商用密码管理法规介绍--.doc-道客多多

资源描述

1、艚匪干觚昂瞠妾颗策咣断管理学资料管理学资料恼悃人舜噻仅权微貉敛鋈精华精华遍镗氦鼙褶幼席沓患型芹琛樽榄裨肷篇栏屎痖哌试槿颟耗俎懂吝噱矬冢颥桦裢僵涿肖寮樵辈痣车悍艰迁孔安倩疬鲷俭康来赀镦二一八二一八年十月宗拌虺殴揪俩利淘凶薹文薏人坛辜傈姑匦蜗齿鲒僻揍伥嬷蓄蝶歇扰丧铆炮裼鲐雍镣氘俨涔擅笫窍耻拗蹂弯癌保蛟盛杠鳕缱劐统管理学资料管理学资料岗熵谡某卢筏笔讦蚓够舁精华精华剂灿淝供锟哚蠼饧鲮缱耳邱灭暴街戋丝跚遢井登屠躁缀腈蝎咴谨琴松累这俑列棉恐搦凰殆叟骏梗寤桑

2、纤气疒味逸硬谜堂阽哚郡二一八二一八年十月媛缲岣勾屙篱楫荩纵蝗锃跗碧奶芍阿懦不摊古糜锅胧沽摁唼呼郢杪拦冕舸扪痼晏罐竦醺嗄漏锓顿屈亥商用密码管理法规介绍寰榻姥馑庖珉柑蝎潼箧棒仙棰饣酃舶鳖炸铀堰祧渲大家好。按照培训安排，今天由我为大家作一次商用密码管理法规的介绍，我从三个方面给大家介绍：蹋眠简宫仡肠蔸鳞髂荣氤一、商用密码及其管理原则汗诺娣麻鹇岗噍暇瘳媚癣历史上，密码发明之初主要是用于政治和军事目的，二战中著名的中途岛战役、日本海军大将山本五十六命丧太平洋事件，都是广为人知的密码应用故事，从中我们便可看出密码在

3、军事斗争中的突出作用。那么，密码在社会生活中有什么作用？国家为什么要对社会上所使用的密码进行严格管理呢？这是由信息的安全需求所决定的。随着电子、信息技术的迅速发展和计算机网络应用的普及，信息的存取和传递变得越来越容易，这在给我们带来方便快捷的同时，也使信息安全时时面临着威胁。稍有不慎，我们存于电脑的信息就有可能被拷贝，我们在网上传输的信息就有可能被截获。信息被人非法利用，对信息拥有者个人而言，带来的直接后果就是劳动成果被人非法占有和财产的损失，而在公众事业和商业领域中，则可能带来巨大的经济损失和严重的社会问题，有的甚至可能危及国家安全和国家根本利益。因此，解决信息的安全问题成为各国的一大战略课

4、题，国际上围绕信息的获取、使用和控制的斗争也愈演愈烈。险悃簏厕切槐粑噗汜滠髹密码技术是解决信息安全问题的核心技术，除了用于信息加密外，还用于数据信息签名和安全认证，在保护网络信息安全中起着不可替代的作用，例如：将密码技术应用在电子商务中，对网上交易双方的身份和商业信用进行识别，防止网上电子商务中的“ 黑客” 和欺诈行为；应用于增值税发票中，可以防伪、防篡改，杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为，并大大方便了税务稽查；应用于银行支票鉴别中，可以大大降低利用假支票进行金融诈骗的金融犯罪行为；应用于个人移动通信中，大大增强了通信信息的保密性等等。呕纱踉紫匹筋爰

5、嗖今衽泽为满足社会对密码的广泛需求，1993 年党中央就确定发展商用密码。之所以将社会上用的密码叫“商用密码” ，主要是为了使其区别于党、政、军所使用的密码，将其定位于“对不涉及国家秘密内容的信息进行加密保护或者安全认证”。为保证商用密码健康有序发展，发挥好商用密码在我国信息化发展和社会经济建设中的作用，1996 年党中央决定在我国大力发展商用密码，并确定了“统一领导，集中管理，定点研制，专控经营，满足使用”的商用密码管理原则。跷跤淮谓瑙蹩吴叙巳姘撬那么，对“密码” 的管理都管什么呢？从行业管理的角度来说，目前我们对“ 密码” 的管理主要是管密码技术和密码产品。国家管理密码

6、，就是要对密码产品的研发、生产、销售、使用、进出口等行为进行管理，同时也要对生产这些产品所使用的关键密码技术进行管理。髦匦澳昝捂芜蛆邕昭稿狡二、商用密码管理法规体系建设情况判缗叱煤样眈韬瀣诲葵太自从确定商用密码发展战略以来，我国不断建立健全商用密码监管体制，完善商用密码技术支撑体系和法律法规体系，为商用密码健康发展提供体制和法制保障。釉悭粱田段跣燹蟆哼晃篦在监管体制上，最初商用密码的管理工作由国家密码管理委员会办公室负责，2005 年经中央机构编制委员会批准，国家密码管理委员会办公室正式更名为国家密码管理局，2008 年国务院发布国务院关于部委管理的国家局设置

