寰球密码简报(第18期)丨商用密码认证规则及实践
(注:本文内容来源于国家密码管理局商用密码检测中心高级工程师刘芳在2021年5月25日苏州“《网络安全法》实施四周年暨《数据安全法(草案二次审议稿)》《个人信息保护法(草案二次审议稿)》研讨会”上密码法治专题研讨发言)
检测认证制度是市场经济条件下加强质量管理、提高市场效率的基础性制度,其本质属性是“传递信任,服务发展”。党中央、国务院对检测认证工作高度重视。2018年2月,习近平总书记在十九届三中全会上代表中央政治局作工作报告时,专门提到“推进质量认证体系建设”。同年,国务院印发《关于加强质量认证体系建设 促进全面质量管理的意见》,明确将质量认证作为“推进供给侧结构性改革和放管服改革的重要抓手”。检测认证作为国家质量基础设施的重要组成部分,对于加强市场供给、服务市场监管、优化营商环境、推动经济高质量发展发挥着越来越重要的作用。
2020年1月1日,《密码法》正式实施。《密码法》结合新时期商用密码应用和发展需要,对商用密码管理制度作出调整,明确提出“国家推进商用密码检测认证体系建设”。这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。商用密码检测认证制度纳入国家统一的检测认证制度体系,体现了商用密码检测认证制度的权威性和统一性。
一、建立实施商用密码产品认证制度
为了贯彻落实《密码法》的要求,市场监管总局、国家密码管理局共同发布了三个公告,建立了国推商用密码产品认证制度。
2019年12月30日,《关于调整商用密码产品管理方式的公告》明确了取消“商用密码产品品种和型号审批”,建立国家统一推行的商用密码认证制度。
2020年03月31日,《关于开展商用密码检测认证工作的实施意见》确定了商用密码检测认证工作原则与机制。市场监管总局、国家密码管理局根据部门职责,加强检测认证工作的组织实施、监督管理和结果采信,营造有利于商用密码发展的良好市场环境。
2020年5月9日,《关于发布<商用密码产品认证目录>(第一批)和<商用密码产品认证规则>的公告》确定了实施商用密码产品认证的基本原则和要求。
二、稳步开展商用密码产品认证工作
《商用密码产品认证目录(第一批)》中明确了第一批实行商用密码产品认证的22类产品种类和认证依据的标准,涵盖了芯片、模块、板卡、整机、系统等全系列产品,基本可以满足商用密码市场需求。
《商用密码产品认证规则》规定了实施商用密码产品认证的认证模式、认证实施程序、认证证书、认证标志、认证实施细则、认证责任等内容。
认证实施程序主要包括认证委托、型式试验、初始工厂检查、认证评价与决定、获证后监督等环节。
认证委托环节,认证机构要对认证委托方提交的材料进行审核,确保材料齐全并符合要求,及时反馈是否受理的信息。
型式试验环节,检测机构依据认证规则、标准规范、型式试验方案等要求,对一个或多个具有代表性的样品实施检测。型式试验结束后,及时向认证机构和认证委托人出具型式试验报告。
初始工厂检查环节,认证机构派出检查组,根据GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准对生产企业的生产能力、质量保障能力、安全保障能力和产品一致性控制能力实施检查。
认证评价与决定环节,认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价,作出认证决定。对符合认证要求的颁发证书,不符合的则书面通知认证委托方终止认证。
为了保证进入市场的产品始终符合认证的有关要求,认证机构应对认证有效期内的获证产品和生产企业进行持续监督。一般采用工厂检查的方式实施,必要时可在生产现场或市场抽样检测。
目前发放的认证证书有两类。一类是换发证书,一类是新申请证书。换发证书主要针对2020年6月30日后仍在有效期内的原商用密码产品型号证书换发,这类证书与原证书批准型号和有效期保持一致,注明“依照商用密码产品型号证书换发”的字样。新申请证书列明产品名称和型号、版本,产品标准和技术要求,有效期五年。
商用密码产品认证实施以来,除换发认证证书外,新发放认证证书600余张。
三、持续推进商用密码检测认证体系建设
贯彻落实《密码法》,着力推进商用密码检测认证体系建设将成为我们当前和今后一个时期的重点工作。
第一,进一步完善商用密码检测认证工作。依据《商用密码产品认证规则》及22类产品的认证实施细则,不断完善认证委托、型式试验、初始工厂检查、认证评价与决定、获证后监督等认证各环节流程,确保获证产品持续稳定地符合认证依据的标准规范。
第二,进一步提升商用密码检测认证能力。一方面积极开展检测认证关键技术研究,丰富检测认证工具箱,推动产品认证目录不断扩展,保持产品认证的创新和活力。另一方面积极建设公共服务平台,加强对认证企业的培训服务,尽快实现互联网+服务和信息共享,提升企业便利度和满意度。
第三,进一步构建完备的商用密码检测认证体系。在商用密码产品认证基础上,开展商用密码服务认证、管理体系认证的研究,全面推行商用密码认证制度,为构建统一、开放、竞争、有序的商用密码市场体系,促进商用密码产业发展保驾护航。
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,13771998064
投稿邮箱:xieyonghong2015@xjtu.edu.cn
编委会及首届成员简介
2021年5月25日,寰球密码法律政策发展动态编委会在苏州正式成立。编委会为创新学术团体,设立主任一名,委员若干名,每届任期两年。目前,编委会正式聘任委员共24名,分别来自科研机构、高等院校和大型互联网企业等。编委会的职责定位于联合政产学研力量,发挥学术优势,提升我国密码产业发展,为国家密码管理部门提供战略性立法建议和决策咨询,为密码产业、行业安全发展提供合规指引。当下,编委会的常态化工作之一是编撰“寰球密码法律政策发展动态”简报(周刊),供政府、产业及学术同仁参考。
编委会主任:马民虎
编委会委员:白小勇 陈欣新 陈恺 傅彤 顾伟 关非 黄道丽 李振 林鹏 任国强 王思锋 王克 邢少敏 肖志宏 袁慧萍 原浩 杨庆华 翟起滨 张薇 赵宏瑞 朱莉欣 赵丽莉 张丛
注:委员名单按姓氏笔画排序,排名不分先后。
往期简报回顾
“苏州信息安全法学所”