密码法 商用密码管理条例 商用密码产品认证规则 制定程序

华沃

中华人民共和国密码法

（2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过 ）

目　　录

第一章　总　　则
第二章　核心密码、普通密码
第三章　商用密码
第四章　法律责任
第五章　附    则

第一章　总　　则

第一条　为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。

第二条　本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

第三条　密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则。

第四条　坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。

第五条　国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

第六条　国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

第八条　商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

第九条　国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。

第十条　国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，增强公民、法人和其他组织的密码安全意识。

第十一条　县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。

第十二条　任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

第二章　核心密码、普通密码

第十三条　国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完善管理措施，增强密码安全保障能力。

第十四条　在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

第十五条　从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全。

第十六条　密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查，密码工作机构应当配合。

第十七条　密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的，应当立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置，并指导有关密码工作机构及时消除安全隐患。

第十八条　国家加强密码工作机构建设，保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

第十九条　密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。

第二十条　密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。

华沃

第三章　商用密码

第二十一条　国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位（以下统称商用密码从业单位）。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者他人合法权益。

第二十二条　国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条　国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条　商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商　用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

第二十五条　国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

第二十六条　涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第二十八条　国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第二十九条　国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条　商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位提供信息、技术、培训等服务，引导和督促商用密码从业单位依法开展商用密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

第三十一条　密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

第四章　法律责任

第三十二条　违反本法第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

第三十三条　违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十四条　违反本法规定，发生核心密码、普通密码泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

违反本法第十七条第二款规定，发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取应对措施，或者未及时报告的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十五条　商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，依法吊销相关资质。

第三十六条　违反本法第二十六条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

第三十七条　关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第三十八条　违反本法第二十八条实施进口许可、出口管制的规定，进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

第三十九条　违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。

第四十条　密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的，依法给予处分。

第四十一条　违反本法规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。

第五章　附　　则

第四十二条　国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。

第四十三条　中国人民解放军和中国人民武装警察部队的密码工作管理办法，由中央军事委员会根据本法制定。

第四十四条　本法自2020年1月1日起施行。

爱上层楼

国家密码管理局令
第 1 号

《国家密码管理局规章制定程序规定》已经2021年12月6日国家密码管理局局务会议审议通过，现予公布，自2022年2月1日起施行。

                                                                                                   局  长 刘东方               
                                                                                                 2021年12月16日   

国家密码管理局规章制定程序规定

第一条　为了规范国家密码管理局规章制定工作，根据《中华人民共和国立法法》、《中华人民共和国密码法》和《规章制定程序条例》，制定本规定。

第二条　国家密码管理局根据法律和国务院的行政法规、决定、命令，在本部门的权限范围内制定公布面向社会履行密码行政管理职能，对密码管理部门和行政相对人具有普遍约束力的规章。

规章的立项、起草、审查、决定、公布、解释，适用本规定。

第三条　制定规章，应当坚持中国共产党对密码工作的领导，贯彻落实党的路线方针政策和决策部署，遵循立法法确定的立法原则，符合宪法、法律、行政法规和其他上位法的规定。

制定规章涉及重大事项的，应当事先报中央密码工作领导小组同意。重要规章公布前，应当报中央密码工作领导小组批准。

第四条　制定规章，应当体现职权与责任相统一的原则，切实保障行政相对人的合法权益。

没有法律或者国务院的行政法规、决定、命令的依据，规章不得设定减损行政相对人权利或者增加其义务的规范，不得增加密码管理部门的权力或者减少密码管理部门的法定职责。

规章不得溯及既往，但是为了更好地保护行政相对人权益而作出的特别规定除外。

第五条　规章的名称一般称“规定”、“办法”，但不得称“条例”。

第六条　规章应当根据需要，明确制定目的、依据、适用范围、主体、权利义务、具体规范、操作程序、法律责任、施行日期等。

规章用语应当准确、简洁，避免产生歧义；条文内容应当明确、具体，具有可操作性。

法律、行政法规已经明确规定的内容，规章原则上不作重复规定。

除内容复杂的外，规章一般不分章、节。

第七条　国家密码管理局内设机构或者省、自治区、直辖市密码管理部门认为需要制定规章的，应当于每年11月30日前向国家密码管理局提出下一年度的规章立项申请。

规章立项申请应当列明规章名称、立项必要性和可行性、所要解决的主要问题、拟确立的主要制度、起草单位、进度安排和完成时间等内容。

国家密码管理局可以向社会公开征集规章制定项目建议。

第八条　国家密码管理局政策法规机构（以下简称政策法规机构）应当对规章立项申请和制定项目建议进行评估论证，拟订年度规章制定工作计划，报局务会议批准后向社会公布。

年度规章制定工作计划需要调整的，应当经局务会议批准。

第九条　规章由国家密码管理局业务主管机构负责起草；涉及多个机构职责的，由一个机构牵头起草，相关机构配合。重要的或者综合性的规章，可以由政策法规机构起草或者组织起草。

