密码许可审批操作规范

密码许可审批操作规范一、总则1.1编制目的为规范本单位密码应用相关的许可、审批流程，明确各方职责，确保密码技术、产品、服务的使用符合国家法律法规和行业标准，保障信息系统与数据安全，防范密码应用风险，特制定本操作规范。1.2编制依据本规范依据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等国家法律法规，以及国家密码管理局发布的相关管理规范、技术标准和行业指导文件，结合本单位实际情况编制。1.3适用范围本规范适用于本单位所有部门、分支机构及全体工作人员。涉及以下密码相关活动的，均须遵循本规范进行申请与审批：商用密码产品的采购、使用、集成和处置。商用密码服务的委托、采购与应用。密码应用系统或模块（含密码功能模块）的新建、升级、改造与废止。重要信息系统密码应用方案的设计、评审与实施。密码应用安全性评估（密评）的委托与结果处置。涉及密码技术、算法的科研、开发与合作。其他需要经过密码许可审批的事项。1.4基本原则依法合规原则：所有密码应用活动必须严格遵守国家密码管理法律法规及政策要求。安全可控原则：优先选用安全、可控的国产密码技术和产品，确保密码应用自主可控。必要最小化原则：密码应用应遵循业务必要性和数据保护最小化原则，避免过度加密或无效加密。权责一致原则：明确申请、审核、批准、执行、监督各环节责任主体，实现全过程可追溯。全程监督原则：对密码许可审批事项的实施过程及效果进行监督、检查和评估。二、组织机构与职责2.1密码管理工作领导小组本单位设立密码管理工作领导小组（以下简称“领导小组”），作为密码管理工作的最高决策机构。组长：由单位主要负责人担任。副组长：由分管网络安全、信息化、保密工作的领导担任。成员：由办公室、信息化部门、保密部门、法务部门、业务主管部门等负责人组成。主要职责：审定本单位密码管理工作规划和重大政策。审批涉及全局、高风险或重大投资的密码应用事项。听取密码管理工作办公室的汇报，指导、监督密码管理工作。协调解决密码管理中的重大问题。2.2密码管理工作办公室领导小组下设密码管理工作办公室（以下简称“密码办”），挂靠在信息化部门或指定的管理部门，负责日常工作的组织与协调。主任：由信息化部门或指定管理部门负责人兼任。成员：由信息化、网络安全、保密、法务、业务等部门的专业人员组成。主要职责：负责本规范的宣传、培训与贯彻落实。受理、初审各部门提交的密码许可申请。组织或协调密码应用方案的技术评审、密评对接等工作。对审批通过的事项进行备案、登记与过程跟踪。定期向领导小组报告密码管理工作情况。组织密码应用情况的监督检查与风险评估。2.3申请部门职责负责根据业务需求，提出密码应用申请，确保申请事项的必要性与合规性。负责编制或委托编制符合要求的密码应用方案、采购需求等技术文档。负责具体执行经批准的密码应用事项，确保实施过程符合方案要求。负责所辖范围内密码设备、系统的日常管理与安全维护。配合密码办及相关部门完成检查、评估与审计工作。2.4相关支持部门职责信息化部门：提供技术环境支持，参与技术方案评审，负责密码系统与现有IT基础设施的集成与运维。网络安全部门：从网络安全整体架构角度评估密码应用的安全性与有效性。保密部门：对涉及国家秘密的密码应用事项进行保密审查与指导。法务部门：对密码相关合同、协议进行法律审查，确保符合法律法规要求。财务部门：对涉及经费的密码应用事项进行预算审核与支付监督。审计部门：对密码应用项目的经费使用、实施效果进行审计监督。三、密码许可审批流程密码许可审批遵循“申请-审核-批准-实施-备案-监督”的闭环管理流程。3.1申请阶段3.1.1申请提出申请部门根据业务需要，填写《密码应用许可审批申请表》（见附件一），并准备以下支撑材料：必要性说明：详细阐述申请事项的业务背景、目标、解决的问题及密码应用的必要性。技术方案：包括密码应用设计方案、产品选型说明（含产品型号、厂商、国密算法支持情况）、系统集成方案、密钥管理方案等。合规性自评：对照相关法律法规和标准进行初步合规性分析。风险评估报告：分析项目实施可能面临的密码安全风险及应对措施。