7、的通知（国发 200812 号），国家密码管理局作为部委管理的国家局正式列入国务院机构序列，主管全国的商用密码管理工作。同时，按照党中央关于加强新形势下密码工作的决定，各级地方政府也都规范了密码管理部门的机构和职责。懋孕圯铿孤咦驮噩扬柱鸩经过 10 多年的建设，商用密码管理的法规体系逐步完善，目前，作为商用密码管理依据的法规主要包括：一部法律，一部行政法规，九个专项管理规定。伯图鲐郴辽逃逵恍皮揩塘“一部法律” 是指电子签名法，该法赋权国家密码管理局对电子认证服务使用密码的行为依法实施管理。魉胴鼙胀篌沫檀幄梧伎坪“一部行政法规” 是指商用密码管理条例

8、。1999 年 10月国务院颁布的商用密码管理条例，明确了商用密码的管理机构、管理体制以及商用密码管理工作的基本原则，对商用密码科研、生产、销售、使用、安全保密等方面的主要制度做出了规定。糙姚舫圪弑阙诎容储夼荤“九个专项管理规定 ”是指商用密码科研管理规定、商用密码产品生产管理规定、商用密码产品销售管理规定、商用密码产品使用管理规定、境外组织和个人在华使用密码产品管理办法、商用密码行政处罚实施办法（试行）、电子认证服务密码管理办法、信息安全等级保护商用密码管理办法、含有密码技术的信息产品政府采购规定。这九个专项管理规定是国家密码管理局根据法律法规的授权，以及商用密码管

9、理工作的现实需要制定的，分别对商用密码科研、生产、销售、使用、行政处罚等行为做出了详细规定。丸馈寝兢猱愍灏籴记绽擀此外，密码相关标准规范也是国家密码管理部门对密码依法实施管理的主要依据，目前由国家密码管理局组织制定并发布的密码相关标准规范共七个，分别是：证书认证系统密码及其相关安全技术规范、数字证书认证系统密码协议规范、数字证书认证系统检测规范、证书认证密钥管理系统检测规范、可信计算密码支撑平台功能与接口规范、IPSec VPN 技术规范、 SSL VPN 技术规范等。这些标准规范都是在业内专家和相关企业广泛参与的基础上制定的，是商用密码技术管理的基本依据。济啮橼击燮痹

10、蜮丈财糨良三、商用密码管理主要法律法规介绍灾柑庵猥踯谁堂炯葜戏奸（一）商用密码管理条例雇姊刊腊掐碟档熠鞣残摔商用密码管理条例是我国商用密码管理工作的基本法律依据，1999 年 10 月 16 日的人民日报评论员文章是这样评价商用密码管理条例的：“国务院制定颁布的商用密码管理条例，是我们党和国家密码事业发展历史上的一个里程碑。它不仅标志着密码应用开始走向社会，进入市场，拓展了更加广阔的服务领域，而且标志着商用密码的使用和管理从一起步就走入了法制化轨道，坚定地贯彻了党和国家依法治国、建设社会主义法治国家的方针大略。 ”期熏纤馁泻恐擞鲫奠鳙雇商用密码管理条例共七章二十七

11、条，内容主要包括以下四个方面：渺诬疸哲政露逦婧缣醐罗1、商用密码管理的目的、原则、机构、对象蔺冒核算所究缯纠跄痛鹚（1）商用密码管理的目的拮篼瞳氡记擗褙霸葳求菽大力发展和严格管理商用密码，既是国民经济建设发展的需要，也是保护公民、法人和其他组织合法权益、维护国家安全和利益的需要，因此，条例第一条就将商用密码的管理目的予以明确。即“ 为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例”。砒竞跄救舾夼甓倾涓狯敝（2）商用密码管理的基本原则胩梯鳎解螬侯琰楦污砘盐条例第三条明确了商用密码管理的基

12、本原则。规定：“国家对商用密码产品的科研、生产、销售和使用实行专控管理” 。“专控管理 ”是党中央确定的发展和管理商用密码的基本方针，也是制定商用密码管理法规所坚持的一个基本原则。之所以要对商用密码实行专控管理，主要有两个方面的原因：其一，随着全球信息化程度的不断提高，密码已经成为各国利益斗争的一个重要内容。可以说，谁掌控了密码，谁就掌控了信息时代的主导权。其二，商用密码是一种特殊产品，属于“两用物项” ，既可以服务于国民经济和社会信息化建设，维护国家的安全和利益，保护公民、法人和其他组织的合法权益，但也可能被违法犯罪分子所利用，给国家侦破、查处违法犯罪活动带来困难。正是由于这两方面

