政策解讀 | 市場(chǎng)監(jiān)管總局 國(guó)家密碼管理局發(fā)布第三批商用密碼產(chǎn)品認(rèn)證目錄
2025年3月,市場(chǎng)監(jiān)管總局、國(guó)家密碼管理局聯(lián)合印發(fā)《關(guān)于發(fā)布《商用密碼產(chǎn)品認(rèn)證目錄(第三批)》的公告》(以下簡(jiǎn)稱(chēng)《目錄》),新增基于SM9標(biāo)識(shí)密碼算法的密鑰管理系統(tǒng)、PLC控制器密碼模塊、DTLCP密碼模塊等共計(jì)4種商用密碼產(chǎn)品種類(lèi)。截止目前,現(xiàn)已公布的商用密碼產(chǎn)品種類(lèi)共計(jì)32種。
一商用密碼產(chǎn)品認(rèn)證體系再升級(jí),新增四類(lèi)核心產(chǎn)品
為貫徹落實(shí)《中華人民共和國(guó)密碼法》,進(jìn)一步健全完善商用密碼產(chǎn)品認(rèn)證體系,逐步擴(kuò)大認(rèn)證實(shí)施范圍,更好滿(mǎn)足產(chǎn)業(yè)發(fā)展需要,《目錄》中新增了4款商用密碼產(chǎn)品。本次《目錄》新增產(chǎn)品標(biāo)志著商用密碼認(rèn)證體系向“全場(chǎng)景覆蓋、全鏈條管控”的再度升級(jí),通過(guò)進(jìn)一步規(guī)范商用密碼技術(shù)在工控、物聯(lián)網(wǎng)等領(lǐng)域的規(guī)模化應(yīng)用,不僅推動(dòng)密碼技術(shù)與數(shù)字經(jīng)濟(jì)融合發(fā)展,更以標(biāo)準(zhǔn)化、規(guī)范化手段筑牢網(wǎng)絡(luò)安全防線(xiàn),為構(gòu)建安全的信息技術(shù)體系提供核心支撐。
二商用密碼產(chǎn)品認(rèn)證實(shí)施程序
自2020年《密碼法》頒布實(shí)施以來(lái),市場(chǎng)監(jiān)管總局與國(guó)家密碼管理局協(xié)同構(gòu)建了“統(tǒng)一管理、共同實(shí)施”的商用密碼產(chǎn)品認(rèn)證體系,并以“型式試驗(yàn)+初始工廠檢查+獲證后監(jiān)督”作為認(rèn)證模式。
1、認(rèn)證委托作為認(rèn)證流程的首道關(guān)口,認(rèn)證委托環(huán)節(jié)通過(guò)標(biāo)準(zhǔn)化申報(bào)機(jī)制確保流程規(guī)范透明。認(rèn)證機(jī)構(gòu)將明確申報(bào)資料清單,涵蓋產(chǎn)品技術(shù)文檔(如技術(shù)工作報(bào)告、安全性設(shè)計(jì)報(bào)告、密碼模塊分級(jí)檢測(cè)申請(qǐng)材料等)、企業(yè)生產(chǎn)能力證明、質(zhì)量體系認(rèn)證文件及安全保障實(shí)施方案等核心內(nèi)容。認(rèn)證委托人須遵循認(rèn)證機(jī)構(gòu)要求提交完整資料,確保認(rèn)證全流程可追溯、可驗(yàn)證。
2、型式試驗(yàn)認(rèn)證機(jī)構(gòu)將根據(jù)認(rèn)證委托資料制定型式試驗(yàn)方案,包括型式試驗(yàn)的樣品要求和數(shù)量、檢測(cè)標(biāo)準(zhǔn)項(xiàng)目、檢測(cè)機(jī)構(gòu)信息等,并通知認(rèn)證委托人。依據(jù)《商用密碼檢測(cè)機(jī)構(gòu)管理辦法》第三條“從事商用密碼產(chǎn)品檢測(cè)、網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估等商用密碼檢測(cè)活動(dòng),向社會(huì)出具具有證明作用的數(shù)據(jù)、結(jié)果的機(jī)構(gòu),應(yīng)當(dāng)經(jīng)國(guó)家密碼管理局認(rèn)定,依法取得商用密碼檢測(cè)機(jī)構(gòu)資質(zhì)”。檢測(cè)機(jī)構(gòu)將依據(jù)型式試驗(yàn)方案對(duì)送檢樣品進(jìn)行檢測(cè),并對(duì)全過(guò)程作出完整記錄,包括安全性評(píng)估記錄、檢測(cè)記錄等,對(duì)送檢的商用密碼產(chǎn)品從安全性、可靠性及性能等多方面進(jìn)行檢測(cè),其中每款產(chǎn)品的檢測(cè)均以《商用密碼產(chǎn)品認(rèn)證目錄》中對(duì)應(yīng)的認(rèn)證依據(jù)作為基準(zhǔn)。
