2026年商用密码管理考试题及答案

2026年商用密码管理考试题及答案一、单项选择题（本大题共20小题，每小题1分，共20分。在每小题列出的四个备选项中只有一个是符合题目要求的，错选、多选或未选均无分。）1.根据2023年修订实施的《中华人民共和国商用密码管理条例》，下列关于商用密码的法定定义，表述正确的是（）A.商用密码是指专门用于保护涉及国家秘密内容的密码技术、产品和服务B.商用密码是指对不涉及国家秘密内容进行加密保护、密码安全认证的密码技术、产品和服务C.商用密码仅指商用密码硬件产品，不包含密码算法、密码服务等无形服务内容D.我国密码分类体系中，核心密码、普通密码均属于商用密码的子类别2.依据我国商用密码管理相关规定，负责统筹、监督全国范围内商用密码管理工作的法定主管部门是（）A.国家互联网信息办公室B.国家市场监督管理总局C.国家密码管理部门D.公安部网络安全保卫局3.下列活动中，不属于我国商用密码管理制度调整范围的是（）A.某民营企业使用商用密码对自身客户信息存储系统进行加密保护B.某互联网企业面向公众提供商用密码身份认证服务C.某省级党政机关使用核心密码对涉密公文传输系统进行加密保护D.某外贸企业出口商用密码加密芯片到欧盟成员国4.国家对商用密码产品和商用密码服务实行强制性什么制度，未经该项合格评定不得出厂、销售、进口或者提供（）A.备案登记B.检测认证C.行政许可D.专家评审5.申请设立商用密码检测机构，开展商用密码检测活动，应当依法取得哪个部门的商用密码检测机构资质认定（）A.省级市场监督管理部门B.省级密码管理部门C.国家密码管理部门D.国家网信部门6.某企业同时开展商用密码检测业务和商用密码产品生产销售业务，依据规定，该企业的上述两项业务应当符合什么要求（）A.经省级密码管理部门批准后可在同一机构下开展B.必须实现机构、人员、财务三分离C.只要利益相关方披露即可开展D.法律禁止任何企业同时开展上述两项业务，必须拆分经营主体7.针对网络安全等级保护定级为第三级的非涉密信息系统，运营者应当依法履行哪项商用密码管理义务（）A.仅需使用商用密码产品，无需开展其他工作B.使用商用密码进行保护，并开展商用密码应用安全性评估C.仅需在等保测评中纳入密码内容，无需单独开展应用安全性评估D.仅当涉及公民个人信息时才需要使用商用密码保护8.关键信息基础设施运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法接受哪项审查（）A.商用密码应用安全性评估B.商用密码检测认证C.国家安全审查D.密码进口许可审查9.电子政务不涉及国家秘密的信息系统建设，应当遵循哪项商用密码使用要求（）A.鼓励优先使用商用密码进行保护，也可选择不使用B.必须使用商用密码进行保护，密码应用方案经过密码管理部门核准C.仅需对核心业务数据加密，无需整体部署商用密码D.自行选择是否使用商用密码，无需向任何部门报备10.公民、法人和其他组织依法享有使用商用密码保护自身合法权益的权利，下列使用行为中符合法律规定的是（）A.使用商用密码窃取他人商业秘密B.利用商用密码从事电信网络诈骗违法活动C.企业使用商用密码加密存储自身客户付费信息D.利用商用密码规避监管部门的合法监督检查11.国家鼓励商用密码技术的研究开发和推广应用，对商用密码算法实行什么管理制度（）A.所有商用密码算法均必须公开，不得加密B.商用密码算法均为国家秘密，不得对外披露C.鼓励自主研发商用密码算法，符合要求的纳入商用密码算法名录D.仅允许使用国家指定的算法，禁止企业自主研发商用密码算法12.从事商用密码产品进口和出口的经营主体，应当向哪个部门申请进出口许可，依法取得进出口许可证件（）A.国家密码管理部门B.海关总署C.商务部D.国家发展和改革委员会13.商用密码认证机构需要终止商用密码认证活动的，应当提前多久向国家密码管理部门报告，并且做好相关档案的移交工作（）A.30日B.6个月C.90日D.1年14.商用密码应用安全性评估报告完成后，运营者应当按照规定将评估报告报送哪个部门（）A.同级公安机关B.同级密码管理部门C.上级人民政府D.国家网信部门15.对列入网络关键设备和网络安全专用产品目录的商用密码产品，应当依法由谁进行安全认证合格后方可销售（）A.具备资质的商用密码认证机构B.运营者自行检测C.