專題·新時代密碼工作：守正創新 高起點建設高質量商用密碼檢測認證體系

       2020 年 1 月 1 日，《中華人民共和國密碼法》正式施行，明確提出國家推進商用密碼檢測認證體系建設，為商用密碼檢測認證工作指明了方向，提供了根本遵循。商用密碼檢測中心作為經市場監管總局和國家密碼管理局批準的全國唯一一家商用密碼認證機構，深入貫徹落實習近平總書記重要指示批示精神和《密碼法》相關要求，立足發展實際，借鑒相關領域成熟做法和先進經驗，為商用密碼檢測認證體系建設貢獻積極力量。

       一、商用密碼檢測認證體系的重要意義

       進入全面建設社會主義現代化強國的新歷史時期，商用密碼在維護國家安全、促進經濟社會發展、保障人民群眾利益等方面發揮著越來越重要的作用，商用密碼治理體系和治理能力面臨新形勢與新挑戰，建設商用密碼檢測認證體系對貫徹落實新發展理念，推動商用密碼進入高質量發展快車道具有重要意義。

       建設商用密碼檢測認證體系是落實國務院“放管服”改革要求，服務商用密碼管理重塑的重要舉措。貫徹落實《密碼法》，重塑商用密碼管理，檢測認證體系建設是重要組成和關鍵環節。從行政許可管理向檢測認證體系轉變，有效加強事中事后監管，實現商用密碼管理“放”與“管”的有機銜接，也是“放管服”改革的要求。作為國家質量體系管理的一項基本制度，檢測認證利用技術手段對商用密碼產品和服務進行技術把關、質量控制，為行政執法提供公正數據和技術支持，政府從“前臺”轉入“后臺”，進一步放寬市場準入，促進行政職能轉變，推進供給側結構性改革，激發市場活力和社會創造力，創新商用密碼發展，規范商用密碼管理。

       建設商用密碼檢測認證體系是引導商用密碼從業單位提質升級，增加商用密碼高質量供給的發展需要。通過檢測認證手段，保障商用密碼產品、服務符合相關技術標準規范，引導商用密碼從業單位加強技術升級迭代，不斷提升產品、服務質量，全面提升供給能力，實質高質量發展。商用密碼檢測認證采用強制性認證和國推自愿性認證相結合的方式，充分發揮強制性認證的“保底線”作用，對涉及國家安全、國計民生、社會公共利益的商用密碼產品及使用相關設備的服務進行強制性認證，把安全風險降到最低；以國推自愿性認證“拉高線”，引導消費和采購，形成有效的市場選擇機制，促進商用密碼企業提升產品和服務質量，推動“產品”向“精品”轉變，增加優質供給。

       建設商用密碼檢測認證體系是優化商用密碼營商環境，推動商用密碼產業繁榮發展的有效手段。檢測認證提供獨立公正、專業可信的評價信息，向市場和社會傳遞質量與信用信號，引導市場優勝劣汰，從源頭把關，規范市場秩序。在商用密碼產業發展中，針對現有產品和服務，檢測認證評價信息引導市場調節和政府調控；圍繞新興技術和產業發展需求，檢測認證積極促進新興產品標準研究，努力打造高水準、一站式的檢測認證服務平臺，促進新產品研發、生產和應用，為商用密碼產業結構升級和有序發展提供有力支撐。

       二、商用密碼檢測認證體系的總體部署

       商用密碼檢測認證體系按照高質量發展的要求，以制度機制建設為統領，以標準建設、機構建設、力量建設為重點，全面推進產品認證、服務認證和管理體系認證能力建設，大力服務并促進商用密碼產業發展和改革創新。  