预算明细：涉及采购的，需提供详细的经费预算。其他材料：如涉及第三方服务，需提供供应商资质、服务合同草案；涉及系统改造的，需提供原系统架构图及影响分析。3.1.2申请提交申请材料经申请部门负责人审核签字并加盖部门公章后，提交至密码办。原则上应采用线上审批系统提交，并同步提交纸质盖章版备案。3.2审核阶段3.2.1形式初审密码办在收到申请后3个工作日内完成形式初审，主要检查：申请材料是否齐全、格式是否规范。申请事项是否属于本规范适用范围。申请部门是否具备基本的实施条件。初审不合格的，一次性告知申请部门需补正的内容；初审合格的，进入实质审核。3.2.2实质审核密码办根据申请事项的性质、复杂程度和风险等级，组织相关部门进行联合审核或专项评审。书面审核：对于低风险、常规性事项，由密码办会同信息化、网络安全等部门进行书面审核。会议评审：对于新建重要信息系统、重大密码应用改造、高风险项目等，由密码办组织召开专家评审会。评审专家组应包括密码技术、网络安全、业务领域等方面的内外部专家。审核要点：合规性：是否符合《密码法》等法律法规及国家、行业标准。必要性：密码应用是否确属业务必需，方案是否合理。安全性：密码技术路线、产品选型、密钥管理、安全防护措施是否安全有效。可控性：是否优先采用国产密码产品与服务，供应链是否安全可控。经济性：预算是否合理，投入产出比是否恰当。可行性：技术方案是否可行，与现有系统兼容性如何，实施计划是否合理。3.2.3审核意见审核结束后，审核部门或评审专家组应出具明确的书面审核意见，包括“建议批准”、“建议修改后批准”或“建议不予批准”的结论，并详细说明理由及修改建议。3.3批准阶段根据审批权限，履行批准程序：一般事项：由密码办主任审核，报分管领导批准。重要事项：由密码办审核后，报领导小组副组长批准。重大事项：由密码办审核，经领导小组副组长审签后，报领导小组组长或领导小组会议批准。审批意见应在《密码应用许可审批申请表》上明确记载，包括批准人、批准日期、有效期限、附加条件等。3.4实施与备案阶段3.4.1通知与实施密码办将审批结果正式通知申请部门。申请部门依据批准的意见和方案组织实施。对于“建议修改后批准”的事项，申请部门需根据审核意见修改完善方案，经密码办复核确认后，再按程序报批。项目实施过程中如有重大变更，须重新履行审批程序。3.4.2过程备案申请部门在项目实施的关键节点（如合同签订、到货验收、系统上线、密评启动等），应向密码办提交备案报告。3.4.3结果备案项目完成后，申请部门应在1个月内向密码办提交项目总结报告及以下材料备案：最终实施情况说明。密码产品/服务采购合同、验收报告复印件。系统部署配置文档、密钥管理记录。密码应用安全性评估报告（如适用）。其他相关材料。3.5监督与评估阶段密码办联合相关部门，对已审批事项进行监督检查和事后评估。日常监督：结合网络安全检查，对密码应用系统的运行状况、策略配置、密钥管理等进行抽查。专项检查：对重点项目或发现疑似问题的系统进行专项安全检查。定期评估：每1-2年或发生重大技术、业务变更时，对重要密码应用系统的有效性、安全性进行再评估。问题处置：对监督检查中发现的问题，责令责任部门限期整改；涉及违规或造成安全事件的，按相关规定追究责任。四、关键环节操作要求4.1密码产品与服务采购供应商选择：应优先选择具有国家密码管理局颁发的《商用密码产品认证证书》或《商用密码服务认证证书》的厂商和服务商。对供应商进行安全背景调查。产品选型：应优先选用支持SM2、SM3、SM4、SM9等国密算法的产品。严格限制使用国外密码算法和产品，确需使用的，须进行专项安全风险评估并报领导小组批准。合同条款：合同中应明确密码产品的型号、算法、安全要求、售后服务（含应急响应）、源代码或技术资料托管（如适用）等内容。涉及密码技术服务的，应明确服务范围、安全责任边界。4.2密码应用方案设计方案内容：应明确密码应用的目标系统、保护对象（数据）、采用的密码技术、密码产品、密钥管理体系、安全运维要求等。合规设计：方案设计必须满足《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）相应等级的要求。