写在前面
最近一直有人咨询商用密码产品认证流程和申请材料的各种,想来也确实该写一写这方面的文章来帮助缺乏相关经验的人梳理整个流程中遇到的问题。今后会定期更新密码行业相关文章,抛砖引玉,与各位交流商密规范、技术、材料编写等方面的问题。
密码法和商用密码产品
近年来国内商用密码领域发展迅速。在互联网应用普及的浪潮中,商用密码的发展也迎来了从无到有、从小变大、从可选到必要的发展历程。尤其是《密码法》的颁布,正式将商用密码产品的重要性提升到关系国计民生的高度。对于普通社会个人,我们也能深刻感受商用密码为我们带来的变化。公交卡、网银U盾、登录动态口令、电子发票、区块链、https,乃至未来的数字货币,都使用商用密码。这其中就涉及到商用密码产品的合规性。
2020年1月1日以前,所有商用密码产品应取得国家密码管理局的行政许可《商用密码产品型号证书》方可上市销售。密码法实施后,原《商用密码产品型号证书》转为商用密码产品认证。按照密码法的要求,商用密码产品型号或商用密码产品认证非强制进行,只有“涉及国家安全、国计民生、社会公共利益的商用密码产品”才必须具备商用密码产品的认证资质,方可合法上市销售。
因此,在电信、金融、电子政务等领域使用的密码产品均应取得商用密码产品认证资质后才可上市销售。
认证流程
对于需要取得商用密码产品认证的企业而言,申请认证资质主要由四步组成:
1、向国家密码管理局商用密码产品认证中心发起认证申请。产品确认符合商密要求后,进入检测流程。
2、检测可由认证中心认可的检测机构(目前主要有商用密码检测中心和深圳鼎炫两家承担)进行检测。
3、检测通过后,由认证中心执行认证审核。
4、认证中心认证通过后,发放对应的认证证书。
说明:
1、普通的商用密码产品在向认证中心发起认证申请时,需按照要求提交完备的申请材料。具体包括认证委托书、商用密码产品生产和保证能力自我评估表、技术工作总结报告、安全性设计报告、密码模块分级检测申请材料、用户手册、生产一致性证明文件。
2、检测阶段主要对产品进行方案评估和实际测试。时间周期最长,多数遇到问题的产品也是在此阶段发现与商密规范或要求不符,导致产品降级甚至退回。
3、认证阶段由认证中心对企业生产环境和生产能力进行审核。此阶段主要关注企业自身生产能力,会有现场审查。
4、认证通过,认证中心会在规定时间内颁发认证证书。证书有效期为5年。2020年1月1日以前获得的《商用密码产品型号证书》会由认证中心直接换发为认证证书。
时间和费用
检测阶段时间限定为3个月,若超时则面临退回。因此产品和对应的材料在提交认证申请前应尽可能完善。认证时间约为1个月。
商用密码产品的检测费用根据安全等级的不同分为4万、8万、16万,对应安全一级、安全二级、安全三级。认证阶段费用视企业情况,约为2万。
难度说明
1、产品对应规范。商用密码产品应遵循密码行业标准,目前密码行业规范已经包含了算法、产品技术、检测等多种规范。详见http://www.gmbz.org.cn/main/bzlb.html。商用密码产品应明确该产品必须遵循的规范,严格按照规范设计。
2、材料编写。涉及多个技术材料的编写,特别是商用密码产品密码模块分级检测申请材料。由于该材料遵循的规范为GM/T 0028-2014,里面涉及的抽象概念应对应到实际的产品。
3、检测标准。不同的产品对应不同的检测方式和检测内容,甚至有专用的检测平台。
4.、认证要求。认证阶段对企业的资质、人员、规章、流程都提出的不同要求。
关于我们
目前已经取得《商用密码产品型号证书》的产品有1千多款,正在申请过程中的也有将近千款。不同的企业不同的产品会在申请产品型号/认证资质过程中面临各种各样的问题。对于不符合要求、周期过长、反馈不及时等情况,产品会被降级甚至直接退回。这样就会浪费企业的检测经费、时间、人力物力,更严重的是会打乱产品的销售计划。
如在申请商用密码产品认证资质时,如遇到材料编写、方案制定、检测、认证等问题时,可联系微信号:symmrz 。
337
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