产品生产企业自行认证D.第三方网络安全公司测评16.密码管理部门开展商用密码监督检查，不得收取检查费用，执法人员不得少于多少人，并应当出示合法行政执法证件（）A.1人B.2人C.3人D.4人17.未取得商用密码检测资质擅自开展商用密码检测活动的，由哪一级部门依法进行查处（）A.县级以上市场监督管理部门B.县级以上密码管理部门C.省级公安机关D.国家网信部门18.中国密码学会、商用密码行业协会等商用密码行业组织的核心作用是（）A.代替密码管理部门开展行政审批B.开展行业自律、行业培训、提供行业服务，促进商用密码行业健康发展C.直接开展商用密码产品检测认证D.制定商用密码行业的强制性国家标准19.关键信息基础设施运营者应当至少多久对商用密码应用安全性进行一次重新评估（）A.每半年B.每年C.每三年D.每五年20.商用密码领域的行业标准和国家标准，由哪个部门组织制定并公布（）A.国家标准化行政主管部门会同国家密码管理部门B.国家密码管理部门单独制定C.行业协会制定，国家标准化部门备案D.国务院直接制定公布二、多项选择题（本大题共10小题，每小题2分，共20分。在每小题列出的五个备选项中至少有两个是符合题目要求的，错选、多选、少选或未选均无分。）1.我国密码体系的法定分类包括下列哪几类（）A.核心密码B.普通密码C.商用密码D.民用密码E.涉密密码2.下列哪些信息系统的运营者，依法应当开展商用密码应用安全性评估（）A.关键信息基础设施B.网络安全等级保护第三级及以上非涉密信息系统C.不涉及国家秘密的电子政务信息系统D.普通企业内部办公局域网（等保二级）E.日活超过1亿的大型互联网平台信息系统（国家要求评估）3.商用密码检测、认证机构开展检测认证活动，应当遵守下列哪些要求（）A.遵循有关国家标准、技术规范B.保证检测认证结果客观、真实、公正C.不得同时从事商用密码产品的研发、生产和销售活动D.不得同时从事与检测认证相关的商用密码技术咨询服务E.对检测认证过程中知悉的国家秘密、商业秘密和个人隐私负有保密义务4.下列关于商用密码进出口管理的表述，符合我国法律规定的有（）A.进口商用密码产品应当依法取得进口许可B.出口商用密码产品应当依法取得出口许可C.向境外组织提供商用密码服务不需要取得许可，仅需备案D.进出口商用密码产品应当依法向海关如实申报，接受海关监管E.涉及国家安全的商用密码禁止进出口5.关键信息基础设施运营者在商用密码使用与管理中，应当履行下列哪些义务（）A.制定完善商用密码应用管理制度，明确密码管理责任B.使用经检测认证合格的商用密码产品和服务C.定期开展商用密码应用安全性评估，报送评估结果D.配合密码管理部门的监督检查，提供相关材料E.定期开展密码应用人员培训，更新密码防护策略6.国家密码管理部门对商用密码应用安全性评估机构实行统一管理，评估机构应当符合下列哪些条件（）A.具备独立的法人资格B.拥有与开展评估活动相适应的专业人员和技术能力C.拥有完善的质量管理制度和安全管理制度D.与被评估单位不存在直接利益关系E.近三年无重大违法违规记录7.任何单位和个人不得实施下列哪些危害商用密码安全的行为（）A.非法侵入他人商用密码应用系统B.非法窃取他人商用密码保护的信息数据C.非法破解他人商用密码，破坏商用密码技术保护措施D.擅自更改商用密码应用系统的配置参数，降低安全防护等级E.未经授权擅自转让商用密码产品使用权给第三方8.县级以上地方密码管理部门依法可以开展下列哪些监督管理工作（）A.对本行政区域内的商用密码应用情况开展专项检查B.依法查处本行政区域内违反商用密码管理规定的违法行为C.组织开展本行政区域内商用密码宣传培训，推广自主商用密码技术D.审批本行政区域内商用密码检测机构资质E.制定本地区商用密码应用发展规划9.下列关于商用密码电子签名的法律效力，表述正确的有（）A.符合法律规定的商用密码电子签名与手写签名或者盖章具有同等法律效力B.当事人可以约定使用商用密码电子签名订立电子合同C.电子政务服务中不得使用商用密码电子签名，必须使用实体印章D.可靠的商用密码电子签名不得否认签名行为和签名内容E.金融领域不得使用商用密码电子签名开展身份认证10.违反商用密码管理规定，有下列哪些情形的，密码管理部门可以从轻或者减轻行政处罚（）A.主动消除或者减轻违法行为危害后果的B.受他人胁迫或者诱骗实施违法行为的C.