13、的原因，条例才确定了专控管理的基本原则。只有坚持专控管理，保证商用密码科研、生产、销售、使用等各个环节都有序、可控，才能充分发挥商用密码的积极作用，防止其损害公民、法人和其他组织的合法权益，维护国家的安全和利益。唷颅荐瘠酽蜀柔炅腧抖诓（3）商用密码管理的机构狼潭淬址窒孪铳戕钾涑厥条例第四条明确了商用密码管理的机构，同时也明确了国家密码管理机构与省区市密码管理机构之间的委托管理关系。第四条规定：国家密码管理委员会及其办公室（简称国家密码管理机构）主管全国的商用密码管理工作。条例中提到的国家密码管理委员会办公室，已于 2005 年 1 月起更名为国家密码管理局。第四条同时规

14、定，各省、自治区、直辖市负责密码管理的机构，根据国家密码管理机构的委托，承担商用密码的有关管理工作。呻铝燔凭窄簟苯照鼠拟襦（4）商用密码管理的对象惶尼拴尝即撬庙交雹吃捻条例第二条明确了商用密码的定义，实际上也就是商用密码管理的对象。 “本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品” 。这个定义首先在用途上对商用密码进行了限定，即用于保护不涉及国家秘密内容的信息，区别于保护党和国家涉密信息所使用的密码。其次，定义中还明确了商用密码的功用是对信息进行加密保护与安全认证。其中，加密保护是密码的传统应用，安全认证是现代密码的主

15、要应用之一。第三，定义中将商用密码的物质形态归结为“技术” 和 “产品 ”。这一条我们可以理解为：凡是在非涉密领域涉及到使用密码的问题，都应当使用商用密码，都要纳入商用密码的范畴进行统一管理。弘梆残型袋罚肮晋篝候嫘2、商用密码管理的主要环节和制度措施挖牟稹湍讥偶蜞分鬏团柴（1）商用密码管理的主要环节铣颛桄棕苹块滦筠丫诈剁根据条例规定，商用密码管理主要包括以下五个环节：一是商用密码科研环节，二是商用密码产品生产环节，三是商用密码产品销售环节，四是商用密码产品使用环节，五是商用密码产品进出口环节。耔娶俅钴携纹葑秋膛廉髁（2）商用密码管理各环节的制度措施疟蛔

16、匏句菱让妣伏镙佯佳1 科研环节的制度措施碰侗姆跬谒獒悒垓命绱假科研环节的管理制度主要体现在两个方面：一是科研单位资质管理，二是科研成果管理。幢戏好祁俊她盍氰簋畅章关于科研单位资质管理，条例第五条规定，商用密码的科研任务由国家密码管理机构指定的单位承担。同时第五条也规定了商用密码科研单位应当具备的条件。按照条例规定，商用密码指定科研单位必须具有相应的技术力量和设备，能够采用先进的编码理论和技术，编制的商用密码算法具有较高的保密强度和抗攻击能力。教谏谟璋脂秽极声鲽虿舐关于科研成果管理，条例第六条规定，商用密码的科研成果由国家密码管理机构组织专家，按

17、照商用密码技术标准和技术规范审查、鉴定。这一点非常重要，在这里我就不多讲了，因为在后面的科研管理规定中还要专门讲这个问题。喊赖时率求颢饶瘦煅薛辰2 生产环节的制度措施淙桓掂攀泉送戾蛙蜇赊嗖生产环节的管理制度主要体现在三个方面：一是生产单位资质管理，二是商用密码产品品种和型号审批，三是商用密码产品质量检测。谴跏鞭喀啪另卅袢掇纤浠关于生产单位资质管理，条例第七条规定，商用密码产品由国家密码管理机构指定的单位生产。只有指定的单位才能生产商用密码产品，未经指定，任何单位或者个人不得生产商用密码产品。同时条例第七条也规定了指定生产定点单位的条件，这就是：商用密码产品指定生产单

18、位必须具有与生产商用密码产品相适应的技术力量，以及能确保商用密码产品质量的设备、生产工艺和质量保证体系等。囡悒锖拜痹镡乏栊固毙勘关于商用密码产品品种和型号审批，条例第八条规定，商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。这条规定体现了商用密码“专控管理” 的思想，即管理部门批准企业生产什么产品，企业才可以生产什么，带有“ 计划经济 ”的色彩，这也是与条例制定时商用密码当时的发展现状相符合的。同时这个规定也大大方便了商用密码的监督和检查，判断某一个产品是不是商用密码产品，是我们监督、检查中经常遇到的

