关于我国商用密码标准体系，看这一篇就够了！

1. 关于我国商用密码标准体系，看这一篇就够了！

一、《密码法》关于商用密码标准体系的规定      《密码法》第二十二条规定:国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。      商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。      《密码法》明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。      商用密码国家标准、行业标准属于政府主导制定的标准，商用密码团体标准、企业标准属于市场主体自主制定的标准。      商用密码国家标准由国家标准化管理委员会组织制定，代号为GB。      商用密码行业标准由国家密码管理局组织制定，报国家标准化管理委员会备案，代号为GM。      商用密码团体标准由商用密码领域的学会、协会等社会团体制定，商用密码企业标准由商用密码企业制定或者企业联合制定。二、密码行业标准化技术委员会是我国密码行业唯一标准化组织      2011年10月，经国家标准化管理委员会批准，国家密码管理局设立了密码行业标准化技术委员会。密码行业标准化技术委员会作为我国密码行业唯一标准化组织，受国家密码管理局委托，主要职责包括:      (1)提出密码行业标准规划和年度标准制定、修订计划的建议;      (2)组织密码行业标准的编写、审查、复审等工作;      (3)组织密码领域的国家和行业标准的宣传贯彻，推荐密码领域标准化成果申报科技进步奖励，或向国家标准化管理委员会提出项目奖励建议;      (4)受国家标准化管理委员会委托，对相关国际标准文件进行表决、审查我国提案，并组织开展国际技术交流与合作等。三、我国商用密码标准体系建设情况      截至2019年12月，国家标准化管理委员会已发布商用密码国家标准29项，国家密码管理局已发布商用密码行业标准91项，覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域，构建了较为齐全完备的商用密码标准体系，有效发挥了商用密码标准在引领科技进步、推动产业发展、促进互联互通、助力应用推进、优化管理服务等方面的重要作用。四、商用密码行业标准的分类      当前，商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。      基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、产品等);      检测类标准为基础类标准和应用类标准提供了合法性检测的功能，保障商用密码使用的合法性;      管理类标准为其他三类标准提供了管理功能;      应用类标准为上层具体的密码产品、服务应用提供支持。五、关于商用密码强制性国家标准和推荐性国家标准、行业标准      我国标准按照实施效力分为强制性标准和推荐性标准。强制性标准仅有国家标准一级。推荐性标准包括推荐性国家标准和行业标准。也就是说，商用密码行业标准都是推荐性标准。      强制性标准必须执行，不符合强制性标准的产品、服务，不得生产、销售、进口或者提供。违反强制性标准的，依法承担相应的法律责任。      国家鼓励采用推荐性标准，即从业单位自愿采用推荐性标准。同时国家还会采取一些正向激励措施，鼓励企业采用推荐性标准。但在有些情况下，推荐性标准的效力会发生转化，必须执行，例如:      (1)推荐性标准被相关法律、法规、规章等引用，则该推荐性标准具有相应的强制约束力，应当按照法律、法规、规章的相关规定予以实施。      (2)推荐性标准被企业进行了自我声明公开的，企业必须执行该推荐性标准。企业生产的产品与明示标准不一致的，根据《产品质量法》等法律法规承担相应的法律责任。      (3)推荐性标准被合同双方作为产品或服务交付的质量依据的，该推荐性标准对合同双方具有约束力，双方必须执行该推荐性标准，并依据《合同法》的规定承担法律责任。六、商用密码标准的法律效力      《密码法》第二十四条规定:商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。      商用密码从业单位开展商用密码活动应当依照有关法律、行政法规的规定行使权利和履行义务，是遵守法律的必然要求。商用密码从业单位开展商用密码活动，除了遵守法律、行政法规，还应当符合商用密码强制性国家标准以及该从业单位公开标准的技术要求。此外，国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准。七、我国商用密码国际标准化开展情况      《密码法》第二十三条第一款规定:国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。      我国高度重视商用密码国际标准化工作，大力推进以我国自主设计研制的SM系列密码算法为代表的中国商用密码标准纳入国际标准，积极参与国际标准化活动，加强国际交流合作。      2011年9月，我国设计的祖冲之(ZUC)算法纳入国际第三代合作伙伴计划组织(3GPP)的4G移动通信标准，用于移动通信系统空中传输信道的信息加密和完整性保护，这是我国密码算法首次成为国际标准。      2015年5月起，我国陆续向ISO提出了将SM2、SM3、SM4和SM9算法纳入国际标准的提案。      2017年，SM2和SM9算法正式成为ISO/IEC国际标准。      2018年，SM3算法正式成为ISO/IEC国际标准。      2020年4月， ZUC序列密码算法正式成为ISO/IEC国际标准。      2021年2月，SM9算法正式成为ISO/IEC国际标准。      2021年6月，SM4算法正式成为ISO/IEC国际标准。      (以上最后3条最新发布标准由补充添加)      我国商用密码国际标准体系已初步成型，为密码在全球范围的发展与应用提供了中国方案，贡献了中国智慧。      在转化运用国际标准方面，商用密码行业标准GM/T0028《密码模块安全技术要求》和GM/T0039《密码模块安全检测要求》，分别参考国际标准ISO19790和ISO24759编制，为规范商用密码产品管理、提升商用密码产品安全防护能力发挥了重要作用，充分体现了商用密码标准制定的开放性。八、鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动      《密码法》第二十三条第二款规定:国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。      企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动，是全球化的必然趋势和要求，有利于提升商用密码技术的全球影响力，同时也为降低包括密码脆弱性在内的全球网络安全整体风险贡献中国智慧和提供中国方案。九、关于商用密码从业单位公开标准的技术要求和作用      《密码法》规定了企业标准自我声明公开和监督制度，调整的对象是企业生产的产品和提供的服务所执行的标准，这类标准规定了企业生产的产品和提供的服务所应达到的各类技术指标和要求，是企业对其产品和服务质量的硬承诺，应当公开并接受市场监督。      企业生产的商用密码产品和提供的商用密码服务，如果执行国家标准、行业标准和团体标准，企业应该公开相应的标准名称和标准编号;如果企业生产的产品和提供的服务所执行的标准是本企业制定的企业标准，企业除了公开相应的标准名称和标准编号，还应当公开企业产品、服务的技术指标。公开指标的类别和内容由企业根据自身特点自主确定，企业应对公开的产品和服务标准的真实性、准确性、合法性负责。      企业生产的产品和提供的服务应当符合企业自我声明公开标准提出的技术要求，不符合企业自我声明公开标准提出的技术要求的，应依法承担相应的责任。

