我国密码法管理办法

我国密码法管理办法一、总则（一）立法目的为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》，制定本办法。（二）适用范围本办法适用于在中华人民共和国境内从事密码科研、生产、服务、检测、认证等活动以及使用密码的相关单位和个人。（三）基本原则1.统一领导原则：密码工作实行统一领导，坚持总体国家安全观，遵循统一规划、统一标准、统一建设、统一实施、统一管理的原则。2.分级负责原则：根据密码工作的重要程度和涉密程度，实行分级负责、分类管理。3.保障安全原则：充分发挥密码在维护国家安全、促进经济社会发展、保护公民法人和其他组织合法权益中的作用，确保密码安全可靠。4.创新发展原则：鼓励和支持密码科学技术研究和创新，推广应用先进的密码技术和产品，提升密码工作水平。（四）主管部门及职责国家密码管理部门负责全国密码工作的统一管理，制定密码政策、规划、标准，组织开展密码科研、生产、检测、认证等工作，负责密码管理有关行政审批、行政许可工作等。县级以上地方各级密码管理部门负责本行政区域的密码管理工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作，并接受密码管理部门的指导、监督和检查。二、密码科研管理（一）科研规划与计划国家密码管理部门会同有关部门制定密码科研规划和计划，明确密码科研的重点领域和方向，引导密码科研资源合理配置。密码科研项目实行项目制管理，项目承担单位应当按照项目计划组织实施科研活动，确保项目目标的实现。（二）科研立项与审批申请承担密码科研项目的单位，应当具备相应的科研能力和条件，并按照规定的程序向国家密码管理部门提出立项申请。国家密码管理部门应当对申请项目进行审查，符合要求的予以立项，并与项目承担单位签订项目任务书。（三）科研成果管理密码科研成果归国家所有，由项目承担单位按照国家有关规定进行管理和使用。密码科研成果涉及国家秘密的，应当按照国家保密法律法规的规定进行保密管理。未经国家密码管理部门批准，任何单位或者个人不得擅自转让、许可他人使用密码科研成果。三、密码生产管理（一）生产许可制度从事密码产品生产的单位，应当经国家密码管理部门许可，并取得《商用密码产品生产定点单位证书》。申请《商用密码产品生产定点单位证书》的单位，应当具备相应的生产条件和技术能力，符合国家密码管理部门规定的资质要求。（二）生产标准与规范密码产品生产应当符合国家密码标准和技术规范。国家密码管理部门制定和发布密码产品标准和技术规范，指导密码产品生产单位按照标准和规范组织生产。密码产品生产单位应当建立健全质量保证体系，严格执行生产标准和技术规范，确保产品质量。（三）生产过程监管国家密码管理部门对密码产品生产单位的生产活动进行监督检查，重点检查生产单位是否按照许可范围生产、是否符合生产标准和技术规范、是否建立质量保证体系等。密码产品生产单位应当接受国家密码管理部门的监督检查，如实提供有关情况和资料。四、密码服务管理（一）服务资质认定从事密码服务的单位，应当经国家密码管理部门认定，并取得《商用密码服务资质证书》。申请《商用密码服务资质证书》的单位，应当具备相应的服务能力和条件，符合国家密码管理部门规定的资质要求。（二）服务标准与规范密码服务单位应当按照国家密码管理部门制定的服务标准和规范提供服务，确保服务质量和安全。密码服务标准和规范包括密码服务的流程、技术要求、安全保障措施等方面的内容。（三）服务过程监管国家密码管理部门对密码服务单位的服务活动进行监督检查，重点检查服务单位是否按照资质认定范围提供服务、是否符合服务标准和规范、是否建立安全保障体系等。密码服务单位应当接受国家密码管理部门的监督检查，如实提供有关情况和资料。五、密码检测与认证管理（一）检测机构资质从事密码检测的机构，应当经国家密码管理部门认可，并取得《密码检测机构资质证书》。申请《密码检测机构资质证书》的机构，应当具备相应的检测能力和条件，符合国家密码管理部门规定的资质要求。（二）检测标准与规范密码检测机构应当按照国家密码管理部门制定的检测标准和规范开展检测工作，确保检测结果的科学、准确、公正。密码检测标准和规范包括密码产品和服务的功能、性能、安全性等方面的检测要求。（三）认证机构资质从事密码认证的机构，应当经国家密码管理部门批准，并取得《密码认证机构资质证书》。申请《密码认证机构资质证书》的机构，应当具备相应的认证能力和条件，符合国家密码管理部门规定的资质要求。（四）认证标准与规范密码认证机构应当按照国家密码管理部门制定的认证标准和规范开展认证工作，确保认证结果的真实、可靠。密码认证标准和规范包括密码产品和服务的安全性、可靠性、合规性等方面的认证要求。（五）检测与认证结果使用密码检测和认证结果是密码产品和服务质量的重要依据。国家机关和涉及密码工作的单位在采购、使用密码产品和服务时，应当优先选用通过检测和认证的产品和服务。密码产品和服务提供者应当按照检测和认证结果进行改进和优化，不断提高产品和服务质量。六、密码使用管理（一）使用要求国家机关和涉及国家安全、国计民生、社会公共利益的重点领域的单位，应当按照法律、行政法规和国家有关规定使用密码进行保护。使用密码应当遵循最小化授权原则，严格限定知悉范围，采取必要的安全保密措施，防止密码被窃取、篡改、泄露。（二）使用备案使用密码的单位应当按照国家密码管理部门的规定，将密码的使用情况向密码管理部门备案。备案内容包括密码的种类、使用范围、使用方式、安全保密措施等。（三）应急处置使用密码的单位应当制定密码应急处置预案，定期进行演练，提高应对密码安全事件的能力。发生密码安全事件时，使用密码的单位应当立即采取措施进行处置，并及时向密码管理部门报告。七、密码安全管理（一）安全制度建设密码使用单位应当建立健全密码安全管理制度，明确密码管理责任，规范密码使用流程，加强密码安全防护。密码安全管理制度应当包括密码的生成、存储、传输、使用、销毁等环节的安全要求。（二）安全技术措施密码使用单位应当采取必要的安全技术措施，保障密码的安全。安全技术措施包括密码加密技术、访问控制技术、安全审计技术、数据备份与恢复技术等。（三）人员安全管理密码使用单位应当加强对涉及密码工作的人员的安全管理，定期进行安全培训和教育，提高人员的安全意识和技能。涉及密码工作的人员应当签订保密协议，遵守保密规定，不得泄露密码信息。（四）安全监督检查国家密码管理部门对密码使用单位的密码安全情况进行监督检查，重点检查密码安全管理制度的执行情况、安全技术措施的落实情况、人员安全管理情况等。密码使用单位应当接受国家密码管理部门的监督检查，如实提供有关情况和资料。八、法律责任（一）违法行为及处罚违反本办法规定，有下列行为之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得在五万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足五万元的，可以并处五万元以下罚款；情节严重的，由密码管理部门吊销其相关资质证书：1.未经许可从事密码科研、生产、服务、检测、认证等活动的；2.未按照规定的标准和规范从事密码科研、生产、服务、检测、认证等活动的；3.转让、许可他人使用未经审批的密码科研成果的；4.未按照许可范围从事密码产品生产的；5.未按照资质认定范围提供密码服务的；6.未按照规定进行密码检测、认证的；7.未按照规定使用密码的；8.未按照规定备案密码使用情况的；9.未建立健全密码安全管理制度的；