19、难题，通过查验有没有国家密码管理局批准的品种和型号来判断是否为商用密码产品，就从一定程度上解决了这个问题。膊磺千埃瘵氰顼敢岢屏掌关于商用密码产品质量检测，条例第九条规定，商用密码产品必须经国家密码管理机构指定的产品质量检测机构检测合格。这又是一道关口。也就是说，一款商用密码产品要想进入市场进行销售，不但要有批准的品种和型号，而且必须是经过质量检测合格的产品。这么做，既是从信息安全的角度考虑，也是为了向消费者负责任，防止那些没有安全保障的劣质产品进入市场销售，欺骗和坑害消费者。腋碎嘣獾讣忝枥嗉谴豇谱3 销售环节的制度措施举萄慰爆筢勹瘘湟绮卫尬销售环节的管理制度

20、主要体现在两个方面：一是销售单位资质管理，二是商用密码产品销售登记备案制度。麻嗓虍呙吲噗厣还蜗缀迦关于销售单位资质管理，条例第十条、第十一条规定了商用密码产品销售许可制度以及销售许可的条件。只有取得国家密码管理机构许可的单位才能销售商用密码产品，未经许可，任何单位或者个人都不得从事商用密码产品销售活动。销售商用密码产品应当具备的条件包括：要有熟悉商用密码产品知识和承担售后服务的人员，有完善的销售服务和安全管理规章制度，有独立的法人资格，等等。昱柴铼龈休察劳瞄级犁垄关于商用密码产品销售登记备案制度，条例第十二条规定，销售商用密码产品，必须如实登记直接用户的名称、地址和产

21、品用途等，报国家密码管理局备案。这样做，主要是为了便于管理部门了解和掌握情况，为商用密码的可持续发展以及制定符合实际的产业管理政策等，提供第一手资料。蚝泰襦腭瀣粉鲻蝮朝脸删4 使用环节的制度措施樯炕猜嵘建俩矧毕旅版辞使用环节的管理比较简单，针对不同的使用主体提出了不同的管理要求。对中国的单位和个人有两个方面的要求：一是使用国家密码管理机构认可的商用密码产品，不得使用自行研制或者境外生产的密码产品；二是不得转让商用密码产品，维修、报废、销毁商用密码产品应遵守相应的规定。对境外组织和个人而言，条例第十五条设定了密码产品使用审批制度。除了外国驻华外交代表机构和领事机构，境外组

22、织或者个人在中国境内使用密码产品或者含有密码技术的设备，都要报经国家密码管理机构批准，同时也应遵守相应的规定。瞰痍棋氪挛亠槌悝籼拷箝5 进出口环节的制度措施薪莽穷揽莸象妫雩猖仄喂进出口环节的管理制度主要体现在两个方面：一是密码产品进口审批，二是商用密码产品出口审批。庳饭棱私怯这腽砹成擂尉条例第十三条规定，进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位和个人不得销售境外的密码产品。也就是说，商用密码产品是允许进出口的，但必须要经过批准。大家可能已经注意到了，这里讲的是进口“密码产品” ，出口“商用密码产品”，出现了两个

23、概念。是的，在我国，将用于保护不涉及国家秘密信息的密码产品称为“商用密码产品” ，这是一个密码产品分类的概念，对国外的 “密码产品”而言，这种分类的概念在多数情况下是不适用的，对于国家秘密，各国是有不同的标准和保护政策的。金昃先脚承苏马丑抻壶薤进出口环节的管理与我们海关的业务联系非常密切。近几年，针对密码产品进出口管理工作，国家密码管理局和海关总署一起开展了很多研究，制定了进出口管理的产品目录，明确了进出口审批的工作流程。下一步，我们还将研究制定密码产品进出口管理规定，通过修订商用密码管理条例，对进出口的相关条款进行细化，增强可操作性。歧维芎坤沟旦咻润槊嗬癸3、商用密

24、码安全、保密管理的相关要求阌玛又蔌速趼诏窘顾蘑义条例第五章集中规定了商用密码安全、保密管理的相关要求，共有三条规定。条例第十七条规定了安全保密的一般要求。一方面，商用密码产品的科研、生产、销售、运输、保管都要有相应的安全保密措施；另一方面，掌握商用密码技术秘密的人员应当承担保密义务。为什么要这么规定？因为总则第三条第一句话就说：商用密码技术属于国家秘密。既然是“国家秘密 ”，当然就存在一个保守秘密的问题，对科研、生产、销售、运输、保管以及相关人员提出安全保密要求，也是理所应当的。大家在这里要区分一个概念，就是商用密码技术属于国家秘密（主要指算法、安全协议等），但商用密码产品并不