起草专业性较强的规章，可以吸收相关领域的专家、局法律顾问、公职律师参与，或者委托有关专家、教学科研单位、社会组织起草。

第十条　起草规章，应当深入调查研究，广泛听取国务院有关部门、地方密码管理部门、组织和公民的意见。听取意见可以采取书面征求意见、座谈会、论证会、听证会等多种形式。

除依法需要保密的外，起草单位应当将规章征求意见稿及其说明等在中国政府法制信息网、国家密码管理局门户网站上向社会公布，征求意见，征求意见期限一般不少于30日。

起草规章涉及重大利益调整的，起草单位应当按照规定进行论证咨询。依法需要进行听证的，起草单位应当按照规定举行听证会听取意见。

起草单位与国务院有关部门有不同意见的，应当充分协商；经过充分协商不能取得一致意见的，起草单位应当在报送规章草案送审稿（以下简称规章送审稿）时说明情况和理由。

第十一条　起草单位形成规章送审稿后，应当将规章送审稿及其说明和其他有关材料按照规定报送政策法规机构审查。

规章送审稿的说明应当对制定规章的必要性、起草过程、规定的主要措施、有关方面的意见及其协调处理情况等作出说明。

有关材料主要包括所规范领域的实际情况和相关数据、实践中存在的主要问题、汇总的意见、听证会笔录、调研报告、国内外有关立法资料等。

第十二条　政策法规机构应当从以下方面对规章送审稿进行审查：

（一）是否符合本规定第三条至第六条的规定；

（二）是否与有关规章协调、衔接；

（三）是否正确处理国务院有关部门、地方密码管理部门、组织和公民对规章送审稿主要问题的意见；

（四）是否符合立法技术要求；

（五）需要审查的其他内容。

第十三条　规章送审稿有下列情形之一的，政策法规机构可以缓办或者退回起草单位：

（一）制定规章的基本条件尚不成熟或者发生重大变化的；

（二）国务院有关部门对规章送审稿规定的主要制度存在较大争议，起草单位未与国务院有关部门充分协商的；

（三）未按照本规定有关规定公开征求意见的；

（四）报送送审稿不符合本规定第十一条规定的。

第十四条　政策法规机构应当按照规定对规章送审稿涉及的主要问题进行深入调查研究，并将规章送审稿或者规章送审稿涉及的主要问题发送国务院有关部门、地方密码管理部门、组织和专家征求意见。

政策法规机构可以将规章送审稿或者修改稿及其说明等向社会公布，征求意见，征求意见期限一般不少于30日。

第十五条　规章送审稿涉及重大利益调整的，政策法规机构应当按照规定进行论证咨询。规章送审稿在起草过程中应当进行而未进行听证的，政策法规机构报局领导批准后，按照规定举行听证会。

国务院有关部门对规章送审稿涉及的主要措施、管理体制、权限分工等问题有不同意见的，政策法规机构应当进行协调，力求达成一致意见。对有较大争议的重要立法事项，政策法规机构可以委托有关专家、教学科研单位、社会组织进行评估。经过充分协调不能达成一致意见的，政策法规机构应当提出倾向性意见报局领导协调或者报局务会议决定。

