7月1日正式施行 |《商用密码管理条例》的四项重要制度解读

全文共5736字，阅读大约需11分钟。

《商用密码管理条例》（以下简称《商密条例》）即将于2023年7月1日正式施行，该条例在《密码法》框架下，完善和发展了商用密码有关的一系列重要制度，可谓全面、系统地展现了当前商用密码管理的“全景图”。

本文将重点研读分析《商密条例》中与网络安全行业关联密切的四项重要制度，包括：检测认证制度、电子认证制度、电子政务电子认证制度、商用密码应用安全性评估（以下简称“密评”）制度（文末将以列表对这几项制度做简要梳理，以便于对照参阅）。

一、检测认证制度

商用密码检测认证，是商用密码产品、服务和管理体系进入市场的基本门槛。《商密条例》第三章“检测认证”规定了检测认证机构的申请条件和管理要求，我们结合商密检测认证相关的规章制度，梳理商密检测认证的基本要素如下。

1. 适用对象

从《商密条例》第三章的规定来看，商用密码检测认证的对象为商密产品销售者和服务提供者。

对于是否强制检测认证的问题，《商密条例》除了规定“自愿”的一般原则（第十二条）之外，还规定了“应当”检测认证的例外原则，即：“涉及国家安全、国计民生、社会公共利益的”商用密码产品和服务，必须检测认证合格后，方可销售或者提供（第十九条、第二十条）。

2. 检测范围

商用密码检测认证的客体对象范围包括：商密产品、商密服务、商密管理体系。其中，对于商密产品，国家密码管理局目前已发布了两批次《商用密码产品认证目录》，纳入目录的商用密码产品共计48种。

尤其值得关注的一点，是《商密产品检测认证目录》与《网络关键设备和网络安全专用产品目录》将来的衔接。即：“涉及国家安全、国计民生、社会公共利益的商用密码产品”，应当列入《网络关键设备和网络安全专用产品目录》。截至目前，《网络关键设备和网络安全专用产品目录》仅发布过一个批次，涵盖4种网络关键设备和11种网络安全专用产品。可见，随着《商密条例》的实施，现有的“网络关键设备和网络安全专用产品”管理或将在管理机制、对象范围等方面迎来“扩容”，商密产品、服务和管理体系则将与网络安全行业呈现更加紧密地融合。

3. 实施机构

对于商密检测认证的具体实施主体，国家密码局目前已认定的一共有5家机构/公司：除了国家密码管理局商用密码检测中心之外，还有依据相关法规认定的4家外部合作检测机构（具体名单可查询商用密码认证服务网：http://service.scctc.org.cn/notice/testingagency/list-c11.html

当前对于实施机构的认定主要依据是《商用密码产品质量检测机构资质认定服务指南》。而根据《商密条例》的规定，检测机构和认证机构是不同的，二者在申请条件、开展工作的依据、出具结论形式、承担的法规义务等方面均有所差别；尤其是在实施检测认证后，检测机构需要向国家密码管理部门“定期报送实施情况”，而认证机构则需对其认证“实施有效跟踪调查”。

按照新发布的《商用密码检测机构管理办法（征求意见稿）》的管理思路，商密检测机构下一步将纳入统一目录管理，获得认可通过后，取得《商用密码检测机构资质证书》。这将会填补当前商密检测机构管理方面的一些空白。

4. 规范依据

在《密码法》《商密条例》等指导下，商密检测认证的具体依据主要可归纳为三类。第一类是关于对象范围的依据，主要有《商用密码产品认证目录》（第一批、第二批）等；第二类是关于实施主体认定的依据，主要包括《商用密码产品质量检测机构资质认定服务指南》等；第三类是关于检测操作规程的依据，主要有《商用密码产品认证规则》等。

