關(guān)于瑞術(shù)
黨建活動

強(qiáng)烈推薦 | 關(guān)于我國商用密碼標(biāo)準(zhǔn)體系,看這一篇就夠了!

 二維碼
發(fā)表時間:2020-03-20 10:00作者:密碼頭條來源:國家密碼管理局

一、《密碼法》關(guān)于商用密碼標(biāo)準(zhǔn)體系的規(guī)定

《密碼法》第二十二條規(guī)定:國家建立和完善商用密碼標(biāo)準(zhǔn)體系。國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國家密碼管理部門依據(jù)各自職責(zé),組織制定商用密碼國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。國家支持社會團(tuán)體、企業(yè)利用自主創(chuàng)新技術(shù)制定高于國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)相關(guān)技術(shù)要求的商用密碼團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。

商用密碼標(biāo)準(zhǔn)化是實(shí)現(xiàn)商用密碼技術(shù)自主創(chuàng)新、促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展、構(gòu)建商用密碼應(yīng)用體系的重要支撐。

《密碼法》明確商用密碼標(biāo)準(zhǔn)體系包括商用密碼國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)

商用密碼國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)屬于政府主導(dǎo)制定的標(biāo)準(zhǔn),商用密碼團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)屬于市場主體自主制定的標(biāo)準(zhǔn)。

商用密碼國家標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)化管理委員會組織制定,代號為GB。

商用密碼行業(yè)標(biāo)準(zhǔn)由國家密碼管理局組織制定,報國家標(biāo)準(zhǔn)化管理委員會備案,代號為GM。

商用密碼團(tuán)體標(biāo)準(zhǔn)由商用密碼領(lǐng)域的學(xué)會、協(xié)會等社會團(tuán)體制定,商用密碼企業(yè)標(biāo)準(zhǔn)由商用密碼企業(yè)制定或者企業(yè)聯(lián)合制定。

二、密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會是我國密碼行業(yè)唯一標(biāo)準(zhǔn)化組織

2011年10月,經(jīng)國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn),國家密碼管理局設(shè)立了密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會。密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會作為我國密碼行業(yè)唯一標(biāo)準(zhǔn)化組織,受國家密碼管理局委托,主要職責(zé)包括:

(1)提出密碼行業(yè)標(biāo)準(zhǔn)規(guī)劃和年度標(biāo)準(zhǔn)制定、修訂計劃的建議;

(2)組織密碼行業(yè)標(biāo)準(zhǔn)的編寫、審查、復(fù)審等工作;

(3)組織密碼領(lǐng)域的國家和行業(yè)標(biāo)準(zhǔn)的宣傳貫徹,推薦密碼領(lǐng)域標(biāo)準(zhǔn)化成果申報科技進(jìn)步獎勵,或向國家標(biāo)準(zhǔn)化管理委員會提出項(xiàng)目獎勵建議;

(4)受國家標(biāo)準(zhǔn)化管理委員會委托,對相關(guān)國際標(biāo)準(zhǔn)文件進(jìn)行表決、審查我國提案,并組織開展國際技術(shù)交流與合作等。

三、我國商用密碼標(biāo)準(zhǔn)體系建設(shè)情況

截至2019年12月,國家標(biāo)準(zhǔn)化管理委員會已發(fā)布商用密碼國家標(biāo)準(zhǔn)29項(xiàng),國家密碼管理局已發(fā)布商用密碼行業(yè)標(biāo)準(zhǔn)91項(xiàng),覆蓋商用密碼技術(shù)、產(chǎn)品、服務(wù)、應(yīng)用、檢測和管理等多個領(lǐng)域,構(gòu)建了較為齊全完備的商用密碼標(biāo)準(zhǔn)體系,有效發(fā)揮了商用密碼標(biāo)準(zhǔn)在引領(lǐng)科技進(jìn)步、推動產(chǎn)業(yè)發(fā)展、促進(jìn)互聯(lián)互通、助力應(yīng)用推進(jìn)、優(yōu)化管理服務(wù)等方面的重要作用。

四、商用密碼行業(yè)標(biāo)準(zhǔn)的分類

當(dāng)前,商用密碼的行業(yè)標(biāo)準(zhǔn)分為基礎(chǔ)類標(biāo)準(zhǔn)、應(yīng)用類標(biāo)準(zhǔn)、檢測類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)。

基礎(chǔ)類標(biāo)準(zhǔn)為其他三類標(biāo)準(zhǔn)提供了底層、共性支撐(如術(shù)語、算法、協(xié)議、產(chǎn)品等);

檢測類標(biāo)準(zhǔn)為基礎(chǔ)類標(biāo)準(zhǔn)和應(yīng)用類標(biāo)準(zhǔn)提供了合法性檢測的功能,保障商用密碼使用的合法性;