第十六条　政策法规机构应当认真研究各方面意见，与起草单位协商后，对规章送审稿进行修改，形成规章草案和对草案的说明，报局务会议审议。

第十七条　规章草案经局务会议审议通过后，政策法规机构应当根据局务会议审议意见进行修改，形成草案修改稿，报请局长签署国家密码管理局令予以公布。

国家密码管理局与国务院有关部门联合制定的规章，应当经局务会议审议通过，由局长和联合制定部门的行政首长共同署名，以联合命令形式公布，使用主办机关的命令序号。

第十八条　规章签署公布后，及时在国务院公报、中国政府法制信息网和国家密码管理局门户网站上刊载。

第十九条　规章应当自公布之日起30日后施行；但是，涉及国家安全以及公布后不立即施行将有碍施行的，可以自公布之日起施行。

第二十条　规章由国家密码管理局负责解释。规章的解释同规章具有同等效力。

第二十一条　规章应当自公布之日起30日内，由政策法规机构按照规定报国务院备案。

第二十二条　规章的修改、废止程序适用本规定的有关规定。规章修改、废止后，应当及时公布。

国家密码管理局应当及时组织开展规章清理工作，并根据清理情况及时修改或者废止相关规章。

国家密码管理局可以组织开展规章立法后评估，并把评估结果作为修改、废止规章的重要参考。

第二十三条　国家密码管理局负责起草法律、行政法规草案的，参照本规定执行。

第二十四条　本规定自2022年2月1日起施行。

华发竞

中华人民共和国国务院令
第760号

《商用密码管理条例》已经2023年4月14日国务院第4次常务会议修订通过，现予公布，自2023年7月1日起施行。

                                                                                                            总理 李 强
                                                                                                         2023年4月27日

商用密码管理条例

第一章 总 则

第一条 为了规范商用密码应用和管理，鼓励和促进商用密码产业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》等法律，制定本条例。

第二条 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理，适用本条例。

本条例所称商用密码，是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

第三条 坚持中国共产党对商用密码工作的领导，贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。

网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。

第四条 国家加强商用密码人才培养，建立健全商用密码人才发展体制机制和人才评价制度，鼓励和支持密码相关学科和专业建设，规范商用密码社会化培训，促进商用密码人才交流。

第五条 各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育，增强公民、法人和其他组织的密码安全意识。

第六条 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定，开展学术交流、政策研究、公共服务等活动，加强学术和行业自律，推动诚信建设，促进行业健康发展。

密码管理部门应当加强对商用密码领域社会组织的指导和支持。

第二章 科技创新与标准化

第七条 国家建立健全商用密码科学技术创新促进机制，支持商用密码科学技术自主创新，对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。

国家依法保护商用密码领域的知识产权。从事商用密码活动，应当增强知识产权意识，提高运用、保护和管理知识产权的能力。

国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

第八条 国家鼓励和支持商用密码科学技术成果转化和产业化应用，建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。

第九条 国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。

第十条 国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准，对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责，建立商用密码标准实施信息反馈和评估机制，对商用密码标准实施进行监督检查。

国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用，鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

其他领域的标准涉及商用密码的，应当与商用密码国家标准、行业标准保持协调。

第十一条 从事商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准，以及自我声明公开标准的技术要求。

国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

第三章 检测认证

第十二条 国家推进商用密码检测认证体系建设，鼓励在商用密码活动中自愿接受商用密码检测认证。

第十三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质。

第十四条 取得商用密码检测机构资质，应当符合下列条件：

（一）具有法人资格；

（二）具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力；

（三）具有保证商用密码检测活动有效运行的管理体系。

第十五条 申请商用密码检测机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第十四条规定条件的材料。

国家密码管理部门应当自受理申请之日起20个工作日内，对申请进行审查，并依法作出是否准予认定的决定。

需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。

第十六条 商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责，并定期向国家密码管理部门报送检测实施情况。

商用密码检测技术规范、规则由国家密码管理部门制定并公布。

第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度，实行商用密码产品、服务、管理体系认证，制定并公布认证目录和技术规范、规则。

第十八条 从事商用密码认证活动的机构，应当依法取得商用密码认证机构资质。

申请商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外，还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。

国务院市场监督管理部门在审查商用密码认证机构资质申请时，应当征求国家密码管理部门的意见。

第十九条 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码认证，对出具的认证结论负责。

商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查，以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。

第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的商用密码检测、认证机构检测认证合格后，方可销售或者提供。

第二十一条 商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

第四章 电子认证

第二十二条 采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。

第二十三条 电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用密码提供电子认证服务，保证其电子认证服务密码使用持续符合要求。

电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。

第二十四条 采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。

第二十五条 取得电子政务电子认证服务机构资质，应当符合下列条件：

（一）具有企业法人或者事业单位法人资格；

（二）具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员；

（三）具有为政务活动提供长期电子政务电子认证服务的能力；

（四）具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。

第二十六条 申请电子政务电子认证服务机构资质，应当向国家密码管理部门提出书面申请，并提交符合本条例第二十五条规定条件的材料。

国家密码管理部门应当自受理申请之日起20个工作日内，对申请进行审查，并依法作出是否准予认定的决定。

需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。

第二十七条 外商投资电子政务电子认证服务，影响或者可能影响国家安全的，应当依法进行外商投资安全审查。

第二十八条 电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则，在批准范围内提供电子政务电子认证服务，并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。

电子政务电子认证服务技术规范、规则由国家密码管理部门制定并公布。

第二十九条 国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理，会同有关部门推动电子认证服务互信互认。

