來了！ 一文了解商用密碼檢測認證

商用密碼產(chǎn)品可分為軟件、芯片、模塊、板卡、整機、系統(tǒng)六類。典型的商用密碼產(chǎn)品包括:密碼機，如鏈路密碼機、網(wǎng)絡(luò)密碼機、服務(wù)器密碼機、傳真密碼機、電話密碼機等；密碼芯片和模塊，如第二代居民身份證、智能電卡、社會保障卡、金融芯片卡中使用的密碼芯片、可信計算密碼模塊等。

商用密碼服務(wù)，是指基于商用密碼專業(yè)技術(shù)、技能和設(shè)施，為他人提供集成、運營、監(jiān)理等商用密碼支持和保障的活動。

典型的商用密碼服務(wù)包括：密碼保障系統(tǒng)集成（如數(shù)字證書認證系統(tǒng)集成），是指為他人集成建設(shè)實現(xiàn)密碼功能的系統(tǒng)，保護他人網(wǎng)絡(luò)與信息系統(tǒng)的安全。密碼保障系統(tǒng)運營（如增值稅發(fā)票防偽稅控系統(tǒng)運營），是指為保證他人實現(xiàn)密碼功能的系統(tǒng)的正常運行提供安全管理和維護。

商用密碼檢測認證是商用密碼治理體系的重要基礎(chǔ)，在商用密碼市場準入、事中事后監(jiān)管、應用推進等方面發(fā)揮著關(guān)鍵支撐作用：面向商用密碼從業(yè)單位能夠引導提質(zhì)升級，增加市場有效供給；面向管理部門能夠支持行政監(jiān)管，提高市場監(jiān)管效能；面向社會各方能夠推動誠信建設(shè)，營造良好市場環(huán)境；面向國際市場能夠促進規(guī)則對接，提升市場開放程度。

《密碼法》第二十五條第一款明確提出推進商用密碼檢測認證體系建設(shè)，這是深化商用密碼行政審批制度改革的重要內(nèi)容，是依法管理商用密碼、規(guī)范和促進商用密碼應用、加強密碼監(jiān)管、增強商用密碼安全保障能力的重要支撐。同時《密碼法》第二十五條還明確了在商用密碼檢測認證中，自愿檢測認證是主要方式。

四、我國商用密碼檢測機構(gòu)和認證機構(gòu)現(xiàn)狀

截至2019年12月，通過審批的商用密碼產(chǎn)品檢測機構(gòu)共有3家，開展了智能密碼鑰匙、智能IC卡、POS密碼應用系統(tǒng)、PCI-E密碼卡、IPSecVPN安全網(wǎng)關(guān)、SSLVPN安全網(wǎng)關(guān)、安全認證網(wǎng)關(guān)、密碼鍵盤、金融數(shù)據(jù)密碼機、服務(wù)器密碼機、簽名驗簽服務(wù)器、時間戳服務(wù)器、安全門禁系統(tǒng)、動態(tài)令牌認證系統(tǒng)、安全電子簽章系統(tǒng)、電子文件密碼應用系統(tǒng)、可信計算類密碼產(chǎn)品等的檢測工作，完成了近2000款產(chǎn)品的密碼檢測、數(shù)百個信息系統(tǒng)的安全性評估。

目前，商用密碼領(lǐng)域已有1家專門認證機構(gòu)。與此同時，有關(guān)部門通過建立跨領(lǐng)域、跨行業(yè)的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品、信息安全產(chǎn)品和密碼應用系統(tǒng)密碼檢測認證機制，加強與金融、電力、通信、社保、交通等重點領(lǐng)域、行業(yè)的檢測與認證技術(shù)交流，聯(lián)合金融領(lǐng)域檢測認證機構(gòu)開展金融系統(tǒng)密碼測評和認證，共同推動商用密碼檢測認證能力提升。

