2020 年 1 月 1 日,《中華人民共和國密碼法》正式施行,明確提出國家推進商用密碼檢測認證體系建設(shè),為商用密碼檢測認證工作指明了方向,提供了根本遵循。商用密碼檢測中心作為經(jīng)市場監(jiān)管總局和國家密碼管理局批準的全國唯一一家商用密碼認證機構(gòu),深入貫徹落實習近平總書記重要指示批示精神和《密碼法》相關(guān)要求,立足發(fā)展實際,借鑒相關(guān)領(lǐng)域成熟做法和先進經(jīng)驗,為商用密碼檢測認證體系建設(shè)貢獻積極力量。
一、商用密碼檢測認證體系的重要意義
進入全面建設(shè)社會主義現(xiàn)代化強國的新歷史時期,商用密碼在維護國家安全、促進經(jīng)濟社會發(fā)展、保障人民群眾利益等方面發(fā)揮著越來越重要的作用,商用密碼治理體系和治理能力面臨新形勢與新挑戰(zhàn),建設(shè)商用密碼檢測認證體系對貫徹落實新發(fā)展理念,推動商用密碼進入高質(zhì)量發(fā)展快車道具有重要意義。
建設(shè)商用密碼檢測認證體系是落實國務院“放管服”改革要求,服務商用密碼管理重塑的重要舉措。貫徹落實《密碼法》,重塑商用密碼管理,檢測認證體系建設(shè)是重要組成和關(guān)鍵環(huán)節(jié)。從行政許可管理向檢測認證體系轉(zhuǎn)變,有效加強事中事后監(jiān)管,實現(xiàn)商用密碼管理“放”與“管”的有機銜接,也是“放管服”改革的要求。作為國家質(zhì)量體系管理的一項基本制度,檢測認證利用技術(shù)手段對商用密碼產(chǎn)品和服務進行技術(shù)把關(guān)、質(zhì)量控制,為行政執(zhí)法提供公正數(shù)據(jù)和技術(shù)支持,政府從“前臺”轉(zhuǎn)入“后臺”,進一步放寬市場準入,促進行政職能轉(zhuǎn)變,推進供給側(cè)結(jié)構(gòu)性改革,激發(fā)市場活力和社會創(chuàng)造力,創(chuàng)新商用密碼發(fā)展,規(guī)范商用密碼管理。
建設(shè)商用密碼檢測認證體系是引導商用密碼從業(yè)單位提質(zhì)升級,增加商用密碼高質(zhì)量供給的發(fā)展需要。通過檢測認證手段,保障商用密碼產(chǎn)品、服務符合相關(guān)技術(shù)標準規(guī)范,引導商用密碼從業(yè)單位加強技術(shù)升級迭代,不斷提升產(chǎn)品、服務質(zhì)量,全面提升供給能力,實質(zhì)高質(zhì)量發(fā)展。商用密碼檢測認證采用強制性認證和國推自愿性認證相結(jié)合的方式,充分發(fā)揮強制性認證的“保底線”作用,對涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品及使用相關(guān)設(shè)備的服務進行強制性認證,把安全風險降到最低;以國推自愿性認證“拉高線”,引導消費和采購,形成有效的市場選擇機制,促進商用密碼企業(yè)提升產(chǎn)品和服務質(zhì)量,推動“產(chǎn)品”向“精品”轉(zhuǎn)變,增加優(yōu)質(zhì)供給。