25、是国家秘密。这就好比说， “可口可乐” 这种饮料的配方是保密的，但“可口可乐” 饮料并不保密一样。条例第十八条规定，宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准，主要也是为了预防商用密码技术泄密。条例第十九条规定，任何单位和个人不得非法攻击商用密码，不得利用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。这里有两层意思：一是不得非法攻击。也就是未经国家相关部门的允许，不能对社会上正在使用的合法的商用密码及相关产品进行分析破解。比如：通过分析破解网上银行所采用的密码技术进行金融诈骗，通过分析破解社会上合法使用的储值卡非法获利，这些都是非法攻击商用密码的违法行为，

26、都要受到法律的制裁。二是不得利用密码危害国家安全和利益、危害社会治安或者进行其他违法犯罪活动。为什么要这样规定？就是因为我们前面所说的密码属于“两用物项” ，既可以被公民、法人和其他组织用来保护合法的敏感信息，也可能被犯罪分子所利用，保护非法信息，掩盖犯罪事实。所以，这样规定十分必要。壬搡趟座闾嫖嘌词郑搪赓4、违反商用密码管理法规的处罚措施懑扒翘锭架鳝敲凭烧唐瞅条例第六章集中规定了对违反商用密码管理法规的处罚措施。这一章规定得比较仔细，在这一章里，明确了国家密码管理机构与工商、公安、国家安全、海关、保密等部门会同执法的处罚机制。条例设定的行政处罚共有五种

27、：一是警告；二是罚款；三是没收密码产品和违法所得；四是撤销资质和吊销许可证；五是行政拘留。从行政处罚实施主体的角度来看，这些处罚包括三种情况：（1）由国家密码管理机构单独实施处罚，这种情况比较少，仅仅限于撤销商用密码指定科研、生产单位资格，吊销商用密码产品销售许可证的处罚；（2）由国家密码管理机构会同相关部门共同实施处罚，警告、罚款、没收密码产品、没收违法所得的处罚，都要根据不同情况，分别会同工商、公安、国家安全、海关、保密等部门共同实施，条例中绝大多数处罚都属于这种情况；（3）由国家安全机关单独实施处罚，比如泄露商用密码技术秘密、非法攻击商用密码，如果有危害国家安全的行为，则由国家安全机关

28、予以行政拘留。此外，条例还规定，商用密码管理机构工作人员滥用职权、玩忽职守、徇私舞弊，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。郭韬氧恶桐萋脯诬泄甜你以上简要介绍了条例的主要内容。应该说，条例的大部分规定都比较原则，具体操作层面的内容比较少。也正因为如此，条例第二十六条授权国家密码管理机构可以依据本条例制定有关的具体管理规定，下面我们将要介绍的商用密码科研、生产、销售、使用等几个专项管理规定就是根据条例的这项授权而制定和公布的。渊镣肽钲棕创岈猕溻髋欺（二）商用密码科研管理规定纠飨差毙迫踞苴倒逢顼珙商用密码科研管理规定，是

29、国家密码管理局为了加强商用密码科研管理，促进商用密码技术进步，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下四个方面：洗诼发夏抹樽慝租笑荽放1商用密码科研管理的范围界定泣莎锶蓟嗨续梭怒戎耿鞴科研管理规定第二条对商用密码科研管理范围作出了界定。规定“商用密码体制、协议、算法及其技术规范的科研活动适用本规定，学术和理论研究除外”。之所以制定这条规定，主要是因为商用密码科研活动的范围很广，而需要国家管理和规范的应该限于商用密码科研中涉及商用密码体制、协议、算法及其技术规范等深层次、基础性问题，对于一般性的密码学术研究、密码基础理论研究、密码教学研究、以及商用密码产品生产过

30、程中普通的技术研究活动等等，就不必纳入国家商用密码管理范畴。郇氘鬈浴颠糅蛔嘁福嫂路2科研定点单位资质管理的相关要求纺胬掾渖垒皆瑟腋糟领忙（1）规定了科研定点单位的指定条件和程序。按照行政许可法的要求，科研管理规定第五条、第六条明确规定了科研定点单位指定的条件和程序。粢陛歉傥凄兹萏谓芒脍哄国家密码管理局根据商用密码发展以及科研的需要，指定商用密码科研定点单位。指定的商用密码科研定点单位必须符合科研管理规定所确定的条件：具备独立法人资格;具有从事密码科研相应的力量和设备;能够采用先进的编码理论和技术，编制具有较高保密强度和抗攻击能力的商用密码算法。仪绞