《密碼法》第二十五條規(guī)定：商用密碼檢測、認證機構(gòu)應當依法取得相關(guān)資質(zhì)，并依照法律、行政法規(guī)的規(guī)定和商用密碼檢測認證技術(shù)規(guī)范、規(guī)則開展商用密碼檢測認證。

按照“放管服”改革要求，《密碼法》將商用密碼檢測、認證機構(gòu)資質(zhì)納入《認證認可條例》規(guī)定的認證認可制度體系中，由市場監(jiān)管總局(國家認證認可監(jiān)督管理委員會)會同國家密碼管理局進行管理。商用密碼檢測、認證機構(gòu)應當分別取得商用密碼檢測、認證機構(gòu)資質(zhì)。商用密碼檢測、認證機構(gòu)依照《認證認可條例》等法律法規(guī)的規(guī)定和商用密碼檢測認證技術(shù)規(guī)范、規(guī)則開展檢測認證活動。將商用密碼檢測認證制度納入國家統(tǒng)一的檢測認證制度體系，有利于增強商用密碼檢測認證制度的權(quán)威性、統(tǒng)一性。

在從事商用密碼檢測、認證活動的過程中，由于工作需要，商用密碼檢測、認證機構(gòu)能夠深入到所檢測認證的商用密碼產(chǎn)品、服務(wù)及其相關(guān)產(chǎn)品生產(chǎn)單位、服務(wù)提供單位中去，有可能接觸到有關(guān)商業(yè)秘密乃至國家秘密。雖然商用密碼檢測、認證機構(gòu)知悉國家秘密和商業(yè)秘密的途徑是合法的，是在依法或依約定進行檢測認證活動的過程中獲取的，但是如果將這些秘密泄露給他人，就會損害國家安全和利益，或者損害商業(yè)秘密權(quán)利人的利益。

因此，參照《認證認可條例》的規(guī)定，《密碼法》第二十五條規(guī)定：商用密碼檢測、認證機構(gòu)應當對其在商用密碼檢測認證中所知悉的國家秘密和商業(yè)秘密承擔保密義務(wù)。

《密碼法》第二十六條規(guī)定：涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應當依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機構(gòu)檢測認證合格后，方可銷售或者提供。

對特定商用密碼產(chǎn)品實行強制性檢測認證，主要有三個方面的考慮：

一是該制度是維護國家安全和社會公共利益的需要。商用密碼產(chǎn)品是一種專業(yè)技術(shù)性很強的特殊產(chǎn)品，廣泛應用于國民經(jīng)濟和社會發(fā)展各領(lǐng)域，應用于關(guān)鍵信息基礎(chǔ)設(shè)施，其質(zhì)量與安全性直接關(guān)系國家安全和社會公共利益，需要通過檢測認證的方式對其質(zhì)量與安全性進行技術(shù)把關(guān)，規(guī)范商用密碼產(chǎn)品市場準入。

二是該制度與《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品強制性檢測認證制度銜接一致。涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品作為網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的一部分，依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由國家密碼管理局會同國家互聯(lián)網(wǎng)信息辦公室、國家認證認可監(jiān)督管理委員會等部門共同制定目錄，共同認定檢測、認證機構(gòu),共同開展檢測認證。

三是強制性檢測認證實施范圍有限。強制性檢測認證制度僅適用于涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，并通過制定產(chǎn)品目錄明確界定管理范圍，不會對市場和產(chǎn)業(yè)構(gòu)成不必要的限制。

為充分體現(xiàn)“放管服”改革精神,切實降低企業(yè)負擔，節(jié)約檢測認證資源，《密碼法》第二十六條規(guī)定：商用密碼產(chǎn)品檢測認證適用《中華人民共和國網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定，避免重復檢測認證。

具體做法包括：

一是制定并公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，提高檢測認證的透明度，避免適用檢測認證制度的產(chǎn)品的重復。

二是推動檢測認證結(jié)果互認，減少某一類產(chǎn)品檢測認證項目的重復。

注：內(nèi)容來源國家密碼管理局網(wǎng)站，密碼頭條綜合整理！