建設(shè)商用密碼檢測認證體系是優(yōu)化商用密碼營商環(huán)境,推動商用密碼產(chǎn)業(yè)繁榮發(fā)展的有效手段。檢測認證提供獨立公正、專業(yè)可信的評價信息,向市場和社會傳遞質(zhì)量與信用信號,引導市場優(yōu)勝劣汰,從源頭把關(guān),規(guī)范市場秩序。在商用密碼產(chǎn)業(yè)發(fā)展中,針對現(xiàn)有產(chǎn)品和服務,檢測認證評價信息引導市場調(diào)節(jié)和政府調(diào)控;圍繞新興技術(shù)和產(chǎn)業(yè)發(fā)展需求,檢測認證積極促進新興產(chǎn)品標準研究,努力打造高水準、一站式的檢測認證服務平臺,促進新產(chǎn)品研發(fā)、生產(chǎn)和應用,為商用密碼產(chǎn)業(yè)結(jié)構(gòu)升級和有序發(fā)展提供有力支撐。
二、商用密碼檢測認證體系的總體部署
商用密碼檢測認證體系按照高質(zhì)量發(fā)展的要求,以制度機制建設(shè)為統(tǒng)領(lǐng),以標準建設(shè)、機構(gòu)建設(shè)、力量建設(shè)為重點,全面推進產(chǎn)品認證、服務認證和管理體系認證能力建設(shè),大力服務并促進商用密碼產(chǎn)業(yè)發(fā)展和改革創(chuàng)新。
(一)規(guī)劃檢測認證體系建設(shè)目標
建立科學完備、公正權(quán)威、先進高效的商用密碼檢測認證體系,覆蓋商用密碼產(chǎn)品、服務和管理體系。檢測認證法律法規(guī)和標準體系健全,形成市場機制為主導、政府加強事中事后監(jiān)管的運行機制,推動檢測認證與產(chǎn)業(yè)發(fā)展深度融合;密碼檢測分析基礎(chǔ)理論研究取得原創(chuàng)性成果,突破一批密碼檢測認證核心關(guān)鍵技術(shù),研制一批適應新技術(shù)新應用發(fā)展以及檢測認證工作需求的檢測認證工具,以科研創(chuàng)新驅(qū)動檢測認證發(fā)展;培育一批操作規(guī)范、技術(shù)能力強、服務水平高、規(guī)模效益好的檢測認證機構(gòu),建成多層次、高水平的檢測認證專業(yè)人才隊伍,構(gòu)建完備的檢測認證基礎(chǔ)設(shè)施,推動檢測認證服務做強做優(yōu)做大。
(二)構(gòu)建檢測認證制度體系
自 2019 年 10 月 26 日《密碼法》頒布至今,在市場監(jiān)管總局、國家密碼管理局領(lǐng)導下,初步建立商用密碼檢測認證制度體系,為檢測認證實施提供根本遵循。
開展頂層設(shè)計。2019 年 12 月至 2020 年 5 月,市場監(jiān)管總局會同國家密碼管理局陸續(xù)發(fā)布《關(guān)于調(diào)整商用密碼產(chǎn)品管理方式的公告》(第 39 號)、《關(guān)于開展商用密碼檢測認證工作的實施意見》(國市監(jiān)認證〔2020〕50 號)、《商用密碼產(chǎn)品認證目錄 ( 第一批 )》和《商用密碼產(chǎn)品認證規(guī)則》,取消“商用密碼產(chǎn)品品種和型號審批”制度,建立國家統(tǒng)一推行的商用密碼認證制度,堅持“統(tǒng)一管理、共同實施、規(guī)范有序、保障安全”的基本原則,明確市場監(jiān)管總局、國家密碼管理局以及檢測認證機構(gòu)等各方職責分工,為商用密碼檢測認證體系奠定制度基礎(chǔ)。
修訂規(guī)章制度。落實黨和國家要求、貫徹《密碼法》精神、適應新時代商用密碼事業(yè)發(fā)展,國家密碼管理局組織對《商用密碼管理條例》進行修訂,并面向社會征求意見。條例征求意見稿落實《密碼法》規(guī)定的推進商用密碼檢測認證體系建設(shè),鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證,明確檢測、認證機構(gòu)資質(zhì)審批條件、程序及其從業(yè)規(guī)范,細化檢測認證體系的管理要求和運作機制。