管理類標(biāo)準(zhǔn)為其他三類標(biāo)準(zhǔn)提供了管理功能;

應(yīng)用類標(biāo)準(zhǔn)為上層具體的密碼產(chǎn)品、服務(wù)應(yīng)用提供支持。

五、關(guān)于商用密碼強(qiáng)制性國家標(biāo)準(zhǔn)和推薦性國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)

我國標(biāo)準(zhǔn)按照實(shí)施效力分為強(qiáng)制性標(biāo)準(zhǔn)和推薦性標(biāo)準(zhǔn)。強(qiáng)制性標(biāo)準(zhǔn)僅有國家標(biāo)準(zhǔn)一級。推薦性標(biāo)準(zhǔn)包括推薦性國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。也就是說,商用密碼行業(yè)標(biāo)準(zhǔn)都是推薦性標(biāo)準(zhǔn)。

強(qiáng)制性標(biāo)準(zhǔn)必須執(zhí)行,不符合強(qiáng)制性標(biāo)準(zhǔn)的產(chǎn)品、服務(wù),不得生產(chǎn)、銷售、進(jìn)口或者提供。違反強(qiáng)制性標(biāo)準(zhǔn)的,依法承擔(dān)相應(yīng)的法律責(zé)任。

國家鼓勵采用推薦性標(biāo)準(zhǔn),即從業(yè)單位自愿采用推薦性標(biāo)準(zhǔn)。同時國家還會采取一些正向激勵措施,鼓勵企業(yè)采用推薦性標(biāo)準(zhǔn)。但在有些情況下,推薦性標(biāo)準(zhǔn)的效力會發(fā)生轉(zhuǎn)化,必須執(zhí)行,例如:

(1)推薦性標(biāo)準(zhǔn)被相關(guān)法律、法規(guī)、規(guī)章等引用,則該推薦性標(biāo)準(zhǔn)具有相應(yīng)的強(qiáng)制約束力,應(yīng)當(dāng)按照法律、法規(guī)、規(guī)章的相關(guān)規(guī)定予以實(shí)施。

(2)推薦性標(biāo)準(zhǔn)被企業(yè)進(jìn)行了自我聲明公開的,企業(yè)必須執(zhí)行該推薦性標(biāo)準(zhǔn)。企業(yè)生產(chǎn)的產(chǎn)品與明示標(biāo)準(zhǔn)不一致的,根據(jù)《產(chǎn)品質(zhì)量法》等法律法規(guī)承擔(dān)相應(yīng)的法律責(zé)任。

(3)推薦性標(biāo)準(zhǔn)被合同雙方作為產(chǎn)品或服務(wù)交付的質(zhì)量依據(jù)的,該推薦性標(biāo)準(zhǔn)對合同雙方具有約束力,雙方必須執(zhí)行該推薦性標(biāo)準(zhǔn),并依據(jù)《合同法》的規(guī)定承擔(dān)法律責(zé)任。

六、商用密碼標(biāo)準(zhǔn)的法律效力

《密碼法》第二十四條規(guī)定:商用密碼從業(yè)單位開展商用密碼活動,應(yīng)當(dāng)符合有關(guān)法律、行政法規(guī)、商用密碼強(qiáng)制性國家標(biāo)準(zhǔn)以及該從業(yè)單位公開標(biāo)準(zhǔn)的技術(shù)要求。國家鼓勵商用密碼從業(yè)單位采用商用密碼推薦性國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),提升商用密碼的防護(hù)能力,維護(hù)用戶的合法權(quán)益。

商用密碼從業(yè)單位開展商用密碼活動應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)的規(guī)定行使權(quán)利和履行義務(wù),是遵守法律的必然要求。商用密碼從業(yè)單位開展商用密碼活動,除了遵守法律、行政法規(guī),還應(yīng)當(dāng)符合商用密碼強(qiáng)制性國家標(biāo)準(zhǔn)以及該從業(yè)單位公開標(biāo)準(zhǔn)的技術(shù)要求。此外,國家鼓勵商用密碼從業(yè)單位采用商用密碼推薦性國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

七、我國商用密碼國際標(biāo)準(zhǔn)化開展情況

《密碼法》第二十三條第一款規(guī)定:國家推動參與商用密碼國際標(biāo)準(zhǔn)化活動,參與制定商用密碼國際標(biāo)準(zhǔn),推進(jìn)商用密碼中國標(biāo)準(zhǔn)與國外標(biāo)準(zhǔn)之間的轉(zhuǎn)化運(yùn)用。

