此次发布,是建立健全商用密码治理体系的重要步骤,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。

 国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。虽然《密码法》中提到,在商用密码检测认证中,主要采用自愿检测认证的方式,但作为由工业和信息化部许可设立的第一批电子认证服务机构,北京天威诚信电子商务服务有限公司积极响应国家政策的号召,通过相关检测认证,已经具备证书认证系统和证书认证密钥管理系统资质,现在正在积极推进其他产品的检测认证中,助推行业健康有序发展。

 附件1、《商用密码产品认证目录(第一批)》

 附件2、《商用密码产品认证规则》

 1 适用范围

 本规则依据《中华人民共和国密码法》《中华人民共和国认证认可条例》制定,规定了市场监管总局和国家密码管理局发布的《商用密码产品认证目录》中的产品,实施商用密码产品认证的基本原则和要求。

 2 认证模式

 商用密码产品认证模式为:型式试验+初始工厂检查+获证后监督,认证机构可对获证产品生产企业的扩项产品认证委托,减免初始工厂检查环节。

 3 认证单元划分

 原则上应按产品型号的不同划分认证单元。同一认证单元内有多个版本的产品时,认证委托人应提交不同版本间的差异说明,必要时还应进行补充差异试验。

 4 认证实施程序

 4.1 认证委托

 认证机构应明确认证委托资料要求,包括产品技术文档,生产能力、质量保障能力、安全保障能力说明等。

 认证委托人应按认证机构要求提交认证委托资料,认证机构在对认证委托资料审核后及时反馈是否受理的信息。

 4.2 型式试验

 认证机构应根据认证委托资料制定型式试验方案,包括型式试验的样品要求和数量、检测标准项目、检测机构信息等,并通知认证委托人。

 认证委托人应按型式试验方案提供样品至检测机构,并保证样品与实际生产产品一致;必要时,认证机构也可采用生产现场抽样的方式获得样品。认证委托人可在认证结束后取回型式试验样品。

 检测机构应对型式试验全过程作出完整记录,并妥善管理、保存、保密相关资料,确保在认证有效期内检测结果可追溯。型式试验结束后,及时向认证机构和认证委托人出具型式试验报告。

 4.3 初始工厂检查

 认证机构应根据产品认证通用要求,结合 GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T ﻪ0066《商用密码产品生产和保障能力建设实施指南》等标准对认证委托产品的生产企业实施初始工厂检查,检查内容包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。

 4.4 认证评价与决定

 认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,可要求认证委托人限期整改, ﻪ整改后仍不符合的则书面通知认证委托人终止认证。

 4.5 获证后监督

 认证机构应对认证有效期内的获证产品和生产企业进行持续监督。获证后监督可不预先通知生产企业,一般采用工厂检查的方式实施,必要时可在生产现场或市场抽样检测。

 认证机构对获证后监督结论和相关资料信息进行综合评价,评价通过的,可继续保持认证证书、使用认证标志;不通过的,认证机构应当根据相应情形做出暂停或者撤销认证证书的处理。

 4.6 认证时限

 认证机构应对认证各环节的时限做出明确规定,并确保相关工作按时限要求完成。认证委托人须对认证活动予以积极配合。

 5 认证证书

 5.1 认证证书的保持

 认证证书有效期为 5 年,并通过认证机构的获证后监督保持效力。证书到期需延续使用的,认证委托人应在有效期届满前 6 ﻪ个月内提出认证委托。认证机构应采用获证后监督的方式对符合认证要求的委托换发新证书。

 5.2 认证证书覆盖产品的变更

 获证后的产品或其生产者、生产企业等发生变化时,认证委托人应向认证机构提出变更委托。

 认证机构根据变更的内容,对委托资料进行审核,确定是否可以批准变更。如需样品检测和/或工厂检查,应在检测和/或检查合格后方能批准。

 5.3 认证证书覆盖产品的扩展

 认证委托人需要增加已经获得的认证证书覆盖的产品范围时,应向认证机构提出扩展委托,并提供扩展产品和获证产品之间的差异说明。

 认证机构可采用委托资料审核、补充差异试验和/或工厂检查的方式核查原认证结果对扩展产品的有效性。核查通过的,由认证机构换发新证书。

 5.4 认证证书的暂停、注销和撤销

 认证证书的暂停、注销和撤销依据有关规定执行。认证机构应采用适当方式对外公布被暂停、注销和撤销的产品认证证书。

 5.5 认证证书的使用

 认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证。宣传认证结果时不应损害认证机构的声誉。

 6 认证标志

 商用密码产品认证实行统一的认证标志管理。

 标志的样式和使用应符合《商用密码产品认证标志管理要求》(详见附件)。

 7 认证实施细则

 认证机构应依据本规则的原则和要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。

 8 认证责任

 认证机构应对其做出的认证结论负责。检测机构应对检测结果和检测报告负责。

 认证机构及其所委派的工厂检查员应对工厂检查结论负责。

 认证委托人应对其所提交的委托资料及样品的真实性、合法性负责。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。