商用密码产品认证该怎么申请？一文给您答案

      随着新的《密码法》的颁布，所有涉及商用密码的产品都需要进行商用密码产品认证，才能保证企业和个人的密码安全及信息安全，小小密码，涉及的产品范围非常广泛，现在密码认证中心公布的商用密码产品类别有28大类。

一、产品认证分类目录

1、智能密码钥匙

2、智能 IC 卡

3、POS 密码应用系统、ATM 密码应用系统、多功能密码应用互联网终端

4、PCI-E/PCI 密码卡

5、IPSec VPN 产品/安全网关

6、SSL VPN 产品/安全网关

7、安全认证网关

8、密码键盘

9、金融数据密码机

10、服务器密码机

11、签名验签服务器

12、时间戳服务器

13、安全门禁系统

14、动态令牌、动态令牌认证系统

15、安全电子签章系统

16、电子文件密码应用系统

17、可信计算密码支撑平台

18、证书认证系统、证书认证密钥管理系统

19、对称密钥管理产品

20、安全芯片

21、电子标签芯片

22、其他密码模块

23、可信密码模块

24、智能IC卡密钥管理系统

25、云服务器密码机

26、随机数发生器

27、区块链密码模块

28、安全浏览器密码模块

二、认证流程

1、向国家密码管理局商用密码产品认证中心发起认证申请、提交相关申请材料。产品申请材料通过后，根据产品的类别及相关要求送达检测通知道到检测机构，进入检测流程。

2、检测机构由认证中心认可的检测机构（现在在公布的检测机构共有5家）

3、检测通过后，由国家商用密码检测中心对公司进行实地审查。

4、审查通过后发放证书。

三、申请材料

1、安全性设计报告

2、产品实物图

3、技术工作总结报告

4、密码模块分级检测申请材料

5、商用密码产品生产和保证能力自我评估表

6、认证委托书

7、用户手册

8、生产一致性说明

（说明：根据产品的情况不同，提交的资料也会有所增减，也有不同，具体需要的资料及相关要求，需要我们在实际工作中与申请公司进行沟通与指导）

四、产品检测

1、检测机构发送检测通知单，按通知单的要求进行准备送检的设备、材料、检测合同、付款手续等。

2、检测期间，可能会需要公司安排比较资深的技术人员现场协助检测或调试等工作

3、检测工作也是认证中最核心的工作，专业性强、时间周期长，多数产品在这个阶段会遇到很多与商密标准规范标准不符的问题，有的问题可以现场进行整改解决，有的问题解决不了说需要公司整改好之后再进行检测，也有可能会被退会或降级等问题。所以企业的专业性与了解国密规范标准很重要。

五、工厂实地审查

1、现场审查主要针对企业的管理能力、生产能力、管理规范性等问题进行审查。

2、如果不是工厂，仅是研发性公司，也同样要产进核查。

3、核查前的准备工作：收到审查通知后，会根据审查通知的要求进行准备审查材料，审查材料提交上去无问题后，审核老师会发送审核协议、付款通知等文件。

4、审核流程：首次会议、文件审查、资质审查、现场检查、写审查报告、整改等、末次会议、邮寄审查资料、审查通过。

六、发证

1、发证机构全国唯一一家：国家密码管理局商用密码管理中心

2、证书可以邮寄、也可以自取

3、证书有限期5年

七、时间及费用

1、费用公示：

2、检测费用：检测阶段时间约3个月左右，商用密码产品的检测费用根据安全等级的不同分为4万、8万、16万、32万，对应安全一级、安全二级、安全三级、安全四级。

3、认证费用：认证费用包括前期咨询服务费用等，视企业情况定。现场审核费用约1.2万左右，具体情况以实际定。

八、申请的难点有哪些

1、专业性强、需要提供的资料较多，需要从企业技术、人力、管理、安全等等各方面提供。

2、每个产品的标准及要求不一样，企业不仅要面对产品的设计还要面对产中品标准的要求进行处理

3、材料文件编写要求众多、时间周期长，如果让一个完全不懂的人来负责，是一项非常难的工作。

4、现场审核中也需要提供很多的材料，如果不完整、不齐全，面临审核通不过，造成时间的浪费和费用的浪费。

5、无法对企业自身的问题有很好的认识，无法对公司进行咨询辅导，造成无法开展相关的工作。