我國高度重視商用密碼國際標(biāo)準(zhǔn)化工作,大力推進(jìn)以我國自主設(shè)計研制的SM系列密碼算法為代表的中國商用密碼標(biāo)準(zhǔn)納入國際標(biāo)準(zhǔn),積極參與國際標(biāo)準(zhǔn)化活動,加強(qiáng)國際交流合作。

2011年9月,我國設(shè)計的祖沖之(ZUC)算法納入國際第三代合作伙伴計劃組織(3GPP)的4G移動通信標(biāo)準(zhǔn),用于移動通信系統(tǒng)空中傳輸信道的信息加密和完整性保護(hù),這是我國密碼算法首次成為國際標(biāo)準(zhǔn)。

2015年5月起,我國陸續(xù)向ISO提出了將SM2、SM3、SM4和SM9算法納入國際標(biāo)準(zhǔn)的提案。

2017年,SM2和SM9算法正式成為ISO/IEC國際標(biāo)準(zhǔn)。

2018年,SM3算法正式成為ISO/IEC國際標(biāo)準(zhǔn)。我國商用密碼國際標(biāo)準(zhǔn)體系已初步成型,為密碼在全球范圍的發(fā)展與應(yīng)用提供了中國方案,貢獻(xiàn)了中國智慧。

在轉(zhuǎn)化運(yùn)用國際標(biāo)準(zhǔn)方面,商用密碼行業(yè)標(biāo)準(zhǔn)GM/T0028《密碼模塊安全技術(shù)要求》和GM/T0039《密碼模塊安全檢測要求》,分別參考國際標(biāo)準(zhǔn)ISO19790和ISO24759編制,為規(guī)范商用密碼產(chǎn)品管理、提升商用密碼產(chǎn)品安全防護(hù)能力發(fā)揮了重要作用,充分體現(xiàn)了商用密碼標(biāo)準(zhǔn)制定的開放性。

八、鼓勵企業(yè)、社會團(tuán)體和教育、科研機(jī)構(gòu)等參與商用密碼國際標(biāo)準(zhǔn)化活動

《密碼法》第二十三條第二款規(guī)定:國家鼓勵企業(yè)、社會團(tuán)體和教育、科研機(jī)構(gòu)等參與商用密碼國際標(biāo)準(zhǔn)化活動。

企業(yè)、社會團(tuán)體和教育、科研機(jī)構(gòu)等全面深入地參與商用密碼國際標(biāo)準(zhǔn)的制修訂等國際標(biāo)準(zhǔn)化活動,是全球化的必然趨勢和要求,有利于提升商用密碼技術(shù)的全球影響力,同時也為降低包括密碼脆弱性在內(nèi)的全球網(wǎng)絡(luò)安全整體風(fēng)險貢獻(xiàn)中國智慧和提供中國方案。

九、關(guān)于商用密碼從業(yè)單位公開標(biāo)準(zhǔn)的技術(shù)要求和作用

《密碼法》規(guī)定了企業(yè)標(biāo)準(zhǔn)自我聲明公開和監(jiān)督制度,調(diào)整的對象是企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)所執(zhí)行的標(biāo)準(zhǔn),這類標(biāo)準(zhǔn)規(guī)定了企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)所應(yīng)達(dá)到的各類技術(shù)指標(biāo)和要求,是企業(yè)對其產(chǎn)品和服務(wù)質(zhì)量的硬承諾,應(yīng)當(dāng)公開并接受市場監(jiān)督。

企業(yè)生產(chǎn)的商用密碼產(chǎn)品和提供的商用密碼服務(wù),如果執(zhí)行國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn),企業(yè)應(yīng)該公開相應(yīng)的標(biāo)準(zhǔn)名稱和標(biāo)準(zhǔn)編號;如果企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)所執(zhí)行的標(biāo)準(zhǔn)是本企業(yè)制定的企業(yè)標(biāo)準(zhǔn),企業(yè)除了公開相應(yīng)的標(biāo)準(zhǔn)名稱和標(biāo)準(zhǔn)編號,還應(yīng)當(dāng)公開企業(yè)產(chǎn)品、服務(wù)的技術(shù)指標(biāo)。公開指標(biāo)的類別和內(nèi)容由企業(yè)根據(jù)自身特點(diǎn)自主確定,企業(yè)應(yīng)對公開的產(chǎn)品和服務(wù)標(biāo)準(zhǔn)的真實(shí)性、準(zhǔn)確性、合法性負(fù)責(zé)。

企業(yè)生產(chǎn)的產(chǎn)品和提供的服務(wù)應(yīng)當(dāng)符合企業(yè)自我聲明公開標(biāo)準(zhǔn)提出的技術(shù)要求,不符合企業(yè)自我聲明公開標(biāo)準(zhǔn)提出的技術(shù)要求的,應(yīng)依法承擔(dān)相應(yīng)的責(zé)任。