1、书 书 书犐 犆犛 犔 中华人民共和国密码行业标准犌犕犜 商用密码产品生产和保障能力建设规范犛 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀犳 狅 狉犮 犪 狆 犪 犫 犻 犾 犻 狋 狔犮 狅 狀 狊 狋 狉 狌 犮 狋 犻 狅 狀狅 犳狆 狉 狅 犱 狌 犮 狋 犻 狅 狀犪 狀 犱犵 狌 犪 狉 犪 狀 狋 犲 犲犳 狅 狉犮 狅犿犿犲 狉 犮 犻 犪 犾 犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮狆 狉 狅 犱 狌 犮 狋 狊 发布 实施国家密码管理局发 布书 书 书目次前言引言范围规范性引用文件术语和定义评估要素 基本项 声明项 评估项基本项要求 法人资格 主要技术人员 产
2、品研发 行业管理遵从声明项要求 关键人员信息 单位性质 数据管理评估项要求 生产能力 技术力量 生产管理 生产条件 生产工艺与流程 质量保障能力 制度保障 开发过程质量管理 质量问题管理 持续改进产品质量措施 安全保障能力 组织保障 安全管理 服务保障能力 制度保障 应急响应能力 服务响应方式犌犕犜 前言本标准根据 给出的规则起草。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位:北京中电华大电子设计有限责任公司、格尔软件股份有限公司、兴唐通信科技有限公司、国家密码管理局商用密码检测中心、北京三未信安科技发展有限公司、天地融科技股份有限公司、成都卫士通信息产业股份有限公司、北京市密码
3、管理局、上海市密码管理局、广东省密码管理局。本标准主要起草人:周建锁、叶枫、赵闪、罗鹏、冯育晖、韩小平、杨耀华、高志权、熊云、李立勋、马飞、郑强、李明、曲志华、杨阳。犌犕犜 引言密码是网络和信息安全的核心技术和基础支撑,是保障国家安全、推动经济发展和维护公众利益的战略性资源。商用密码产品是密码技术的实现载体,为应用提供机密性、完整性、不可否认性等安全保障。国家对销售或者在经营活动中使用的商用密码产品实施许可。根据商用密码管理条例的相关要求,商用密码产品研制生产单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,
4、满足法律、行政法规规定的其他条件。为了对商用密码产品生产单位的生产和保障能力建设提供统一、客观的标准,为了生产单位对自身技术力量、场所、设备、生产工艺和质量保证能力有较为全面的把握,制定本标准。本标准从评估的角度对商用密码产品生产单位相关能力建设提出要求,也可用于第三方机构对商用密码产品生产单位进行评估。建设规范包含本标准和商用密码产品生产和保障能力建设实施指南,本标准规定了基本项、声明项和评估项等要素及要求;商用密码产品生产和保障能力建设实施指南包含评估方法、评估程序、评估报告和实施要点。犌犕犜 商用密码产品生产和保障能力建设规范范围本标准规定了商用密码产品生产和保障能力的评估要素和评估要求
5、。本标准适用于对商用密码产品生产单位的生产能力、质量保障能力、安全保障能力和服务保障能力进行能力建设及核查。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。密码术语商用密码管理条例术语和定义 界定的以及下列术语和定义适用于本文件。主要技术人员犿犪 犻 狀狋 犲 犮 犺 狀 犻 犮 犪 犾狆 犲 狉 狊 狅 狀 狀 犲 犾从事商用密码产品设计、实现、检测或测试及技术支持工作的人员。关键人员犮 狉 狌 犮 犻 犪 犾狆 犲 狉 狊 狅 狀 狀 犲 犾包括法定代表人、实际控制人、
6、高层管理人员、技术负责人。关键岗位犮 狉 狌 犮 犻 犪 犾狆 狅 狊 犻 狋 犻 狅 狀对研发、生产和管理活动具有重要作用,对结果的质量有显著影响,甚至能决定结果成败的岗位。密码核心技术犮 狅 狉 犲犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮狋 犲 犮 犺 狀 狅 犾 狅 犵 狔商用密码产品中使用的实现密码核心功能的技术。密码固件犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮犳 犻 狉犿狑犪 狉 犲密码边界内的硬件中、执行期间不能被动态写入或修改的程序与数据组成部分。如存储硬件,包括但不限于、与。评估要素 基本项基本项是商用密码产品生产单位应达到的基本条件,包括法人资格、主要技术人员、研发产品和行犌犕犜 业管理遵从项。声明项声明项是商用密码产品生产单位做出的特别说明,包括生产单位关键人员信息、单位性质和数据管理。评估项评估项是商用密码产品和生产保障能力评估的具体量化指标,生产单位参照评估项提高自身的商用密码产品生产和保障能力。评估要求具体指标参见表。表评估指标一级指标二级指标三级指标生产能力技术力量生产管理生产条件生产工艺与流程人力资源主要技术团队技术积累及优势技术创新研