31、冗髅腠然阵挠藏崛碥国家密码管理局指定科研定点单位原则上定期集中进行，并且要按科研管理规定所确定的程序进行指定。关郅聩安萆溃艮茛斥撼谄（2）规定了科研资质证书和期限。被指定为商用密码科研定点单位的，由国家密码管理局发给商用密码科研定点单位证书并予以公布。商用密码科研定点单位证书有效期为 6 年。嫁哞蝗媪空珥杷尖逮全枳（3）规定了科研定点单位年度考核制度。国家密码管理局对科研定点单位每年考核一次，考核不合格的，撤销其科研资质。涸褛颦啶劈禽尬污胬汊挂（4）规定了企业情况发生变化时资质管理的相关要求。对于单位名称、住所、法定代表人变更的，因不影响定点单位的资

32、质条件，只需办理换证或者备案手续就可以了。单位隶属关系、资本结构、科研能力等方面的变化，可能会导致其不再符合科研定点单位的资质条件，因此，要求定点单位将这些方面的变化情况报告国家密码管理局，国家密码管理局将对其科研定点单位资质重新进行认定。哏颃囱江泶冉躔佬邓汩逅3科研项目及项目成果管理的相关要求毹榨鹘陈赧翩旬缡蛤邳集在科研项目管理上，区分国家密码管理局下达项目和科研定点单位自选项目。对于下达项目，借鉴科技部等部门的做法，采用项目任务书的方式进行管理。国家密码管理局要与项目承担单位签订任务书，明确项目名称、设计要求、技术指标、进度要求、成果形式等内容。项目研制过程中，国家密

33、码管理局还要对项目的进展情况进行检查。项目完成后，国家密码管理局组织专家进行评审验收。对于自选项目，只要求企业将在研项目报国家密码管理局备案即可，对于项目进展情况则不予干预。蜕畹邓抿些虬矩醪么氚悌在项目成果管理上，不管是下达项目还是自选项目，成果的推广应用都由国家密码管理局决定并统一组织。未通过验收或鉴定的商用密码科研项目成果，不得投入应用。科研方面的专控管理集中体现在这一条上。酸芜曾成拮赕畹濑脾伺尢4科研环节安全保密的相关要求姑匮醒赊笨排沧纟耙邮珥第十五条至第十九条规定了科研环节的安全保密要求。这些要求，既有针对科研定点单位及其人员的，也有针对项目

34、评审专家和密码管理部门工作人员的。这些规定，一方面是为了保护商用密码技术秘密，维护国家利益；另一方面也是为了保护科研定点单位的商业秘密，维护企业的合法权益。这些安全保密的环节包括：商用密码科研定点单位及其人员，应当对所接触和掌握的商用密码技术承担保密义务;商用密码科研定点单位应当建立健全保密规章制度，对其人员进行保密教育;商用密码科研活动应当在符合安全保密要求的环境中进行;商用密码技术资料应当由专人保管，并采取相应的保密措施，防止商用密码技术的泄露;商用密码科研定点单位不得雇用外籍人员或者境外人员参与商用密码科研活动;参与商用密码科研项目评审、管理的专家和工作人员，应当对研究内容、技术方案

35、和科研成果承担保密义务。袜举眙憔隰蹦搐奏厂遥逃（三）商用密码产品生产管理规定轶舻菟礅痣护勉炎垂断启商用密码产品生产管理规定，是国家密码管理局为了加强商用密码产品生产管理，规范商用密码产品生产活动，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下四个方面：谩逋濮浙攸谢劲氯妻艾监1生产定点单位资质管理的相关要求帷闰鞴伪钞筮瓤特愎唇盯（1）规定了生产定点单位的指定条件和程序。与科研管理一样，生产定点单位也是由国家密码管理局指定的。国家密码管理局根据商用密码发展的需要，指定商用密码产品生产定点单位。指定的商用密码生产定点单位必须符合产品生产管理

36、规定所确定的条件：具备独立的法人资格;具有与开发、生产商用密码产品相适应的技术力量和场所;具有确保商用密码产品质量的设备、生产工艺和质量保证体系，同时还要满足法律、行政法规规定的其它条件。窃偿殇痢噻簋疟裙胡圹吏国家密码管理局指定科研定点单位原则上定期集中进行，并且要按产品生产管理规定所确定的程序进行指定。需要说明的是，企业取得生产定点单位资质后，还应当在规定期限内到当地的工商行政管理部门办理许可经营项目登记手续。第九条对此做出了规定，这与工商行政管理法规的要求也是一致的。硫全教钿罅渭愁鄂笑糕兵（2）规定了生产资质的期限。目前规定生产定点单位资质证书的有效期为 3 年。

37、魔煽羔乌心寇蔓剽俩衙辽（3）规定了生产定点单位年度考核制度。国家密码管理局对生产定点单位每年考核一次，考核不合格的，撤销其生产资质。考核方式是要求生产定点单位在规定时间内填写考核材料，并交所在地的省区市密码管理机构。未在规定时间内填报考核材料的，将视为考核不合格。螳基渴哌怼谟汝蹊隽士莲（4）规定了企业情况发生变化时资质管理的相关要求。单位名称、住所、法定代表人变更的，不影响定点单位的资质条件，只需在变更后持变更证明文件直接到所在地的省区市密码管理部门办理换证或者备案手续就可以了。生产定点单位破产、解散或者被撤销的，企业作为普通民事主体的资格已经不复存在，第十一条第三款规定，出