完善標準規(guī)范。標準是檢測認證科學性、權(quán)威性、規(guī)范性和有效性的根本依據(jù)和技術(shù)基礎(chǔ)。按照共性先立、急用先行的原則,穩(wěn)步推進密碼標準制修訂工作,形成了具有自主知識產(chǎn)權(quán)的 SM 系列國產(chǎn)算法及相關(guān)密碼技術(shù)標準和規(guī)范。目前國家密碼管理局已發(fā)布密碼行業(yè)標準 115 項,推進發(fā)布密碼國家標準 39 項,覆蓋密碼算法、密碼芯片、密碼設(shè)備、密碼應用中間件、密碼系統(tǒng)、密碼檢測等的密碼標準體系基本建立,為商用密碼檢測認證實施提供了有力的標準支撐。
(三)布局檢測認證力量
建設(shè)國家密碼管理局一手抓機構(gòu)布局,一手抓能力建設(shè),雙管齊下,穩(wěn)步推進商用密碼檢測認證體系建設(shè)工作。
建設(shè)商用密碼檢測認證機構(gòu)。立足商用密碼發(fā)展實際,我國積極構(gòu)建“1+M+N”的商用密碼檢測認證體系,即設(shè)立 1 家商用密碼認證機構(gòu)、M 家商用密碼產(chǎn)品檢測機構(gòu)和 N 家商用密碼應用安全性評估機構(gòu)。圍繞產(chǎn)業(yè)需求,綜合考慮地理因素,目前我國設(shè)立認證機構(gòu) 1 家(商用密碼檢測中心);產(chǎn)品檢測機構(gòu) 4 家,分布在北京、深圳、上海和成都等地;密評機構(gòu) 48 家,分布在北京、天津、上海、杭州、廣州、烏魯木齊、鄭州等地,商用密碼檢測認證隊伍日益壯大。
強化商用密碼檢測認證能力。經(jīng)過二十余年的深耕細作,我國密碼檢測基礎(chǔ)理論、關(guān)鍵技術(shù)、工具平臺、運行機制等方面都取得新突破,多項成果達到國際先進水平,商用密碼檢測能力大幅提升。以安全芯片檢測能力建設(shè)為關(guān)鍵突破口,逐步建成覆蓋芯片、板卡、整機、系統(tǒng)等 22 類密碼產(chǎn)品的檢測能力;在探索和實踐中建立完善的電子認證服務系統(tǒng)安全性測評和信息系統(tǒng)密碼應用安全性評估工作機制,積極推進相關(guān)測評工作,很好地滿足了商用密碼管理和產(chǎn)業(yè)發(fā)展的檢測評估需要。
三、商用密碼檢測認證工作的實施成效
自《密碼法》實施以來,商用密碼檢測認證工作立足發(fā)展實際,積極開展工作,在商用密碼產(chǎn)品檢測認證方面取得了階段性成果。
初步建成國推商用密碼產(chǎn)品認證實施體系。根據(jù)市場監(jiān)管總局和國家密碼管理局聯(lián)合公告要求,依據(jù)《商用密碼產(chǎn)品認證規(guī)則》,立足認證工作實際,商用密碼檢測中心制定發(fā)布 22 類商用密碼產(chǎn)品的認證實施細則,明確認證模式和認證實施流程,作為認證規(guī)則的配套文件,共同指導國推產(chǎn)品認證工作的開展。
完成型號審批機制向檢測認證體系的平穩(wěn)過渡。《密碼法》實施后,原“商用密碼產(chǎn)品品種和型號審批”行政許可調(diào)整為檢測認證制度。為確保商用密碼產(chǎn)品管理工作平穩(wěn)有序銜接和過渡,2020 年 7 月 1 日前圓滿完成有效期內(nèi)的《商用密碼產(chǎn)品型號證書》換發(fā)《商用密碼認證證書》工作,共換發(fā)證書 1876 張;此前尚未完成的型號審批,申請單位可自愿轉(zhuǎn)為認證申請;審批期間已經(jīng)開展的審查及檢測,認證機構(gòu)不再重復審查、檢測。
