我国商用密码行业资质要求
思瀚产业研究院    2022-11-29

密码作为国家安全的重要行业，是保护网络安全的核心技术和基础支撑，产品的资质门槛相对较高。根据目前商用密码相关法律法规要求，商用密码的资质主要为产品资质，不再对企业和销售资质有要求。

商用密码的产品资质主要为产品型号证书，目前对于商用密码产品认证施行自愿原则，对于依法列入网络关键 设备和网络安全专用产品目录等重点行业和关键信息基础设施领域的密码产品， 需要由具备资格的机构检测认证合格并取得产品型号证书后，方可销售或者提供。 目前商用密码产品的应用场景主要为公共通信和信息服务、能源、交通、水 利、金融、公共服务、电子政务等重要行业和领域。

下游客户在采购商用密码产品时基于相关密码应用技术标准对商用密码产品的合规性要求，一般会采购经具 备资格的机构检测认证合格并取得产品型号证书的商用密码产品。

密码应用技术标准《信息安全技术信息系统密码应用基本要求》（标准号： GB/T 39786-2021）、《信息系统密码应用基本要求》（标准号：GM/T 0054-2018） 等标准对密码产品的合规性有明确要求。

《商用密码产品认证规则》中对于商用密码产品认证包括产品型式试验、初始工厂检查等环节。产品型式试验阶段需要严格遵循相关密码产品标准，需要对产品认证文档进行审查，需要经过检测工具 检测合格。

初始工厂检查环节按照 GM/T 0065《商用密码产品生产和保障能力建 设规范》进行现场检查，对主要技术人员数量、产品知识产权、生产测试能力、 质量保障能力、安全保障能力、服务保障能力等有较高的要求，需要满足相关标准，检测合格后才可发放证书。