密评衔接：对于第三级及以上网络安全等级保护系统或国家规定的重要信息系统，方案设计阶段应充分考虑密评要求，确保系统建成后能通过密评。4.3密钥全生命周期管理申请部门必须建立并执行严格的密钥管理制度，方案中必须包含密钥管理章节。生成：采用安全的随机数发生器生成密钥。存储：使用密码模块或硬件安全模块（HSM）保护密钥安全，禁止明文存储密钥。分发：采用安全通道分发密钥，必要时使用密钥加密密钥（KEK）进行保护。使用：明确密钥的使用权限和场景，记录关键操作日志。更新：制定密钥定期更新策略。归档与销毁：对过期密钥进行安全归档或彻底销毁，并保留记录。4.4密码应用安全性评估（密评）评估委托：对于法律行政法规规定应当开展密评的信息系统，必须在系统规划阶段立项，并在系统上线运行前，委托具备国家密码管理局认可资质的密评机构进行评估。评估配合：申请部门及信息化部门应积极配合密评机构开展工作，提供必要资料和测试环境。结果运用：密评报告是项目验收和上线运行的必要依据。对于密评发现的问题，必须整改到位并经复评通过后，系统方可正式投入运行。密评报告正本应交由密码办统一归档。五、特殊情形处理5.1紧急情况处理因应急处置、重大安全威胁等紧急情况，需立即启用或变更密码应用措施的，可先行实施，但必须遵循以下程序：申请部门主要负责人口头或简单书面报告密码办及分管领导。在紧急情况缓解后24小时内，补办正式的书面审批手续，并附情况说明。密码办对紧急措施进行事后审查，评估其合规性与有效性。5.2涉密信息系统密码应用涉及国家秘密的信息系统的密码应用，除遵循本规范外，必须严格执行国家保密行政管理部门和密码管理部门的双重管理规定。方案设计、产品选型、项目实施等各环节，均需事先征得本单位保密部门的审查同意。使用的密码产品和服务须符合国家保密标准和涉密信息系统密码应用要求。相关审批材料和实施记录按涉密载体管理。5.3合作与外包中的密码应用在与其他单位合作开发、业务外包、云服务等场景中涉及本单位数据密码保护的，须遵守：在合作协议、服务合同中明确约定密码保护的责任、技术要求和合规义务。对合作方或服务商的密码应用能力进行安全评估。确保核心密码运算、密钥管理等关键操作的控制权不旁落，敏感数据不出境。六、记录管理与保密6.1记录要求密码许可审批全过程应保留完整、准确的记录，包括但不限于：申请表、支撑材料、审核意见、批准文件、会议纪要、备案报告、检查记录、评估报告等。记录应内容清晰、签署齐全、日期准确。6.2档案管理密码办负责建立统一的密码许可审批项目档案，实行“一事一档”。所有审批相关记录原件（或加盖公章的复印件）应在事项完结后及时归档。档案保存期限应不少于该密码应用系统或产品的生命周期结束后5年，法律法规另有规定的从其规定。6.3保密要求审批过程中涉及的密码技术细节、密钥信息、安全漏洞、风险评估内容等敏感信息，应按照内部敏感信息或可能涉及的密级进行管理。未经批准，任何部门和个人不得擅自对外提供或泄露。七、考核与问责7.1考核机制将密码许可审批制度的执行情况纳入相关部门和人员的年度绩效考核。考核内容包括但不限于：制度知晓度、申请合规率、审批时效、项目实施质量、问题整改情况等。7.2责任追究对于违反本规范的行为，视情节轻重给予相应处理：未经审批擅自开展密码应用活动：责令立即停止，通报批评；造成不良后果或安全隐患的，追究部门负责人及相关人员责任。提供虚假申请材料：撤销已批准的许可，通报批评；造成损失的，依法依规追责。未按批准方案实施或擅自变更：责令限期整改；拒不整改或造成安全事件的，暂停项目实施，追究责任。在密码应用管理中存在失职、渎职行为：导致发生密码安全事件或造成损失的，依法依规严肃处理。违反保密规定：泄露密码相关敏感信息的，按保密纪律和相关法律处理。八、附则8.1解释与修订本规范由本单位密码管理工作办公室负责解释。根据国家法律法规、政策变化及本单位实际情况，密码办可适时提出修订建议，报密码管理工作领导小组批准后发布实施。8.2生效日期本规范自发布之日起施行。原有规定与本规范不一致的，以本规范为准。