》，點擊查看全文）、新修訂的《商用密碼管理條例》（以下簡稱《條例》，點擊查看全文）均明確規(guī)定，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼并開展密評。

——《密碼法》（自2020年1月1日起施行）第二十七條規(guī)定，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。

——《條例》（自2023年7月1日起施行）第三十八條規(guī)定，法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼進行保護，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。前款所列關(guān)鍵信息基礎(chǔ)設(shè)施通過商用密碼應(yīng)用安全性評估方可投入運行，運行后每年至少進行一次評估。

根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（自2021年9月1日起施行，點擊查看全文）規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

二、政務(wù)信息化系統(tǒng)

《國務(wù)院辦公廳關(guān)于印發(fā)國家政務(wù)信息化項目建設(shè)管理辦法的通知》（國辦發(fā)〔2019〕57號，以下簡稱《辦法》，自2020年2月1日起施行，點擊查看全文）規(guī)定，對國家政務(wù)信息系統(tǒng)的規(guī)劃、審批、建設(shè)、共享和監(jiān)管提出多項密碼應(yīng)用要求，其中明確政務(wù)信息化項目建設(shè)單位，應(yīng)同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期開展密碼應(yīng)用安全性評估，確保政務(wù)信息系統(tǒng)運行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。

《辦法》適用的國家政務(wù)信息系統(tǒng)主要包括國務(wù)院有關(guān)部門和單位負(fù)責(zé)實施的國家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺、國家重點業(yè)務(wù)信息系統(tǒng)、國家信息資源庫、國家信息安全基礎(chǔ)設(shè)施、國家電子政務(wù)基礎(chǔ)設(shè)施（數(shù)據(jù)中心、機房等）、國家電子政務(wù)標(biāo)準(zhǔn)化體系以及相關(guān)支撐體系等符合《政務(wù)信息系統(tǒng)定義和范圍》規(guī)定的系統(tǒng)；國務(wù)院有關(guān)部門可以根據(jù)本辦法的規(guī)定及職責(zé)分工，制定本部門的具體管理辦法；各省、自治區(qū)、直轄市人民政府可以參照本辦法制定本地區(qū)的管理辦法。

例如，江西等陸續(xù)發(fā)布了相應(yīng)的管理辦法。

《江西省人民政府辦公廳關(guān)于印發(fā)江西省數(shù)字化項目建設(shè)管理辦法的通知》（贛府廳發(fā)〔2023〕12號，以下簡稱《江西管理辦法》，點擊查看全文）于2023年9月26日發(fā)布并施行，之前的《江西省人民政府辦公廳關(guān)于印發(fā)江西省政務(wù)信息化項目建設(shè)管理辦法的通知》（贛府廳字〔2020〕68號）同時廢止。

《江西管理辦法》涉及密碼應(yīng)用十項要求（點擊查看十項要求），其中包括項目單位按照國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求，同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期進行密碼應(yīng)用安全性評估。

《江西管理辦法》適用于全省各級行政機關(guān)以及法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織等使用財政性資金建設(shè)、運維的數(shù)字化項目，主要包括電子政務(wù)網(wǎng)絡(luò)平臺、重點業(yè)務(wù)數(shù)字化系統(tǒng)、數(shù)據(jù)資源庫、信息安全基礎(chǔ)設(shè)施、電子政務(wù)基礎(chǔ)設(shè)施（政務(wù)云、數(shù)據(jù)中心等）、數(shù)字政府標(biāo)準(zhǔn)化體系以及相關(guān)支撐體系等符合《政務(wù)信息系統(tǒng)定義和范圍》（GB/T 40692-2021）規(guī)定的項目；各設(shè)區(qū)市參照省級做法負(fù)責(zé)本市（含縣區(qū)、開發(fā)區(qū)）數(shù)字化項目管理；各級黨的機關(guān)、人大機關(guān)、政協(xié)機關(guān)、監(jiān)察機關(guān)、審判機關(guān)、檢察機關(guān)、群團使用財政性資金的數(shù)字化項目參照本辦法執(zhí)行；使用財政性資金的其他建設(shè)項目中包含數(shù)字化項目的，參照本辦法執(zhí)行。

三、網(wǎng)絡(luò)安全等級保護制度明確要求使用商用密碼保護的網(wǎng)絡(luò)與信息系統(tǒng)

新修訂的《商用密碼管理條例》（自2023年7月1日起施行）第四十一條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護制度要求，使用商用密碼保護網(wǎng)絡(luò)安全；國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護等級，確定商用密碼的使用、管理和應(yīng)用安全性評估要求，制定網(wǎng)絡(luò)安全等級保護密碼標(biāo)準(zhǔn)規(guī)范。

關(guān)于網(wǎng)絡(luò)安全等級保護制度，《中華人民共和國網(wǎng)絡(luò)安全法》（自2017年6月1日起施行，點擊查看全文）第二十一條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度；網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

同時，2018年6月27日，公安部發(fā)布《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》（以下簡稱《保護條例》，截至目前暫未發(fā)布正式稿）。作為《中華人民共和國網(wǎng)絡(luò)安全法》的重要配套法規(guī)，《保護條例》設(shè)置單獨一章“第五章密碼管理”，其中

——第四十五條規(guī)定“確定密碼要求”：國家密碼管理部門根據(jù)網(wǎng)絡(luò)的安全保護等級、涉密網(wǎng)絡(luò)的密級和保護等級，確定密碼的配備、使用、管理和應(yīng)用安全性評估要求，制定網(wǎng)絡(luò)安全等級保護密碼標(biāo)準(zhǔn)規(guī)范；

——第四十七條規(guī)定“非涉密網(wǎng)絡(luò)密碼保護”：非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標(biāo)準(zhǔn)的要求，使用密碼技術(shù)、產(chǎn)品和服務(wù)；第三級以上網(wǎng)絡(luò)應(yīng)當(dāng)采用密碼保護，并使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)；第三級以上網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，委托密碼應(yīng)用安全性測評機構(gòu)開展密碼應(yīng)用安全性評估；網(wǎng)絡(luò)通過評估后，方可上線運行，并在投入運行后，每年至少組織一次評估；密碼應(yīng)用安全性評估結(jié)果應(yīng)當(dāng)報受理備案的公安機關(guān)和所在地設(shè)區(qū)市的密碼管理部門備案。

另外，2020年7月22日，《公安部關(guān)于印送<貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見>的函》（公網(wǎng)安〔2020〕1960號，點擊查看全文）發(fā)布，其中第二章“深入貫徹實施國家網(wǎng)絡(luò)安全等級保護制度”第六條中要求落實密碼安全防護要求：網(wǎng)絡(luò)運營者應(yīng)貫徹落實《密碼法》等有關(guān)法律法規(guī)規(guī)定和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范；第三級以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進行保護，并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)；第三級以上網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)規(guī)劃、建設(shè)和運行階段，按照密碼應(yīng)用安全性評估管理辦法和相關(guān)標(biāo)準(zhǔn)，在網(wǎng)絡(luò)安全等級測評中同步開展密碼應(yīng)用安全性評估。