商用密码产品生产管理规定(国家密码管理局公告 第5号)

国家密码管理局公告

(第 5 号)

现公布《商用密码产品生产管理规定》,自2006年1月1日起施行。

国家密码管理局

2005年12月11日


商用密码产品生产管理规定

第一条 为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。

第二条 本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。

第三条 商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。

第四条 商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。

商用密码产品的品种和型号必须经国家密码管理局批准。

第五条 国家密码管理局主管全国的商用密码产品生产管理工作。

省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。

第六条 国家密码管理局根据商用密码发展的需要,指定商用密码产品生产定点单位。

商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。

第七条 国家密码管理局指定商用密码产品生产定点单位原则上定期集中进行。

指定商用密码产品生产定点单位的程序如下:

(一)申请单位填写《商用密码产品生产定点单位申请表》,提交所在地的省、自治区、直辖市密码管理机构;

(二)省、自治区、直辖市密码管理机构对申请单位提交的书面材料进行初审,提出初审意见;

(三)国家密码管理局对通过初审的单位进行实地考察;

(四)国家密码管理局作出指定决定并告知指定结果。

第八条 被指定为商用密码产品生产定点单位的,由国家密码管理局发给《商用密码产品生产定点单位证书》并予以公布。

《商用密码产品生产定点单位证书》有效期3年。

第九条 商用密码产品生产定点单位应当自取得《商用密码产品生产定点单位证书》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。

第十条 国家密码管理局对商用密码产品生产定点单位进行年度考核。

商用密码产品生产定点单位应当于每年3月1日之前,填写《商用密码产品生产定点单位考核表》并交所在地的省、自治区、直辖市密码管理机构。省、自治区、直辖市密码管理机构应当于3月31日之前将考核意见报国家密码管理局。

考核结果由国家密码管理局公布。考核不合格的,撤销其商用密码产品生产定点单位资质。商用密码产品生产定点单位未在规定期限内填报考核材料的,视为考核不合格。

取得《商用密码产品生产定点单位证书》未满6个月的,不参加该年度的考核。

第十一条 商用密码产品生产定点单位变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《商用密码产品生产定点单位证书》更换手续。

商用密码产品生产定点单位变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。

商用密码产品生产定点单位破产、解散或者被撤销的,原持有的《商用密码产品生产定点单位证书》自行失效。

第十二条 商用密码产品生产定点单位生产商用密码产品,应当在研制出产品样品后向国家密码管理局申请产品品种和型号。

申请产品品种和型号应当向所在地的省、自治区、直辖市密码管理机构提交下列材料:

(一)商用密码产品品种和型号申请书;

(二)技术工作总结报告;

(三)安全性设计报告;

(四)用户手册;

(五)测试说明。

商用密码产品所采用的密码算法应当是国家密码管理局认可的算法。

第十三条 商用密码产品生产定点单位提交的申请材料齐备并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐备或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。

省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内完成初审,并将初审意见和全部申请材料报送国家密码管理局。

国家密码管理局收到省、自治区、直辖市密码管理机构报送的材料后应当组织安全性审查(含产品样品测试,下同),并自省、自治区、直辖市密码管理机构受理申请之日起20个工作日内,将安全性审查所需时间书面告知申请人。

通过安全性审查的,在5个工作日内批给产品品种和型号,发给产品品种和型号证书,并予以公布。未通过安全性审查的,不予批准并说明理由。

安全性审查所需时间不计算在本规定所设定的期限内。

第十四条 商用密码产品生产定点单位应当按照批准的品种和型号生产产品,并在产品上标明产品型号。

第十五条 商用密码产品必须经国家指定的机构检测、认证合格,并加施强制性认证标志后方可出厂。

暂未列入强制性认证目录的商用密码产品,必须经国家密码管理局指定的产品质量检测机构检测合格。

第十六条 商用密码产品生产定点单位及其人员,应当对所接触和掌握的商用密码技术承担保密义务。

第十七条 商用密码产品生产定点单位应当建立健全保密规章制度,对其人员进行保密教育。

第十八条 生产商用密码产品应当在符合安全保密要求的环境中进行。

保管商用密码产品应当采取相应的安全措施。

第十九条 商用密码技术资料、关键部件应当由专人保管,并采取相应的保密措施,防止商用密码技术的泄露。生产过程中产生的废弃品应当妥善销毁。

第二十条 参与商用密码产品安全性审查的专家和工作人员,应当对商用密码产品的技术方案和安全设计方案承担保密义务。

第二十一条 违反本规定的行为,依照《商用密码管理条例》予以处罚。

第二十二条 《商用密码产品生产定点单位证书》由国家密码管理局印制。

第二十三条 本规定自2006年1月1日起施行。