有序開展檢測認證工作。依據(jù)《商用密碼產(chǎn)品認證規(guī)則》,有序開展產(chǎn)品認證工作;按照密碼應用安全性評估要求,不斷探索推進密評試點。截至2021 年 6 月 30 日,累計完成產(chǎn)品檢測 3000 余款(含型號審批制度階段),累計發(fā)放認證證書 2528 張(含換發(fā)證書);對 1000 多個高安全等級的重要信息系統(tǒng)進行了密碼應用安全性評估,有效引導了商用密碼企業(yè)提質(zhì)升級,豐富產(chǎn)品供給,保障了商用密碼在重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施中的安全合規(guī)應用。
四、商用密碼檢測認證發(fā)展的未來展望
新時代商用密碼發(fā)展面臨新形勢、新挑戰(zhàn)和新問題,商用密碼檢測認證體系建設(shè)將重點圍繞以下目標繼續(xù)推進。
一是制度體系更加完善。依據(jù)《密碼法》和《商用密碼管理條例》,加快構(gòu)建科學規(guī)范、系統(tǒng)完備、運行高效的法規(guī)體系,完善檢測認證規(guī)則,加強檢測認證機構(gòu)和人員管理,規(guī)范檢測認證活動。按照共性先立、急用先行的原則,跟蹤密碼技術(shù)和密碼應用發(fā)展,大力推進密碼檢測認證標準的制修訂,不斷適應商用密碼產(chǎn)業(yè)和應用發(fā)展新需求。
二是檢測認證機構(gòu)能力全面提升。持續(xù)提升檢測認證技術(shù)能力,突破檢測認證關(guān)鍵核心技術(shù),豐富密碼檢測認證工具,優(yōu)化完善檢測認證手段,提高檢測認證技術(shù)水平和服務質(zhì)量。加強檢測認證人才培養(yǎng),聚焦高層次領(lǐng)軍人才和緊缺急需人才,堅持引進和培養(yǎng)并重,打造一支結(jié)構(gòu)合理、素質(zhì)優(yōu)良、業(yè)務精湛的創(chuàng)新人才隊伍。
三是商用密碼產(chǎn)品、服務和管理體系認證全面開展。建立完善的商用密碼檢測認證體系,促進商用密碼市場健康有序發(fā)展。強化國推商用密碼產(chǎn)品認證體系建設(shè)。推動建立商用密碼服務國推自愿認證制度,穩(wěn)妥開展服務認證。研究探索并適時推動商用密碼管理體系認證。針對商用密碼新產(chǎn)品、新應用、新業(yè)態(tài)、新模式,探索開展自愿性檢測認證活動。
四是服務產(chǎn)業(yè)發(fā)展、應用促進、密碼管理的作用更加突出。以服務為宗旨,以需求為導向,推動檢測認證在商用密碼優(yōu)質(zhì)供給,推動密碼與新興技術(shù)的融合應用,保障密碼應用的合規(guī)、正確、有效。增強檢測認證服務的全面性、針對性、專業(yè)性和有效性,為行政執(zhí)法監(jiān)管提供公正數(shù)據(jù)和技術(shù)支持,提升政府監(jiān)管的可靠性和公信力。
推進商用密碼檢測認證體系高質(zhì)量建設(shè)和發(fā)展,責任重大,使命光榮。商用密碼檢測中心將深入學習貫徹習近平新時代中國特色社會主義思想,深入貫徹落實《密碼法》相關(guān)要求,在國家密碼管理局的領(lǐng)導下,攜手商用密碼產(chǎn)業(yè)和應用各方,守正創(chuàng)新,積極奮進,為建設(shè)科學完備、公正權(quán)威、先進高效的商用密碼檢測認證體系,服務國家安全和經(jīng)濟社會發(fā)展作出新的更大貢獻。
