商用密码认证：密码的分类和管理制度

密码的分类

国家对于密码实行分类管理，密码分为核心密码、普通密码和商用密码，分别用来保护不同类型和等级的密码：
核心密码，保护国家秘密，保护绝密级、机密级、秘密级的国家秘密；
普通密码，保护国家秘密，保护机密级、秘密级的国家秘密；
商用密码，保护不属于国家秘密的信息。

密码的管理制度

对于核心密码、普通密码和商用秘密，国家实行分类管理，采取不同的管理制度。

核心密码、普通密码的管理

根据《中华人民共和国密码法》第七条第二款的规定，核心密码、普通密码属于国家秘密。密码管理部门对核心密码、普通密码实行严格统一管理，主要要求为：

建立健全核心密码、普通密码的安全管理制度

从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全。（《密码法》第十五条）

建立核心密码、普通密码的安全预警等协作机制

密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。（《密码法》第十七条）

建立核心密码、普通密码的监督和安全审查制度，开展安全审查

密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展安全审查。（《密码法》第二十条）

商用密码的管理

国家鼓励和促进商用密码产业发展，以非歧视的原则依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。商用密码的管理制度，主要包括有商用密码标准化制度、检测认证制度、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

商用密码标准化制度

国家建立和完善商用密码标准体系。国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。（《密码法》第二十二条、二十三条）

商用密码检测认证制度

对商用密码实行自主认证检测和强制认证相结合。

国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。

涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。（密码法》第二十五条、二十六条）

进口许可和出口管制制度

国家依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

电子政务电子认证服务管理制度

国家对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

日常监管和随机抽查相结合的事中事后监管制度

密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

• 上一篇：《中华人民共和国密码法》颁布两周年工作情况综述
• 下一篇：360安全浏览器喜获商用密码产品认证二级证书