这些规则依据大多都是《商密条例》发布实施前所制定，后续或将根据上位法规内容的相应变化，进行力度不同的修订更新。

二、电子认证制度

电子认证是《电子签名法》规定的一项重要制度，《商密条例》对于电子认证制度的规定，主要是旨在加强对电子认证服务中使用商用密码行为的管理。

1. 适用对象

按照《商密条例》第二十二条的规定，电子认证中的商密管理，主要适用对象是采用商用密码技术提供电子认证服务的机构。

对于此类机构的主要管理方式，是“依法取得国家密码管理部门同意使用密码的证明文件”。在实践中，该证明文件指的就是《电子认证服务使用密码许可证》。

2. 检测范围

电子认证服务机构申请《电子认证服务使用密码许可证》时，除了一般商务申请材料之外，重点审查内容有两方面。一是安全性审查，主要审查电子认证服务机构相关系统的安全性设计、安全管理策略和规范等；二是互联互通测试，主要检测电子认证服务机构相关系统的CA系统结构、签发的数字证书种类及格式、发布子系统结构及证书发布策略、CA系统所使用算法清单等。

3. 实施机构

对于《电子认证服务使用密码许可证》的检测执行机构，相关法规未明确名录。但从具体工作实践来看，通常对于安全性审查，一般由国家密码管理局组织；对于互联互通测试，则是由国家密码局商用密码检测中心具体实施。

需要注意的是，电子认证服务机构的基础从业资格，按照《电子签名法》《电子认证服务管理办法》相关规定，则是由国家信息产业主管部门（现为工业和信息化部）负责审批。目前获得批准的电子认证服务机构（CA）共55家。从相关法规规定来看，这些电子认证服务机构一般也均需申请《电子认证服务使用密码许可证》。

4. 规范依据

电子认证服务机构申请《电子认证服务使用密码许可证》，涉及到的法律法规和制度规范，大致可归纳为三个层次。一是上位法，即《密码法》《电子签名法》《商密条例》等法律法规；二是具体实施依据，即《电子认证服务密码管理办法》（国家密码管理局2017年修订）；三是标准依据，主要包括《证书认证系统密码及其相关安全技术规范》等。

三、电子政务电子认证制度

相比《电子认证服务使用密码许可证》而言，电子政务电子认证具有较强独立性，是一项独立的机构资质。

1. 适用对象

采用商用密码技术从事电子政务电子认证服务的机构（《商密条例》第二十四条）。

从服务对象上看，电子认证服务分为两类：一类是为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务；另一类是面向企事业单位、社会团体、社会公众提供的电子认证服务。按照国家密码管理局《电子政务电子认证服务管理办法》，此处即指第一类。

2. 检测范围

《商密条例》第二十五条规定了取得电子政务电子认证服务机构资质应当符合的四个条件，包括法人资格、专业人员、服务能力、管理体系等。此处不再详述。

3. 实施机构

对于“电子政务电子认证服务机构资质”的审核单位，按照条例规定为国家密码管理局，具体的检测实施机构未公布名单目录。

而对于获得资质的服务机构，则实行名单目录管理，即《电子政务电子认证服务机构目录》。根据国家密码管理局公布的目录，目前获得批准的服务机构有45家（A类39家、B类6家），其中A类的39家机构也均在工信部发布的55家电子认证服务机构名单中。

4. 规范依据

除了《密码法》《电子签名法》《商密条例》等上位法律法规之外，当前电子政务电子认证的主要依据是国家密码管理局《电子政务电子认证服务管理办法》。配合该规章，在实施层面还有一系列制度依据，主要包括《电子政务电子认证服务业务规则规范》《电子政务电子认证服务质量评估要求》等标准规范，以及管理认证服务机构的《电子政务电子认证服务机构目录》等。

四、密评制度

即“商用密码应用安全性评估”，按照相关法规的含义是指对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

1. 适用对象

《商密条例》第三十八条规定了密评制度的管理对象，可以简要理解为“特定”的关键信息基础设施运营者。此处“特定”即不是所有的关基运营者，而特指那些“法律法规要求使用商用密码进行保护的”关键信息基础设施的运营者。

此处的“法律法规要求”，应主要包括《密码法》《网安法》《关基条例》等多部法律法规，但从内容来看，《密码法》第27条应为密评制度的最直接上位法条款。该条规定：“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。可见，从法律条文内容来看，似乎还存在法律法规之间相互援引、但具体指代不明的问题。期待后续会出台相关实施细则，对密评的适用对象范围作出更加清晰的界定。

