關于進一步明確省政務信息化項目建設密碼應用有關要求的通知

　　各市縣黨委和人民政府辦公室、省直各部門：

　　為落實好《海南省政務信息化項目建設管理辦法》（瓊府辦〔2020〕38號）關于密碼應用的規定，根據《中華人民共和國密碼法》《中共中央辦公廳  國務院辦公廳關于印發<金融和重要領域密碼應用與創新發展工作規劃（2018-2022年）>的通知》（廳字〔2018〕36號）等有關法規政策，參照國家密碼管理局頒布的《政務信息系統密碼應用與安全性評估工作指南》，結合我省實際，明確以下要求，請認真貫徹執行。

　　一、本通知適用于《海南省政務信息化項目建設管理辦法》明確的政務信息系統中的非涉密信息系統。本通知各條款所稱“密碼”，均指“商用密碼”。

　　二、項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。

　　三、新建、改建、擴建以及通過政府購買服務產生的政務信息化項目，項目建設單位在項目規劃審批階段，應編制密碼應用方案（密碼應用方案編制模板見附件1），并委托評估機構或組織專家對方案進行密碼應用安全性評估。

　　密碼應用方案、密碼應用安全性評估意見是立項審批環節必備材料。

　　四、《海南省信息化項目建議書網絡安全部分編制規范（試行）》《海南省信息化項目可行性研究報告網絡安全部分編制規范（試行）》《海南省信息化項目初步設計網絡安全部分編制規范（試行）》《海南省購買信息化服務方案網絡安全部分編制規范（試行）》中涉及密碼應用的編制要求可由密碼應用方案統一替代。

　　五、新建、改建、擴建以及通過政府購買服務產生的政務信息化項目，項目建設單位在項目建設完成后，應委托評估機構對信息系統進行密碼應用安全性評估。

　　結論為“符合”或“基本符合”的密碼應用安全性評估報告是項目驗收環節必備材料。

　　六、屬于關鍵信息基礎設施的政務信息系統采購涉及密碼的網絡產品和服務，影響或可能影響國家安全的，應按照《中華人民共和國網絡安全法》和《網絡安全審查辦法》的規定，通過國家網信部門會同國家密碼管理部門等有關部門組織的網絡安全審查。

　　七、政務信息系統投入運行后，建設單位應按照密碼管理有關法規要求定期委托評估機構對系統開展密碼應用安全性評估，并根據安全需求、風險威脅程度、系統環境變化以及對系統安全認識的深化持續改進密碼保障措施。

　　系統發生重大網絡安全事件、重大調整變動應及時開展密碼應用安全性評估。

　　鼓勵網絡安全等級保護測評與密碼應用安全性評估統籌考慮、協調開展、同步進行。

　　八、政務信息系統建設單位完成評估工作后，應督促評估機構在30個工作日內將評估情況送省國家密碼管理局備案（評估情況主要內容見附件2）。

　　九、政務信息系統建設單位在編制年度信息化項目經費預算時應統籌好密碼保障經費，密碼保障經費主要包括系統建設、運維、密碼應用安全性評估等費用。

　　密碼保障系統建設有關費用的取費標準參照信息化項目建設取費標準執行，其密碼應用方案編制納入項目咨詢設計服務統籌進行。

　　密碼保障系統運維費用參照《海南省省本級政務信息系統運維項目支出標準（試行）》執行。《海南省省本級政務信息系統運維項目支出標準（試行）》調整后按新標準執行。

　　對信息系統的評估費用當前適用標準為網絡安全等級保護第三級系統≤12萬/個，網絡安全等級保護第二級系統≤8萬/個。特別復雜的、新型的信息系統密碼應用安全性評估費用可高于上述標準。

　　十、《海南省政務信息化項目建設管理辦法》實施前已投入使用的政務信息系統應開展密碼應用安全性評估、完善密碼保障系統建設。

　　《海南省政務信息化項目建設管理辦法》實施前已完成立項審批的政務信息系統建成后應開展密碼應用安全性評估、完善密碼保障系統建設。

　　前兩款所指的政務信息系統可專門完善密碼保障系統，也可結合信息系統改建、擴建同步完善，其中關鍵信息基礎設施和網絡安全等級保護第三級系統在全島封關運作時未完善密碼保障系統并通過評估的，第二年起不予安排運維經費。

　　十一、各政務信息系統可充分利用省大數據管理局規劃建設的密碼管理服務平臺提供密碼應用支撐，減少重復建設，避免資源浪費。

　　十二、本通知由省國家密碼管理局會同省委網信辦、省發改委、省財政廳、省公安廳、省大數據管理局負責解釋。

　　十三、各市、縣、自治縣政務信息化項目建設密碼應用工作參照本通知執行。

　　海南省國家密碼管理局

　　中共海南省委網絡安全和信息化委員會辦公室

　　海南省發展和改革委員會

　　海南省財政廳

　　海南省公安廳

　　海南省大數據管理局

　　2021年3月17日