主动供述密码管理部门尚未掌握的违法行为的D.配合密码管理部门查处违法行为有立功表现的E.违法行为轻微并及时改正，没有造成危害后果的三、判断题（本大题共10小题，每小题1分，共10分。正确打√，错误打×。）1.公民、法人和其他组织可以利用商用密码从事任何活动，不受法律约束。（）2.商用密码应用安全性评估结果可以作为网络安全等级保护备案、关键信息基础设施认定的重要依据。（）3.涉及国家秘密的信息系统，必须使用商用密码进行加密保护，不得使用核心密码或者普通密码。（）4.商用密码检测机构出具虚假检测报告的，情节严重的应当吊销其检测资质。（）5.国家支持网络产品和服务提供者使用自主商用密码技术提升安全防护能力，鼓励密码应用创新。（）6.关键信息基础设施运营者可以根据自身需求，选择使用未经过检测认证的商用密码产品，只要不发生安全事件即可。（）7.密码管理部门的工作人员对监督检查中知悉的商业秘密负有保密义务。（）8.出口商用密码产品不需要取得国家密码管理部门许可，只要取得海关放行即可。（）9.商用密码行业协会应当加强行业自律，推动行业诚信建设，促进商用密码行业健康发展。（）10.运营者未按照规定开展商用密码应用安全性评估，密码管理部门可以直接作出罚款处罚，不需要先责令改正。（）四、简答题（本大题共3小题，每小题10分，共30分）1.简述《商用密码管理条例》规定的商用密码应用安全性评估制度的核心作用与适用范围。2.简述商用密码强制性检测认证制度的主要内容及管理要求。3.简述密码管理部门开展商用密码监督检查可以行使哪些职权。五、案例分析题（本大题共1小题，共20分）2025年6月，某省会城市轨道交通集团新建城市轨道交通全自动运行线网调度指挥系统，该系统被认定为关键信息基础设施，定级为网络安全等级保护第三级，不涉及国家秘密信息。为了加快项目进度，该集团直接与本地一家未取得商用密码服务资质的科技公司签订了商用密码加密服务合同，采购该公司自行开发的信号传输加密产品，该产品未取得国家规定的商用密码产品认证。系统上线试运行前，该集团仅委托第三方公司开展了网络安全等级保护测评，未按照要求开展商用密码应用安全性评估，也未将相关情况报送当地密码管理部门。2025年12月，省密码管理局开展关键信息基础设施商用密码应用专项督查，发现了上述问题。结合上述案例，回答下列问题：（1）本案中轨道交通集团存在哪些违反《商用密码管理条例》的行为？（8分）（2）省密码管理局依法应当如何对上述违法行为进行处理？（8分）（3）本案中提供产品和服务的科技公司存在哪些违法行为？（4分）参考答案及解析一、单项选择题参考答案及解析1.答案：B解析：根据《商用密码管理条例》第二条规定，本条例所称商用密码，是指对不涉及国家秘密内容进行加密保护、密码安全认证的密码技术、产品和服务。我国密码分为核心密码、普通密码和商用密码三类，核心密码、普通密码用于保护国家秘密信息，因此A选项错误，核心密码普通密码用于保护国家秘密，不属于商用密码；C选项错误，商用密码包含技术、产品、服务三类，并非仅指硬件产品；D选项错误，核心密码、普通密码是独立于商用密码的密码类别，因此本题选B。2.答案：C解析：《商用密码管理条例》第四条规定，国家密码管理部门负责全国商用密码的监督管理工作。县级以上地方各级密码管理部门负责本行政区域的商用密码监督管理工作。网信、市场监督管理、公安、海关等部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责商用密码有关监督管理工作。因此国家密码管理部门是全国商用密码工作的主管部门，本题选C，其他选项均为协同监管部门，不是主管部门。3.答案：C解析：核心密码和普通密码用于保护国家秘密信息，其管理不适用《商用密码管理条例》，由《密码法》和相关保密规定调整。C选项中使用核心密码保护涉密系统属于核心密码管理范畴，不属于商用密码调整范围，因此选C；ABD选项中的活动均属于商用密码管理的调整范围，符合规定。4.答案：B解析：《商用密码管理条例》第二十条规定，国家对商用密码产品和商用密码服务实行强制性检测认证制度。未经检测认证合格的商用密码产品、商用密码服务，不得出厂、销售、进口或者提供。因此本题选B。5.答案：C解析：根据条例规定，从事商用密码检测活动的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质；未经认定，不得开展商用密码检测活动。