2. 商用密码检测认证是什么的重要基础

商用密码检测认证是商用密码治理体系的重要基础。
商用密码检测认证在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用。面向商用密码从业单位能够引导提质升级，增加市场有效供给；面向管理部门能够支持行政监管，提高市场监管效能；面向社会各方能够推动诚信建设，营造良好市场环境；面向国际市场能够促进规则对接，提升市场开放程度。
进商用密码检测认证体系建设，这是深化商用密码行政审批制度改革的重要内容，是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。

商用密码产品的范围
商用密码产品，是指采用商用密码技术进行加密保护、安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括：密码机，如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等；密码芯片和模块，如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
从功能上，我们将商用密码产品划分为通信加密类和非通信加密类。通信加密类产品包括电话密码机、传真密码机、各种总线接口的密码卡、计算机应用层密码机、计算机网络层密码机、计算机链路层密码机等；非通信加密类产品主要包括认证和存储等密码产品，如智能IC卡、智能密码钥匙、各种防伪系统及数据库加密系统等。
以上内容参考：中国人大网-《中华人民共和国密码法》

3. 商用密码产品检测认证适用的有关规定 -法律知识

法律分析：
商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

法律依据：
《中华人民共和国密码法》 第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证机构对该商用密码服务认证合格。

4. 商用密码国际标准

法律分析：一、商用密码国际标准
依据我国相关法律的规定，我国商用密码的标准，由国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定，包括国家标准、行业标准两种。
《中华人民共和国密码法》
第二十二条国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
二、网络安全法的意义
一是提出了个人信息保护的基本原则和要求，相当于一部小型的“个人信息保护法”，使后续的相关细则、标准有了上位法;
二是对网络产品和服务提供者提出了要求，针对的是当前一些企业任性停止服务或依靠垄断优势要挟用户、随意收集用户信息等问题;
三是在反恐法确立的电信用户实名制基础上，规定了信息发布、即时通讯等服务的实名制要求，但这个实名是指“前台匿名、后台实名”，不影响用户隐私;
四是规范了重要网络安全信息的发布服务，现在很多企业或机构都在发布漏洞、安全事件等信息，有一些不实信息造成了很大范围的不良影响，国家将制定这方面的规定;
五是明确了网络运营者的执法协助义务，这是国际惯例，但我们以前多依靠“红头文件”，这一局面将改变;
六是从法的层面规定了对网上非法信息的清理，使国家的互联网管理系统有了明确的法律依据;
七是确立了国家关键信息基础设施保护制度，特别是规定了运营者的强制性义务，并为主管部门开展监管作了授权;
八是建立了网络安全监测预警、信息通报和应急处置工作体系，有利于解决目前存在的多个部门各自发布预警通报、应急预案体系不完整不协调等问题;
九是建立了通信管制制度，以支持重大突发事件的处置，但同时也将通信管制的权限严格限制在了国务院;十是进一步理顺了网络安全工作体制，规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作。

法律依据：《中华人民共和国密码法》
第二十二条国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。