       （一）規劃檢測認證體系建設目標

       建立科學完備、公正權威、先進高效的商用密碼檢測認證體系，覆蓋商用密碼產品、服務和管理體系。檢測認證法律法規和標準體系健全，形成市場機制為主導、政府加強事中事后監管的運行機制，推動檢測認證與產業發展深度融合；密碼檢測分析基礎理論研究取得原創性成果，突破一批密碼檢測認證核心關鍵技術，研制一批適應新技術新應用發展以及檢測認證工作需求的檢測認證工具，以科研創新驅動檢測認證發展；培育一批操作規范、技術能力強、服務水平高、規模效益好的檢測認證機構，建成多層次、高水平的檢測認證專業人才隊伍，構建完備的檢測認證基礎設施，推動檢測認證服務做強做優做大。   

       （二）構建檢測認證制度體系

       自2019年10月26日《密碼法》頒布至今，在市場監管總局、國家密碼管理局領導下，初步建立商用密碼檢測認證制度體系，為檢測認證實施提供根本遵循。

       開展頂層設計。2019年12月至2020年5月，市場監管總局會同國家密碼管理局陸續發布《關于調整商用密碼產品管理方式的公告》（第39號）、《關于開展商用密碼檢測認證工作的實施意見》（國市監認證〔2020〕50號）、《商用密碼產品認證目錄(第一批)》和《商用密碼產品認證規則》，取消“商用密碼產品品種和型號審批”制度，建立國家統一推行的商用密碼認證制度，堅持“統一管理、共同實施、規范有序、保障安全”的基本原則，明確市場監管總局、國家密碼管理局以及檢測認證機構等各方職責分工，為商用密碼檢測認證體系奠定制度基礎。

       修訂規章制度。落實黨和國家要求、貫徹《密碼法》精神、適應新時代商用密碼事業發展，國家密碼管理局組織對《商用密碼管理條例》進行修訂，并面向社會征求意見。條例征求意見稿落實《密碼法》規定的推進商用密碼檢測認證體系建設，鼓勵商用密碼從業單位自愿接受商用密碼檢測認證，明確檢測、認證機構資質審批條件、程序及其從業規范，細化檢測認證體系的管理要求和運作機制。

        完善標準規范。標準是檢測認證科學性、權威性、規范性和有效性的根本依據和技術基礎。按照共性先立、急用先行的原則，穩步推進密碼標準制修訂工作，形成了具有自主知識產權的SM系列國產算法及相關密碼技術標準和規范。目前國家密碼管理局已發布密碼行業標準115項，推進發布密碼國家標準39項，覆蓋密碼算法、密碼芯片、密碼設備、密碼應用中間件、密碼系統、密碼檢測等的密碼標準體系基本建立，為商用密碼檢測認證實施提供了有力的標準支撐。

       （三）布局檢測認證力量

       建設國家密碼管理局一手抓機構布局，一手抓能力建設，雙管齊下，穩步推進商用密碼檢測認證體系建設工作。

       建設商用密碼檢測認證機構。立足商用密碼發展實際，我國積極構建“1+M+N”的商用密碼檢測認證體系，即設立1家商用密碼認證機構、M家商用密碼產品檢測機構和N家商用密碼應用安全性評估機構。圍繞產業需求，綜合考慮地理因素，目前我國設立認證機構 1 家（商用密碼檢測中心）；產品檢測機構4家，分布在北京、深圳、上海和成都等地；密評機構48家，分布在北京、天津、上海、杭州、廣州、烏魯木齊、鄭州等地，商用密碼檢測認證隊伍日益壯大。

       強化商用密碼檢測認證能力。經過二十余年的深耕細作，我國密碼檢測基礎理論、關鍵技術、工具平臺、運行機制等方面都取得新突破，多項成果達到國際先進水平，商用密碼檢測能力大幅提升。以安全芯片檢測能力建設為關鍵突破口，逐步建成覆蓋芯片、板卡、整機、系統等22類密碼產品的檢測能力；在探索和實踐中建立完善的電子認證服務系統安全性測評和信息系統密碼應用安全性評估工作機制，積極推進相關測評工作，很好地滿足了商用密碼管理和產業發展的檢測評估需要。