因此资质认定由国家密码管理部门负责，本题选C。6.答案：B解析：《商用密码管理条例》第二十三条规定，商用密码检测机构不得同时从事商用密码产品的研发、生产、销售，不得与检测对象存在利益关系；存在利害关系的应当回避。同时从事检测和生产销售的，必须实现机构、人员、财务三分离。因此本题选B。7.答案：B解析：条例第二十一条规定，关键信息基础设施、网络安全等级保护第三级以上的非涉密信息系统，运营者应当使用商用密码进行保护，自行或者委托商用密码应用安全性评估机构开展商用密码应用安全性评估。因此本题选B。8.答案：C解析：条例第二十六条规定，关键信息基础设施运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法进行国家安全审查。因此本题选C，检测认证是产品服务准入要求，国家安全审查是涉及国家安全的额外审查要求。9.答案：B解析：条例第二十二条规定，建设不涉及国家秘密的电子政务信息系统，应当使用商用密码进行保护，商用密码应用方案应当按照国家有关规定经密码管理部门核准。因此本题选B，电子政务非涉密系统必须使用商用密码保护，不是可选项。10.答案：C解析：条例第七条规定，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。C选项企业使用商用密码加密自身客户信息是合法行为，符合规定，因此选C；ABD选项均属于违法活动，不符合规定。11.答案：C解析：条例第八条规定，国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。符合条件的商用密码算法纳入国家商用密码算法名录，企业可以自主研发商用密码算法，因此C选项表述正确；A选项错误，涉及安全的商用密码算法不会全部公开；B选项错误，商用密码算法分为不同类型，并非全部都是国家秘密；D选项错误，国家鼓励企业自主研发商用密码算法，并非禁止，因此本题选C。12.答案：A解析：条例第三十条规定，进口商用密码产品或者出口商用密码产品，以及向境外提供商用密码服务的，应当经国家密码管理部门许可，依法取得进出口许可证件。因此许可由国家密码管理部门核发，本题选A。13.答案：C解析：根据商用密码检测认证管理相关规定，商用密码认证机构终止商用密码认证活动的，应当提前90日向国家密码管理部门报告，做好相关档案材料的移交和后续工作衔接，因此本题选C。14.答案：B解析：条例规定，商用密码应用安全性评估完成后，运营者应当将评估结果报送同级密码管理部门备案，因此本题选B。15.答案：A解析：根据条例规定，列入网络关键设备和网络安全专用产品目录的商用密码产品，必须经过具备资质的商用密码认证机构认证合格后方可销售和使用，因此本题选A。16.答案：B解析：《行政处罚法》和《商用密码管理条例》规定，密码管理部门开展监督检查，执法人员不得少于2人，并且应当出示合法的行政执法证件，因此本题选B。17.答案：B解析：根据条例规定，未取得资质擅自开展商用密码检测认证活动的，由县级以上密码管理部门依法查处，因此本题选B。18.答案：B解析：商用密码行业协会是自律组织，核心作用是开展行业自律、提供行业服务、开展行业培训，促进行业发展，因此B选项正确；A选项错误，行业协会不得行使行政机关的行政审批权；C选项错误，只有具备资质的机构才能开展检测认证，行业协会不能直接开展；D选项错误，强制性国家标准由国家标准化主管部门会同密码管理部门制定，行业协会不能制定强制性标准，因此本题选B。19.答案：C解析：根据商用密码应用安全性评估管理办法规定，关键信息基础设施运营者应当至少每三年开展一次商用密码应用安全性重新评估，因此本题选C。20.答案：A解析：条例规定，商用密码的国家标准、行业标准由国家标准化行政主管部门会同国家密码管理部门组织制定并公布，因此本题选A。二、多项选择题参考答案及解析1.答案：ABC解析：根据《中华人民共和国密码法》规定，我国密码分为核心密码、普通密码和商用密码三类，不存在民用密码、涉密密码的法定分类，因此本题选ABC。2.答案：ABCE解析：条例第二十一条规定，应当开展商用密码应用安全性评估的范围包括：关键信息基础设施、网络安全等级保护第三级及以上非涉密信息系统、不涉及国家秘密的电子政务信息系统，以及国家密码管理部门要求开展评估的其他重要信息系统。