第三十条 密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。

政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务，应当由依法设立的电子政务电子认证服务机构提供。

华发竞

第五章 进出口

第三十一条 涉及国家安全、社会公共利益且具有加密保护功能的商用密码，列入商用密码进口许可清单，实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码，列入商用密码出口管制清单，实施出口管制。

商用密码进口许可清单和商用密码出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第三十二条 进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码，应当向国务院商务主管部门申请领取进出口许可证。

商用密码的过境、转运、通运、再出口，在境外与综合保税区等海关特殊监管区域之间进出，或者在境外与出口监管仓库、保税物流中心等保税监管场所之间进出的，适用前款规定。

第三十三条 进口商用密码进口许可清单中的商用密码或者出口商用密码出口管制清单中的商用密码时，应当向海关交验进出口许可证，并按照国家有关规定办理报关手续。

进出口经营者未向海关交验进出口许可证，海关有证据表明进出口产品可能属于商用密码进口许可清单或者出口管制清单范围的，应当向进出口经营者提出质疑；海关可以向国务院商务主管部门提出组织鉴别，并根据国务院商务主管部门会同国家密码管理部门作出的鉴别结论依法处置。在鉴别或者质疑期间，海关对进出口产品不予放行。

第三十四条 申请商用密码进出口许可，应当向国务院商务主管部门提出书面申请，并提交下列材料：

（一）申请人的法定代表人、主要经营管理人以及经办人的身份证明；

（二）合同或者协议的副本；

（三）商用密码的技术说明；

（四）最终用户和最终用途证明；

（五）国务院商务主管部门规定提交的其他文件。

国务院商务主管部门应当自受理申请之日起45个工作日内，会同国家密码管理部门对申请进行审查，并依法作出是否准予许可的决定。

对国家安全、社会公共利益或者外交政策有重大影响的商用密码出口，由国务院商务主管部门会同国家密码管理部门等有关部门报国务院批准。报国务院批准的，不受前款规定时限的限制。

第六章 应用促进

第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，鼓励使用经检测认证合格的商用密码。

任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

第三十六条 国家支持网络产品和服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。

第三十七条 国家建立商用密码应用促进协调机制，加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。

密码管理部门会同有关部门加强商用密码应用信息收集、风险评估、信息通报和重大事项会商，并加强与网络安全监测预警和信息通报的衔接。

第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

第三十九条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。

第四十条 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第四十一条 网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级，确定商用密码的使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。

第四十二条 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。

第七章 监督管理

第四十三条 密码管理部门依法组织对商用密码活动进行监督检查，对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。

第四十四条 密码管理部门和有关部门建立商用密码监督管理协作机制，加强商用密码监督、检查、指导等工作的协调配合。

第四十五条 密码管理部门和有关部门依法开展商用密码监督检查，可以行使下列职权：

（一）进入商用密码活动场所实施现场检查；

（二）向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况；

（三）查阅、复制有关合同、票据、账簿以及其他有关资料。

第四十六条 密码管理部门和有关部门推进商用密码监督管理与社会信用体系相衔接，依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。

第四十七条 商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员，应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。

密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

第四十八条 密码管理部门和有关部门依法开展商用密码监督管理，相关单位和人员应当予以配合，任何单位和个人不得非法干预和阻挠。

第四十九条 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报，应当及时核实、处理，并为举报人保密。

第八章 法律责任

第五十条 违反本条例规定，未经认定向社会开展商用密码检测活动，或者未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款。

违反本条例规定，未经批准从事商用密码认证活动的，由市场监督管理部门会同密码管理部门依照前款规定予以处罚。

第五十一条 商用密码检测机构开展商用密码检测，有下列情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销商用密码检测机构资质：

（一）超出批准范围；

（二）存在影响检测独立、公正、诚信的行为；

（三）出具的检测数据、结果虚假或者失实；

（四）拒不报送或者不如实报送实施情况；

（五）未履行保密义务；

（六）其他违反法律、行政法规和商用密码检测技术规范、规则开展商用密码检测的情形。

第五十二条 商用密码认证机构开展商用密码认证，有下列情形之一的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销商用密码认证机构资质：

（一）超出批准范围；

（二）存在影响认证独立、公正、诚信的行为；

（三）出具的认证结论虚假或者失实；

（四）未对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查；

（五）未履行保密义务；

（六）其他违反法律、行政法规和商用密码认证技术规范、规则开展商用密码认证的情形。

第五十三条 违反本条例第二十条、第二十一条规定，销售或者提供未经检测认证或者检测认证不合格的商用密码产品，或者提供未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得10万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足10万元的，可以并处3万元以上10万元以下罚款。