       三、商用密碼檢測認證工作的實施成效

       自《密碼法》實施以來，商用密碼檢測認證工作立足發展實際，積極開展工作，在商用密碼產品檢測認證方面取得了階段性成果。

       初步建成國推商用密碼產品認證實施體系。根據市場監管總局和國家密碼管理局聯合公告要求，依據《商用密碼產品認證規則》，立足認證工作實際，商用密碼檢測中心制定發布 22 類商用密碼產品的認證實施細則，明確認證模式和認證實施流程，作為認證規則的配套文件，共同指導國推產品認證工作的開展。

       完成型號審批機制向檢測認證體系的平穩過渡。《密碼法》實施后，原“商用密碼產品品種和型號審批”行政許可調整為檢測認證制度。為確保商用密碼產品管理工作平穩有序銜接和過渡，2020年7月1日前圓滿完成有效期內的《商用密碼產品型號證書》換發《商用密碼認證證書》工作，共換發證書 1876 張；此前尚未完成的型號審批，申請單位可自愿轉為認證申請；審批期間已經開展的審查及檢測，認證機構不再重復審查、檢測。

       有序開展檢測認證工作。依據《商用密碼產品認證規則》，有序開展產品認證工作；按照密碼應用安全性評估要求，不斷探索推進密評試點。截至2021年6月30日，累計完成產品檢測3000余款（含型號審批制度階段），累計發放認證證書2528張（含換發證書）；對1000多個高安全等級的重要信息系統進行了密碼應用安全性評估，有效引導了商用密碼企業提質升級，豐富產品供給，保障了商用密碼在重要信息系統和關鍵信息基礎設施中的安全合規應用。

       四、商用密碼檢測認證發展的未來展望

       新時代商用密碼發展面臨新形勢、新挑戰和新問題，商用密碼檢測認證體系建設將重點圍繞以下目標繼續推進。

       一是制度體系更加完善。依據《密碼法》和《商用密碼管理條例》，加快構建科學規范、系統完備、運行高效的法規體系，完善檢測認證規則，加強檢測認證機構和人員管理，規范檢測認證活動。按照共性先立、急用先行的原則，跟蹤密碼技術和密碼應用發展，大力推進密碼檢測認證標準的制修訂，不斷適應商用密碼產業和應用發展新需求。

       二是檢測認證機構能力全面提升。持續提升檢測認證技術能力，突破檢測認證關鍵核心技術，豐富密碼檢測認證工具，優化完善檢測認證手段，提高檢測認證技術水平和服務質量。加強檢測認證人才培養，聚焦高層次領軍人才和緊缺急需人才，堅持引進和培養并重，打造一支結構合理、素質優良、業務精湛的創新人才隊伍。

       三是商用密碼產品、服務和管理體系認證全面開展。建立完善的商用密碼檢測認證體系，促進商用密碼市場健康有序發展。強化國推商用密碼產品認證體系建設。推動建立商用密碼服務國推自愿認證制度，穩妥開展服務認證。研究探索并適時推動商用密碼管理體系認證。針對商用密碼新產品、新應用、新業態、新模式，探索開展自愿性檢測認證活動。

       四是服務產業發展、應用促進、密碼管理的作用更加突出。以服務為宗旨，以需求為導向，推動檢測認證在商用密碼優質供給，推動密碼與新興技術的融合應用，保障密碼應用的合規、正確、有效。增強檢測認證服務的全面性、針對性、專業性和有效性，為行政執法監管提供公正數據和技術支持，提升政府監管的可靠性和公信力。

       推進商用密碼檢測認證體系高質量建設和發展，責任重大，使命光榮。商用密碼檢測中心將深入學習貫徹習近平新時代中國特色社會主義思想，深入貫徹落實《密碼法》相關要求，在國家密碼管理局的領導下，攜手商用密碼產業和應用各方，守正創新，積極奮進，為建設科學完備、公正權威、先進高效的商用密碼檢測認證體系，服務國家安全和經濟社會發展作出新的更大貢獻。

       （本文刊登于《中國信息安全》雜志2021年第8期）