普通二级等保企业内部局域网不属于强制评估范围，因此D不选，本题选ABCE。3.答案：ABCDE解析：以上五项均是商用密码检测认证机构应当遵守的要求，同时从事研发生产销售会影响检测认证的公正性，因此必须保持独立，所有选项均正确，本题选ABCDE。4.答案：ABDE解析：根据条例规定，向境外提供商用密码服务也需要取得国家密码管理部门的许可，因此C选项错误；ABDE表述均符合商用密码进出口管理规定，本题选ABDE。5.答案：ABCDE解析：以上五项均是关键信息基础设施运营者应当履行的商用密码管理义务，表述全部正确，因此本题选ABCDE。6.答案：ABCDE解析：以上五项均是商用密码应用安全性评估机构的法定准入条件，表述全部正确，因此本题选ABCDE。7.答案：ABCD解析：ABCD均属于危害商用密码安全的违法行为，E选项中，商用密码产品所有权属于购买方，只要不用于违法活动，转让使用权并不违法，因此E不选，本题选ABCD。8.答案：ABCE解析：商用密码检测机构资质由国家密码管理部门审批，省级及以下密码管理部门没有审批权限，因此D选项错误；ABCE均是县级以上地方密码管理部门的法定职责，表述正确，本题选ABCE。9.答案：ABD解析：根据密码法和商用密码管理条例，符合法定要求的商用密码电子签名具有和手写签名同等法律效力，电子政务和金融领域都可以依法使用商用密码电子签名，因此CE选项错误；ABD表述正确，本题选ABD。10.答案：ABCD解析：根据《行政处罚法》和商用密码管理规定，违法行为轻微并及时改正没有造成危害后果的，是不予处罚的情形，不是从轻减轻，因此E选项错误，ABCD均是从轻减轻处罚的法定情形，本题选ABCD。三、判断题参考答案及解析1.答案：×解析：公民法人使用商用密码必须符合法律规定，不得利用商用密码从事危害国家安全、社会公共利益和他人合法权益的违法活动，因此本题表述错误。2.答案：√解析：商用密码应用安全性评估是网络安全保障体系的组成部分，评估结果可以作为等保备案、关键信息基础设施认定的依据，表述正确。3.答案：×解析：涉及国家秘密的信息系统应当使用核心密码或者普通密码进行加密保护，不得使用商用密码，因此本题表述错误。4.答案：√解析：条例规定，商用密码检测机构出具虚假检测报告、认证结论的，责令改正，没收违法所得，情节严重的吊销检测资质，因此表述正确。5.答案：√解析：国家鼓励自主商用密码技术应用和创新，表述符合条例规定，正确。6.答案：×解析：关键信息基础设施运营者必须使用经检测认证合格的商用密码产品，不得使用未经认证合格的产品，因此表述错误。7.答案：√解析：密码管理部门工作人员对监督检查中知悉的国家秘密、商业秘密和个人隐私都负有保密义务，表述正确。8.答案：×解析：出口商用密码产品必须先取得国家密码管理部门的出口许可，再向海关申报通关，因此表述错误。9.答案：√解析：商用密码行业协会的法定职责就是开展行业自律，促进行业发展，表述正确。10.答案：×解析：根据条例规定，运营者未开展应用安全性评估的，密码管理部门应当先责令改正，给予警告，逾期不改正的再作出罚款处罚，不能直接罚款，因此表述错误。四、简答题参考答案1.核心作用：（1）商用密码应用安全性评估是发现商用密码应用过程中存在的安全风险，验证商用密码应用是否符合国家密码管理规定和安全标准的核心制度，能够帮助运营者及时整改安全隐患，提升信息系统密码应用安全防护能力；（2分）（2）商用密码应用安全性评估是落实《密码法》和《商用密码管理条例》要求，履行商用密码应用安全主体责任的重要体现；（2分）（3）评估结果是密码管理部门开展商用密码监督管理、网络安全等级保护备案、关键信息基础设施认定的重要依据，是国家网络安全保障体系的重要组成部分。（2分）适用范围：①关键信息基础设施；②网络安全等级保护第三级及以上的非涉密信息系统；③不涉及国家秘密的电子政务信息系统；④国家密码管理部门要求开展评估的其他重要信息系统，包括大型互联网平台、重要民生服务信息系统等。（4分）2.主要内容：国家对商用密码产品和商用密码服务实行强制性检测认证制度，要求所有面向社会提供或者出厂销售、进口的商用密码产品和服务，必须经过具备资质的商用密码检测机构检测、认证机构认证，未经检测认证合格的产品和服务不得