第五十四条 电子认证服务机构违反法律、行政法规和电子认证服务密码使用技术规范、规则使用密码的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，依法吊销电子认证服务使用密码的证明文件。

第五十五条 电子政务电子认证服务机构开展电子政务电子认证服务，有下列情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，责令停业整顿，直至吊销电子政务电子认证服务机构资质：

（一）超出批准范围；

（二）拒不报送或者不如实报送实施情况；

（三）未履行保密义务；

（四）其他违反法律、行政法规和电子政务电子认证服务技术规范、规则提供电子政务电子认证服务的情形。

第五十六条 电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失，电子政务电子认证服务机构不能证明自己无过错的，承担赔偿责任。

第五十七条 政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务，违反本条例第三十条规定，未由依法设立的电子政务电子认证服务机构提供的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关、单位应当将处分或者处理情况书面告知密码管理部门。

第五十八条 违反本条例规定进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。

第五十九条 窃取他人加密保护的信息，非法侵入他人的商用密码保障系统，或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

第六十条 关键信息基础设施的运营者违反本条例第三十八条、第三十九条规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

第六十一条 关键信息基础设施的运营者违反本条例第四十条规定，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

第六十二条 网络运营者违反本条例第四十一条规定，未按照国家网络安全等级保护制度要求使用商用密码保护网络安全的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款。

第六十三条 无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节特别严重的，责令停业整顿，直至吊销商用密码许可证件。

第六十四条 国家机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法情形的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，由密码管理部门、有关部门建议有关国家机关对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关应当将处分或者处理情况书面告知密码管理部门、有关部门。

第六十五条 密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。

第六十六条 违反本条例规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。

第九章 附 则

第六十七条 本条例自2023年7月1日起施行。


来源：新华社北京5月24日电   《人民日报》（2023年05月25日11版）

安钢

国家市场监督管理总局   国家密码管理局

公告

2022年第24号

  

关于发布《商用密码产品认证目录（第二批）》的公告

    为贯彻落实《中华人民共和国密码法》，进一步健全完善商用密码产品认证体系，更好满足商用密码产业发展需要，根据《国家密码管理局 市场监管总局关于调整商用密码产品管理方式的公告》（第39号）、《市场监管总局 国家密码管理局关于开展商用密码检测认证工作的实施意见》（国市监认证〔2020〕50号），现将《商用密码产品认证目录（第二批）》予以发布，自发布之日起实施。
                                                                                        市场监管总局   国家密码管理局
                                                                                                      2022年7月10日

商用密码产品认证目录（第二批）

序号	产品种类	产品描述	认证依据
1	可信密码模块	可信计算密码支撑平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。	GM/T 0012《可信计算可信密码模块接口规范》     GM/T 0028《密码模块安全技术要求》
2	智能IC卡密钥管理系统	针对智能IC卡应用所需的密钥生命周期统一管理系统，为使用密钥的智能IC卡相关业务系统提供密钥服务功能。	GM/T 0107《智能IC卡密钥管理系统基本技术要求》
3	云服务器密码机	在云计算环境下，采用虚拟化技术，以网络形式，为多个租户的应用系统提供密码服务的服务器密码机。	GM/T 0104《云服务器密码机技术规范》     GM/T 0028《密码模块安全技术要求》
4	随机数发生器	软件随机数发生器：产生随机二元序列的程序。     硬件随机数发生器：产生随机二元序列的器件。	软件随机数发生器：     GM/T 0103《随机数发生器总体框架》     GM/T 0105《软件随机数发生器设计指南》     GM/T 0028《密码模块安全技术要求》
			硬件随机数发生器：     GM/T 0078《密码随机数生成模块设计指南》     GM/T 0103《随机数发生器总体框架》     GM/T 0028《密码模块安全技术要求》
5	区块链密码模块	以区块链技术为核心，用于用户安全、共识安全、账本保护、对等网络安全、计算和存储安全、隐私保护、身份认证和管理等的密码模块。	GM/T 0111 《区块链密码应用技术要求》     GM/T 0028《密码模块安全技术要求》
6	安全浏览器密码模块	具有浏览器内核、浏览器界面、密码算法/传输层密码协议逻辑运算模块等组成的浏览器密码模块。	GM/T 0087《浏览器密码应用接口规范》     GM/T 0028《密码模块安全技术要求》     GB/T 38636《信息安全技术传输层密码协议（TLCP）》