另外，日前国家密码管理局刚公布的《商用密码应用安全性评估管理办法（征求意见稿）》第六条，也规定了密评的适用对象为：“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统”。这与《商用密码应用安全性评估管理办法（试行）》规定的“采用商用密码技术、产品和服务集成建设的网络和信息系统”有所不同；且从范围上看，似乎“网络与信息系统”的范围比《商密条例》中的“关基系统”也有所扩大。当然，具体调整情况，还有待最终版本加以明确。

2. 检测范围

按照《商密条例》第三十九条，密评的检测评估内容主要包括商密产品服务和商密技术两个方面。一是使用的商用密码产品、服务是否经检测认证合格；二是使用的商用密码技术（密码算法、密码协议、密钥管理机制等）是否通过了国家密码管理部门审查鉴定。

而新发布的《商用密码应用安全性评估管理办法（征求意见稿）》则对密评进行了阶段划分，主要包括密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估三个阶段。可见与以前相比，新管理办法更加强调密评工作的体系化和全周期管理。

3. 检测机构

密评的评估服务机构实行目录管理。根据《国家密码管理局关于更新<商用密码应用安全性评估试点机构目录>的通知》，目前获得授权的密评评估试点机构共有48家。

按照新发布的《商用密码检测机构管理办法（征求意见稿）》的管理思路，下一步对密评机构的管理也将统一纳入到商用密码检测机构管理中。据此我们可以推测，未来很有可能新制定新的商密服务机构名录，将商密检测机构、认证机构、密评机构都纳入到统一的目录进行管理。

4. 规范依据

当前密评工作直接依据，主要还是两个试行规章《商用密码应用安全性评估管理办法（试行）》和《商用密码应用安全性测评机构管理办法（试行）》。随着近期商用密码一系列相关法律法规紧锣密鼓的颁布和修订，密评工作的依据接下来也将得到快速健全。

在法规方面，在《密码法》指导下，《商密条例》即将于7月1日生效实施，且近日还发布了《商用密码应用安全性评估管理办法（征求意见稿）》、《商用密码检测机构管理办法（征求意见稿）》两个重磅规章。

在标准方面，现已建立起以《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）为主体，涵盖《信息系统密码应用测评要求》（GM/T 0115-2021）、《信息系统密码应用测评过程指南》（GM/T 0116-2021）等在内的标准体系。后续相关标准也会随上位法律法规的完善而持续修订优化。

五、思考展望

对于网络安全行业而言，《商密条例》的生效实施，进一步明确了商密重要制度和管理要求，因而无论是对于规范发展、或是赋能行业等方面，都具有重要实际价值。同时，因其事关多项商密重要制度和重要资质的运行与调整，因此也必然受到业界的普遍关注。

一方面，《商密条例》贯彻《密码法》的基本制度框架，并对商用密码管理制度进行了体系化的完善和细化。不仅明确了商密管理体制，细化了对商密检测认证、电子认证等重点制度管理要求，还注重“以管促用”，推进商密科技创新与标准化、拓展商密在重要信息系统中的应用推广。

另一方面，《商密条例》作为行政法规，对制度的具体实施也不可能面面俱到，有待实践发展支撑和后续政策、标准的持续完善。例如，对于密评的适用范围，存在法规相互援引、而具体指代范围不明的问题；还有对于将密评机构纳入到商用密码检测机构管理，如何推进实施、是否不再区分检测对象和检测范围；再如，在商密检测认证方面，若重要商用密码产品后续纳入《网络关键设备和网络安全专用产品目录》，则商密检测机构与国家认监委等四部委发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》如何衔接等。这些都是商密法律法规下一步发展完善中需要解决的实际问题。

法规完善是一个循序渐进、集思广益的过程。绿盟科技作为服务网络安全战线的科技老兵，将依托自身的长期研发积累和产品技术优势，持续为商用密码制度提供坚实的落地保障；并将结合自身在服务重大工程项目和重大活动保障的扎实经验，为我国商密法规制度及网络安全法规制度的完善，发挥应有的支撑贡献。

附件：《商用密码》的四项重要制度简表