38、现这些情况时，企业原持有的生产定点单位证书自行失效。篮彤驶釜蜷蟊妇攫楔淹侵2商用密码产品品种和型号的审批程序攵熨泾径援忪毪恶寺颊协商用密码产品品种和型号审批是生产管理的一项重要内容。第十二条、第十三条对产品品种和型号审批的程序做出了具体规定。审批的具体步骤和时限，都是依据行政许可法的要求规定的。金很伟憷连茁渥贽泸胳挂关于产品品种和型号审批，要说明的一点是，产品生产管理规定强化了密码算法管理，将“采用国家密码管理局认可的密码算法”作为产品品种和型号审批的一个前提条件。第十二条第三款规定“ 商用密码产品所采用的密码算法应当是国家密码管理局认可的算法”。这是因

39、为，密码算法是商用密码产品的关键，对于产品技术标准的制定与实施、产品之间的互联互通以及信息安全等级保护等都起着至关重要的作用。这一条规定反映了商用密码管理工作的实际需要，与条例的基本精神也是一致的。丹哮聪狄贽阝几稚婉徘纵3商用密码产品质量管理的相关要求跏泥镡桂椿嘣甑靥用瑛任关于商用密码产品质量管理，产品生产管理规定第十五条对产品认证和质量检测同时做出了规定。对于列入强制性认证目录的商用密码产品，一律按照强制性认证的要求进行管理，需要经国家指定的认证机构认证合格；暂未列入强制性认证目录的产品，由国家指定的质量检测机构检测合格。因此，关于商用密码产品质量管理，采用的是“

40、双轨制” 。强制认证与产品质量检测两种管理方式并存。楞坨鸺卉郊喘螵甓锻栅孪4生产环节安全保密的相关要求翁姝秒跳挑旬障肘嘶辰哉第十六条至第二十条规定了商用密码生产安全保密的具体要求。与科研环节的要求类似，既有针对生产定点单位及其人员的要求，也有针对专家和密码管理部门工作人员的要求。哚滕钯锒饰螈尺斟枳操啸（四）商用密码产品销售管理规定筋推滨沥睢蟾毡锺曳可具商用密码产品销售管理规定，是国家密码管理局为了加强商用密码产品销售管理，规范商用密码产品销售行为，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下三个方面：奠蝴跑旷胼氙卢鬯霏酐犹1销售许可

41、单位资质管理的相关要求嘏贾菪井宝炔佛终彤颇囿（1）规定了销售许可单位的审批条件和程序。国家对商用密码产品的销售实行许可制度，销售商用密码产品应当取得销售许可证。销售资质的取得方式与科研资质和生产资质不同，销售资质不是通过国家密码管理局的指定取得的，而是通过申领销售许可证取得的，这是一个典型的行政许可项目。销售管理规定依据行政许可法和条例的规定，具体规定了销售许可单位的审批条件和审批步骤、时限等。企业取得销售许可证后，同样也应当在规定期限内，到当地工商行政管理部门办理许可经营项目登记手续。目前，我们已经按照行政许可法的要求，在“国家商用密码管理办公室” 网站上公布了销售许可单位的

42、名单。袷到滦垄墀镂绑奂守蔬钡（2）规定了销售资质的期限。与生产资质一样，销售许可证有效期也是 3 年。资质到期后，如果想继续从事商用密码产品销售活动的，应当按照行政许可法的有关规定，提前30 日申请延续。如果没有申请延续，资质有效期届满后，就不能再销售商用密码产品了，国家密码管理局公布的销售许可单位名单中也将删去该单位。岬昙裢讦驴逼淝耋雎埃卸（3）规定了企业情况发生变化时资质管理的相关要求。单位名称、住所、法定代表人变更的，到所在地的省区市密码管理机构办理换证或者备案手续就可以了。单位破产、解散或者被撤销的，企业作为普通民事主体的资格已经不复存在，企业原持有的销售许可证也就自

43、行失效。这条与生产资质管理的规定也是一致的。销售管理规定还对销售许可单位设立分支机构的问题做出规定，设立分支机构不需要重新申领销售许可证，只需要到分支机构所在地的省区市密码管理部门办理备案手续就可以了。卵逅煺冕闼豺伺班芬皂咐2商用密码产品销售管理的相关要求钏川士垂煸猃紊诚舆拾貊销售管理规定第十三条至第十六条规定了商用密码产品销售管理的具体要求。其中最主要的要求是：第一，销售的产品必须是通过强制性认证或者经质量检测合格的产品;第二，商用密码产品销售许可单位不得销售境外研制生产的密码产品;第三，应当如实登记商用密码产品直接用户的相关信息并报密码管理部门备案;第四，商用密码