安钢

市场监管总局  国家密码管理局关于发布《商用密码产品认证目录

（第一批）》《商用密码产品认证规则》的公告（2020年第23号）

     为贯彻落实《中华人民共和国密码法》，建立完善商用密码产品认证体系，根据《国家密码管理局  市场监管总局关于调整商用密码产品管理方式的公告》（国家密码管理局  市场监管总局公告第39号）、《市场监管总局  国家密码管理局关于开展商用密码检测认证工作的实施意见》（国市监认证〔2020〕50号），现对《商用密码产品认证目录（第一批）》《商用密码产品认证规则》予以发布，自发布之日起实施。

     附件：1.商用密码产品认证目录（第一批）

     2.商用密码产品认证规则

                                                                          市场监管总局   国家密码管理局

                                                                                        2020年5月9日

附件 1

商用密码产品认证目录（第一批）

序号	产品种类	产品描述	认证依据
1	智能密码钥匙	实现密码运算、密钥管理功能的终端密码设备，一般使用	GM/T 0027《智能密码钥匙技术规范》     GM/T 0028《密码模块安全技术要求》
2	智能IC卡	实现密码运算和密钥管理功能的含 CPU（中央处理器）的集成电路卡，包括应用于金融等行业领域的智能 IC 卡。	GM/T 0041《智能 IC 卡密码检测规范》     GM/T 0028《密码模块安全技术要求》
3	POS密码应用系统ATM密码应用系统多功能密码应用互联网终端	为金融终端设备提供密码服务的密码应用系统。	GM/T 0028《密码模块安全技术要求》     JR/T 0025-2018《中国金融集成电路（IC）卡规范     第 7 部分：借记贷记应用安全规范》
4	PCI-E/PCI密码卡	具有密码运算功能和自身安全保护功能的 PCI 硬件板卡设备。	《PCI   密码卡技术规范》     GM/T 0018《密码设备应用接口规范》     GM/T 0028《密码模块安全技术要求》
5	IPSec VPN产品/安全网关	基于   IPSec 协议，在通信网络中构建安全通道的设备。	IPSec VPN 产品：     GM/T 0022《IPSec VPN 技术规范》     GM/T 0028《密码模块安全技术要求》
			IPSec VPN 安全网关：     GM/T 0023《IPSec VPN 网关产品规范》     GM/T 0028《密码模块安全技术要求
6	SSL VPN产品/安全网关	基于 SSL/TLS 协议，在通信网络中构建安全通道的设备。	SSL VPN 产品：     GM/T 0024《SSL VPN 技术规范》     GM/T 0028《密码模块安全技术要求》
			SSL VPN 安全网关：     GM/T 0025《SSL VPN 网关产品规范》     GM/T 0028《密码模块安全技术要求》
7	安全认证网关	采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务的设备。	GM/T 0026《安全认证网关产品规范》     GM/T 0028《密码模块安全技术要求》
8	密码键盘	用于保护 PIN 输入安全并对 PIN 进行加密的独立式密码模块。包括 POS 主机等设备的外接加密密码键盘和无人值守（自助）终端的加密 PIN 键盘。	GM/T 0049《密码键盘密码检测规范》     GM/T 0028《密码模块安全技术要求》
9	金融数据密码机	用于确保金融数据安全，并符合金融磁条卡、IC 卡业务特点的，主要实现 PIN 加密、PIN 转加密、MAC 产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备。	GM/T 0045《金融数据密码机技术规范》     GM/T 0028《密码模块安全技术要求》
10	服务器密码机	能独立或并行为多个应用实体提供密码运算、密钥管理等功能的设备。	GM/T 0030《服务器密码机技术规范》     GM/T 0028《密码模块安全技术要求》
11	签名验签服务器	用于服务端的，为应用实体提供基于 PKI 体系和数字证书的数字签名、验证签名等运算功能的服务器。	GM/T 0029《签名验签服务器技术规范》     GM/T 0028《密码模块安全技术要求》
12	时间戳服务器	基于公钥密码基础设施应用技术体系框架内的时间戳服务相关设备。	GM/T 0033《时间戳接口规范》     GM/T 0028《密码模块安全技术要求》
13	安全门禁系统	采用密码技术，确定用户身份和用户权限的门禁控制系统。	GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》
14	动态令牌     动态令牌认证系统	动态令牌：生成并显示动态口令的载体。     动态令牌认证系统：对动态口令进行认证，对动态令牌进行管理的系统。	动态令牌：     GM/T 0021《动态口令密码应用技术规范》     GM/T 0028《密码模块安全技术要求》
			动态令牌认证系统：     GM/T 0021《动态口令密码应用技术规范》
15	安全电子签章系统	提供电子印章管理、电子签章/验章等功能的密码应用系统。	GM/T0031《安全电子签章密码技术规范》
16	电文件密码应用系统	在电子文件创建、修改、授权、阅读、签批、盖章、打印、添加水印、流转、存档和销毁等操作中提供密码运算、密钥管理等功能的应用系统。	GM/T 0055《电子文件密码应用技术规范》
17	可信计算密码支撑平台	采取密码技术，为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。	GM/T 0011《可信计算 密码支撑平台功能与接口规范》     GM/T 0012《可信计算 可信密码模块接口规范》     GM/T 0058《可信计算 TCM 服务模块接口规范》     GM/T 0028《密码模块安全技术要求》
18	证书认证系统     证书认证密钥管理系统	证书认证系统：对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。     证书认证密钥管理系统：对生命周期内的加密证书密钥对进行全过程管理的系统。	GM/T 0034《基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范》
19	对称密钥管理产品	为密码应用系统生产、分发和管理对称密钥的系统及设备。	GM/T0051《密码设备管理对称密钥管理技术规范》
20	安全芯片	含密码算法、安全功能，可实现密钥管理机制的集成电路芯片。	GM/T0008《安全芯片密码检测准则》
21	电子标签芯片	采用密码技术，载有与预期应用相关的电子识别信息，用于射频识别的芯片。	GM/T 0035.2《射频识别系统密码应用技术要求第 2 部分：电子标签芯片密码应用技术要求》
22	其他密码模块	实现密码运算、密钥管理等安全功能的软件、硬件、固件及其组合，包括软件密码模块、硬件密码模块等。	GM/T 0028《密码模块安全技术要求》