3、工廠檢查,認(rèn)證評(píng)價(jià)及證后監(jiān)督認(rèn)證機(jī)構(gòu)將根據(jù)產(chǎn)品認(rèn)證通用要求,結(jié)合相關(guān)標(biāo)準(zhǔn)對(duì)認(rèn)證委托產(chǎn)品的生產(chǎn)企業(yè)實(shí)施初始工廠檢查。認(rèn)證機(jī)構(gòu)會(huì)對(duì)型式試驗(yàn)、初始工廠檢查結(jié)論和相關(guān)資料信息進(jìn)行綜合評(píng)價(jià),作出認(rèn)證決定。對(duì)符合認(rèn)證要求的,頒發(fā)商用密碼產(chǎn)品認(rèn)證證書(shū)并允許使用認(rèn)證標(biāo)志。取得認(rèn)證后,認(rèn)證機(jī)構(gòu)將對(duì)認(rèn)證有效期內(nèi)的獲證產(chǎn)品和生產(chǎn)企業(yè)進(jìn)行持續(xù)監(jiān)督。
三影響與意義
中汽研科技 密碼技術(shù)專(zhuān)家中汽研科技密碼技術(shù)專(zhuān)家鮑越表示,此次《目錄》將PLC控制器密碼模塊、DTLCP密碼模塊等工業(yè)與物聯(lián)網(wǎng)場(chǎng)景的核心產(chǎn)品納入認(rèn)證目錄,標(biāo)志著商用密碼技術(shù)深度融入智能制造與新型基礎(chǔ)設(shè)施建設(shè)的步伐全面提速。
這將加速工業(yè)設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)商與密碼企業(yè)的跨界協(xié)同:一方面,生產(chǎn)企業(yè)需在研發(fā)端重構(gòu)設(shè)備安全架構(gòu),將SM9算法、密碼模塊等技術(shù)與PLC、DTLCP等底層硬件深度融合;另一方面,檢測(cè)機(jī)構(gòu)需聯(lián)合行業(yè)完善分級(jí)測(cè)評(píng)規(guī)則,形成“場(chǎng)景適配-標(biāo)準(zhǔn)迭代-認(rèn)證覆蓋”的動(dòng)態(tài)閉環(huán)。這種以認(rèn)證為抓手的生態(tài)聯(lián)動(dòng),將有效破除“技術(shù)標(biāo)準(zhǔn)割裂”壁壘,推動(dòng)密碼技術(shù)從單點(diǎn)產(chǎn)品合規(guī)向全產(chǎn)業(yè)鏈安全能力升級(jí)躍遷。
結(jié)語(yǔ)
中汽研科技下屬中汽研軟件測(cè)評(píng)(天津)有限公司已獲批國(guó)家密碼管理局批復(fù)的商用密碼檢測(cè)機(jī)構(gòu)資質(zhì)證書(shū),可面向整車(chē)及密碼產(chǎn)品企業(yè)提供相關(guān)咨詢(xún)與測(cè)試服務(wù)。未來(lái),中汽研科技將持續(xù)拓展商用密碼產(chǎn)品檢測(cè)新能力,助力汽車(chē)產(chǎn)品和密碼產(chǎn)品安全性和可靠性提升。
專(zhuān)家介紹
鮑越,中汽研科技密碼技術(shù)專(zhuān)家,主要研究方向?yàn)槠?chē)密碼檢測(cè)認(rèn)證技術(shù),牽頭及參與制定《汽車(chē)密碼應(yīng)用技術(shù)要求》等標(biāo)準(zhǔn)3項(xiàng),制定國(guó)內(nèi)首個(gè)汽車(chē)整車(chē)可信安全認(rèn)證規(guī)程、汽車(chē)車(chē)載可信安全模塊認(rèn)證規(guī)程,參與國(guó)家和省部級(jí)級(jí)課題8項(xiàng),試點(diǎn)示范4項(xiàng),入選工業(yè)和信息化領(lǐng)域商用密碼應(yīng)用典型建設(shè)方案2項(xiàng)。