44、产品销售许可单位将商用密码产品销售给在华的境外组织或者个人的，应当核验其持有的密码产品准用证;第五，商用密码产品销往境外的，按照密码产品出口管理规定办理。柝氲浔榘赜拿宜锁拾红胞3销售环节安全保密的相关要求贿搛戽滤洹鹎籁塥欧弼临销售管理规定第十七条至第二十条，规定了商用密码销售安全保密的具体要求。主要是三个方面：一是宣传、展览商用密码产品须事先报批；二是销售、运输、保管商用密码产品应采取妥善安全措施；三是商用密码产品销售许可单位应当严格执行安全保密管理制度，对其人员进行保密教育。珩桉阱掀安凉中酵谁官廒（五）商用密码产品使用管理规定损蒯怖坟禧猱秧孑

45、债想柯商用密码产品使用管理规定，是国家密码管理局为规范商用密码产品使用行为，根据商用密码管理条例制定的专项管理规定，核心内容主要包括以下三个方面：牟钳疬呷笋舐鲂镐町荬枯1商用密码产品的使用主体和使用范围荮发秩疝斗僧监歧丰历构商用密码管理条例对商用密码产品的使用主体没有做出限定，也就是说，任何单位和个人，无论是我国的党政机关、企事业单位、社会团体、民间组织、公民个人，还是在华的境外组织、外国人，都可以合法使用商用密码产品。所谓“ 合法使用” ，包括两个方面的含义：一是商用密码产品应当用于对不涉及国家秘密内容的信息进行加密保护或者安全认证。反过来说，如果用商用密码产

46、品传输和保护具有国家秘密内容的信息，就超出了合法使用的范围。二是商用密码产品只能在合法的生产、经营、办公、学习等活动中使用，如果在违法犯罪活动中使用商用密码产品，也超出了合法使用的范围。簏降平欠囤庞碾蛆癣鲐嗔关于商用密码产品的使用主体和使用范围，多数人在认识上可能会存在一个误区，认为商用密码产品是商业活动中使用的产品，只能用于保护商业信息，党政机关在政务活动中使用不合适。这个误区可能是由商用密码产品概念本身造成的，与我们管理部门的宣传解释不够也有一定关系。实际上我们对商用密码的使用主体是没有限定的，县乡党政机关等不少单位已经开始在政务活动中大量使用商用密码来保护非涉密敏感信息。畀屑

47、摞庸灶拄掏沸啾鸡螈2外商投资企业使用境外密码产品的审批条件、审批程序和相关要求曹癯龉秫锎撅动张致保崔（1）允许外商投资企业使用境外密码产品椠璀稣卸遁崛脓假蚝彳字商用密码产品使用管理规定中的外商投资企业，主要是指中外合资经营企业、中外合作经营企业、外资企业、外商投资股份有限公司四种形式。手锕壳块干盱锝亮蜈孬擦为什么将外商投资企业使用密码的行为作出专门的规定呢？这是因为，随着信息技术的不断发展和国际经贸合作的日益密切，国内外贸易伙伴使用密码产品保护敏感信息的需求与日俱增，为了满足了国内外贸易伙伴之间密码通信互联互通的需求，经中央密码工作领导小组批

48、准，在严格商用密码管理的同时，允许外商投资企业有条件地使用境外生产的密码产品，但必须按照规定的程序办理准用证。嘎锞遴识装餮隳扼汐郐揪（2）外商投资企业使用境外密码产品的审批条件和程序脊樾崖悍拜脍庥镯鐾赂骸关于外商投资企业使用境外生产的密码产品的审批条件，商用密码产品使用管理规定第九条规定：外商投资企业确因业务需要，必须使用境外生产的密码产品与境外进行互联互通的，经国家密码管理局批准，可以使用境外生产的密码产品。应该说这个条件是比较严格的，只有在有互联互通需求并且只能依靠境外生产的密码产品才能完成的情况下，外商投资企业才能申请使用境外密码产品。戋坦氲锇喃乃蒯蜉榷芳厨关于外商投资企业申请使用境外密码产品的审批程序，与我们前面提到的几个审批程序基本上是一致的，都是严格按照行政许可法规定的，包括提出申请、受理与初审、核准等几个步骤，在此我就不再详细介绍了。蠃凭绠摁预绺瞻茬淖瀑趄需要特别说明的是，如果外商投资企业申请使用的密码产品需要从境外进口，在申领准用证的同时，

展开阅读全文