注：1.上述产品中的密码算法应为符合 GM/T0001《祖冲之序列密码算法》、GM/T 0002《SM4 分组密码算法》、GM/T 0003《SM2 椭圆曲线公钥密码算法》、GM/T 0004《SM3 密码杂凑算法》、GM/T 0009《SM2 密码算法使用规范》、GM/T 0010《SM2 密码算法加密签名消息语法规范》、GM/T0044《SM9 标识密码算法》等国家密码管理要求的密码算法。

2.上述产品的随机数检测应遵循 GM/T 0005《随机性检测规范》、GM/T 0062《密码产品随机数检测要求》。

3.上述标准如未特别注明年代号，原则上应执行其最新版本（包括所有的修改单）。

安钢

附件2：

商用密码产品认证规则

目录
1 适用范围....................................................................1
2 认证模式....................................................................1
3 认证单元划分.............................................................1
4 认证实施程序..............................................................1
4.1 认证委托.................................................................1
4.2 型式试验.................................................................1
4.3 初始工厂检查...........................................................2
4.4 认证评价与决定.......................................................2
4.5 获证后监督..............................................................2
4.6 认证时限.................................................................3
5 认证证书....................................................................3
5.1 认证证书的保持.......................................................3
5.2 认证证书覆盖产品的变更..........................................3
5.3 认证证书覆盖产品的扩展..........................................3
5.4 认证证书的暂停、注销和撤销...................................4
5.5 认证证书的使用.......................................................4
6 认证标志....................................................................4
7 认证实施细则.............................................................4
8 认证责任....................................................................5
附件商用密码产品认证标志管理要求...............................6


1 适用范围

本规则依据《中华人民共和国密码法》《中华人民共和国认证认可条例》制定，规定了市场监管总局和国家密码管理局发布的《商用密码产品认证目录》中的产品，实施商用密码产品认证的基本原则和要求。

2 认证模式

商用密码产品认证模式为：

型式试验+初始工厂检查+获证后监督

认证机构可对获证产品生产企业的扩项产品认证委托，减免初始工厂检查环节。

3 认证单元划分

原则上应按产品型号的不同划分认证单元。同一认证单元内有多个版本的产品时，认证委托人应提交不同版本间的差异说明，必要时还应进行补充差异试验。

4 认证实施程序

4.1 认证委托

认证机构应明确认证委托资料要求，包括产品技术文档，生产能力、质量保障能力、安全保障能力说明等。

认证委托人应按认证机构要求提交认证委托资料，认证机构在对认证委托资料审核后及时反馈是否受理的信息。

4.2 型式试验

认证机构应根据认证委托资料制定型式试验方案，包括型式试验的样品要求和数量、检测标准项目、检测机构信息等，并通知认证委托人。

认证委托人应按型式试验方案提供样品至检测机构，并保证样品与实际生产产品一致；必要时，认证机构也可采用生产现场抽样的方式获得样品。认证委托人可在认证结束后取回型式试验样品。

