国产密码管理办法

国产密码管理办法一、总则（一）目的为了规范国产密码的使用和管理，保障网络与信息安全，维护国家安全和社会公共利益，根据《中华人民共和国密码法》等相关法律法规，制定本办法。（二）适用范围本办法适用于在中华人民共和国境内使用国产密码进行保护的网络与信息系统，包括但不限于政务信息系统、关键信息基础设施、电子商务系统等。（三）基本原则1.依法管理原则：国产密码的使用和管理应当严格遵守国家法律法规的规定，确保合法合规。2.安全可靠原则：选用的国产密码产品和服务应当具备高安全性、可靠性和稳定性，能够有效抵御各类安全威胁。3.自主可控原则：鼓励和支持国产密码技术的研发和应用，提高自主创新能力，实现关键核心技术自主可控。4.协同配合原则：国产密码的使用和管理涉及多个部门和环节，应当加强协同配合，形成工作合力。（四）定义1.国产密码：指由中国自主研发、生产，具有自主知识产权，符合国家密码标准的密码产品和密码服务。2.密码产品：包括密码芯片、密码模块、密码板卡、密码整机等硬件产品，以及密码算法、密码协议、密码软件等软件产品。3.密码服务：指基于密码技术提供的加密、解密、认证、签名等服务。二、国产密码的使用（一）使用范围1.网络与信息系统的安全保护：在涉及国家秘密、商业秘密、个人隐私等重要信息的网络与信息系统中，应当按照国家密码管理部门的要求，使用国产密码进行加密保护。2.关键信息基础设施：关键信息基础设施运营者应当按照国家密码管理部门的规定，采用国产密码技术和产品，保障关键信息基础设施的安全稳定运行。3.电子政务：政务信息系统应当使用国产密码进行身份认证、数据加密、传输安全等方面的保护，确保政务信息的安全可靠。4.电子商务：电子商务经营者应当按照国家密码管理部门的要求，使用国产密码保障交易信息的安全，保护消费者的合法权益。（二）使用要求1.选用合格产品和服务：使用国产密码的单位和个人应当选用通过国家密码管理部门认证的密码产品和服务，并与产品和服务提供者签订安全保密协议。2.遵循标准规范：国产密码的使用应当遵循国家密码管理部门制定的相关标准和规范，确保密码的正确使用和安全管理。3.定期评估：使用国产密码的单位和个人应当定期对密码的使用情况进行评估，及时发现和解决存在的问题，确保密码的安全性和有效性。（三）使用流程1.需求分析：使用单位根据自身业务需求和安全要求，确定国产密码的使用范围和方式。2.方案设计：使用单位委托具备资质的机构或自行设计国产密码应用方案，明确密码产品和服务的选型、配置、部署等内容。3.产品选型：使用单位按照国家密码管理部门的要求，选用通过认证的国产密码产品和服务。4.实施部署：使用单位按照国产密码应用方案进行密码产品和服务的实施部署，确保密码系统的正常运行。5.测试验收：使用单位对国产密码应用系统进行测试验收，确保系统符合相关标准和要求。6.运行维护：使用单位建立健全国产密码应用系统的运行维护管理制度，定期进行安全检查和维护，及时处理安全隐患。三、国产密码的管理（一）管理职责1.国家密码管理部门：负责全国国产密码的管理工作，制定国产密码政策法规、标准规范，组织开展国产密码的认证、检测等工作。2.地方密码管理部门：负责本行政区域内国产密码的管理工作，贯彻执行国家密码管理部门的相关规定，监督检查国产密码的使用和管理情况。3.使用单位：负责本单位国产密码的使用和管理工作，建立健全管理制度，落实管理责任，保障密码的安全使用。（二）采购管理1.采购渠道：使用单位应当通过国家密码管理部门认可的采购渠道采购国产密码产品和服务。2.采购流程：使用单位应当按照相关规定，编制国产密码采购计划，进行采购招标或谈判，签订采购合同，并报国家密码管理部门备案。（三）存储管理1.存储环境：国产密码产品和服务应当存储在安全可靠的环境中，采取必要的安全防护措施，防止密码信息泄露。2.存储介质：存储国产密码的介质应当进行加密处理，并按照国家密码管理部门的要求进行标识和管理。（四）使用管理1.权限管理：使用国产密码的单位和个人应当严格按照权限使用密码，不得越权操作。2.日志记录：使用单位应当建立健全密码使用日志记录制度，对密码的使用情况进行详细记录，以便进行审计和追溯。3.应急处置：使用单位应当制定国产密码应急处置预案，定期进行演练，及时处理密码安全事件。（五）废弃管理1.废弃处理：对废弃的国产密码产品和服务，应当按照国家密码管理部门的要求进行安全处理，防止密码信息泄露。2.销毁记录：废弃国产密码产品和服务的销毁应当进行记录，记录内容包括销毁时间、地点、方式、数量等。四、国产密码的监督检查（一）监督检查主体1.国家密码管理部门：负责对全国国产密码的使用和管理情况进行监督检查。2.地方密码管理部门：负责对本行政区域内国产密码的使用和管理情况进行监督检查。3.相关部门：其他有关部门按照职责分工，对本行业、本领域国产密码的使用和管理情况进行监督检查。（二）监督检查内容1.国产密码的使用情况：检查使用单位是否按照规定使用国产密码，是否选用合格的密码产品和服务。2.国产密码的管理情况：检查使用单位是否建立健全国产密码管理制度，是否落实管理责任，密码的存储、使用、废弃等环节是否符合要求。3.密码安全状况：检查国产密码应用系统的安全状况，是否存在安全漏洞和隐患。（三）监督检查方式1.定期检查：国家密码管理部门和地方密码管理部门定期组织开展国产密码使用和管理情况的检查。2.不定期抽查：国家密码管理部门和地方密码管理部门不定期对使用单位进行抽查，及时发现和解决问题。3.专项检查：针对特定领域或特定问题，国家密码管理部门和地方密码管理部门组织开展专项检查。（四）问题处理1.责令整改：对监督检查中发现的问题，监督检查部门应当责令使用单位限期整改。2.行政处罚：对违反本办法规定的使用单位和个人，国家密码管理部门和地方密码管理部门应当依法给予行政处罚。3.追究刑事责任：对构成犯罪的，依法追究刑事责任。五、国产密码的技术支持与服务（一）技术支持1.技术咨询：国家密码管理部门和地方密码管理部门应当为使用单位提供国产密码技术咨询服务，解答使用过程中遇到的技术问题。2.技术培训：国家密码管理部门和地方密码管理部门应当组织开展国产密码技术培训，提高使用单位的技术水平和管理能力。（二）服务保障1.产品维护：密码产品和服务提供者应当为使用单