检测机构应对型式试验全过程作出完整记录，并妥善管理、保存、保密相关资料，确保在认证有效期内检测结果可追溯。型式试验结束后，及时向认证机构和认证委托人出具型式试验报告。

4.3 初始工厂检查

认证机构应根据产品认证通用要求，结合GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准对认证委托产品的生产企业实施初始工厂检查，检查内容包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。

4.4 认证评价与决定

认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价，作出认证决定。对符合认证要求的，颁发认证证书并允许使用认证标志；对暂不符合认证要求的，可要求认证委托人限期整改，整改后仍不符合的则书面通知认证委托人终止认证。

4.5 获证后监督

认证机构应对认证有效期内的获证产品和生产企业进行持续监督。获证后监督可不预先通知生产企业，一般采用工厂检查的方式实施，必要时可在生产现场或市场抽样检测。

认证机构对获证后监督结论和相关资料信息进行综合评价，评价通过的，可继续保持认证证书、使用认证标志；不通过的，认证机构应当根据相应情形做出暂停或者撤销认证证书的处理。

4.6 认证时限

认证机构应对认证各环节的时限做出明确规定，并确保相关工作按时限要求完成。认证委托人须对认证活动予以积极配合。

5 认证证书

5.1 认证证书的保持

认证证书有效期为5 年，并通过认证机构的获证后监督保持效力。证书到期需延续使用的，认证委托人应在有效期届满前6 个月内提出认证委托。认证机构应采用获证后监督的方式对符合认证要求的委托换发新证书。

5.2 认证证书覆盖产品的变更

获证后的产品或其生产者、生产企业等发生变化时，认证委托人应向认证机构提出变更委托。

认证机构根据变更的内容，对委托资料进行审核，确定是否可以批准变更。如需样品检测和/或工厂检查，应在检测和/或检查合格后方能批准。

5.3 认证证书覆盖产品的扩展

认证委托人需要增加已经获得的认证证书覆盖的产品范围时，应向认证机构提出扩展委托，并提供扩展产品和获证产品之间的差异说明。

认证机构可采用委托资料审核、补充差异试验和/或工厂检查的方式核查原认证结果对扩展产品的有效性。核查通过的，由认证机构换发新证书。

5.4 认证证书的暂停、注销和撤销

认证证书的暂停、注销和撤销依据有关规定执行。认证机构应采用适当方式对外公布被暂停、注销和撤销的产品认证证书。

5.5 认证证书的使用

认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中，但不得利用认证证书

和相关文字、符号，误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证。宣传认证结果时不应损害认证机构的声誉。

6 认证标志

商用密码产品认证实行统一的认证标志管理。

标志的样式和使用应符合《商用密码产品认证标志管理要求》（详见附件）。

7 认证实施细则

认证机构应依据本规则的原则和要求，细化认证实施程序，制定科学、合理、可操作的认证实施细则，并对外公布实施。

8 认证责任

认证机构应对其做出的认证结论负责。

检测机构应对检测结果和检测报告负责。

认证机构及其所委派的工厂检查员应对工厂检查结论负责。

认证委托人应对其所提交的委托资料及样品的真实性、合法性负责。

附件

商用密码产品认证标志管理要求

一、标志样式

（一）商用密码产品认证标志的样式由基本图案和认证机构名称

缩写（图中ABCDE）组成，见下图。

（二）认证标志的颜色为白色底版，基本图案为黑色（CMYK0/60/0/100，Pantone Process Black），认证机构名称缩写颜色与基本图案相同。
（三）认证标志的尺寸应等比例放大或缩小，放大或缩小后的标志应清晰可辨，标志必须完整，不得将其变形使用。

二、标志使用要求
（一）标志的制作
认证标志的制作、发放由颁发证书的认证机构承担。

（二）标志的使用
1.认证标志应加施在铭牌或产品外体的明显位置上；获证产品本体上不能加施认证标志的，其认证标志必须加施在最小的产品外包装上及随附文件中。

2.软件产品应在其软件包装/载体上加施认证标志，如该软件产品不使用包装/载体，则应在软件使用的许可协议中的显著位置明示该产品已获认证。

3.获证产品的外包装上可以加施认证标志。


4.获证企业应建立认证标志使用管理制度，对认证标志的使用情况如实记录和存档。

5.应符合认证标志有关法规和规定的相关要求。

（三）监督管理与罚则
按认证标志有关法规和规定执行。