第一条 为了加强商用密码产品生产管理,规范商用密码产品生产活动,根据《商用密码管理条例》,制定本规定。
第二条 本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。
第三条 商用密码产品生产活动适用本规定。本规定所称商用密码产品生产包括商用密码产品的研制开发。
第四条 商用密码产品的品种和型号必须经国家密码管理局批准,未经批准的商用密码产品不得生产或者销售。
第五条 国家密码管理局主管全国的商用密码产品生产管理工作。
省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。
第六条 商用密码产品生产单位应当具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其它条件。
第七条 商用密码产品生产单位生产商用密码产品,应当在研制出产品样品后向国家密码管理局申请产品品种和型号。
申请产品品种和型号应当向所在地的省、自治区、直辖市密码管理机构或者国家密码管理局提交下列材料:
(一)商用密码产品品种和型号申请书;
(二)具有独立法人资格的证明材料;
(三)商用密码产品相关技术材料(技术工作总结报告、安全性设计报告、用户手册);
(四)具有与生产商用密码产品相适应的质量保证能力和信用状况的证明材料。
商用密码产品所采用的密码算法应当是国家密码管理局认可的算法。
第八条 商用密码产品生产单位提交的申请材料齐备并且符合规定形式的,省、自治区、直辖市密码管理机构或者国家密码管理局应当受理并发给《受理通知书》;申请材料不齐备或者不符合规定形式的,省、自治区、直辖市密码管理机构或者国家密码管理局应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。
申请材料由省、自治区、直辖市密码管理机构受理的, 省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内完成初审,并将初审意见和全部申请材料报送国家密码管理局。
第九条 国家密码管理局受理申请或者收到省、自治区、直辖市密码管理机构报送的材料后应当组织安全性审查(含产品样品测试,下同),并自省、自治区、直辖市密码管理机构或者国家密码管理局受理申请之日起15个工作日内,将安全性审查所需时间书面告知申请人。
通过安全性审查的,在5个工作日内批给产品品种和型号,发给产品品种和型号证书,并予以公布。未通过安全性审查的,不予批准并说明理由。
安全性审查所需时间不计算在本规定所设定的期限内。
第十条 商用密码产品生产单位应当按照批准的品种和型号生产产品,并在产品上标明产品型号。
第十一条 商用密码产品必须经国家指定的机构检测、认证合格,并加施强制性认证标志后方可出厂。
暂未列入强制性认证目录的商用密码产品,必须经国家密码管理局指定的产品质量检测机构检测合格。
第十二条 商用密码产品生产单位应当于每年1月31日前,向所在地的省、自治区、直辖市密码管理机构如实报送上一年度商用密码产品的生产经营、销售登记和质量安全保障等情况。
第十三条 商用密码产品生产单位及其人员,应当对所接触和掌握的商用密码技术承担保密义务。
第十四条 商用密码产品生产单位应当建立健全保密规章制度,对其人员进行保密教育。
第十五条 生产商用密码产品应当在符合安全保密要求的环境中进行。
保管商用密码产品应当采取相应的安全措施。
第十六条 商用密码技术资料、关键部件应当由专人保管,并采取相应的保密措施,防止商用密码技术的泄露。生产过程中产生的废弃品应当妥善销毁。
第十七条 参与商用密码产品安全性审查的专家和工作人员,应当对商用密码产品的技术方案和安全设计方案承担保密义务。
第十八条 违反本规定的行为,依照《商用密码管理条例》予以处罚。
第十九条 商用密码产品品种和型号证书由国家密码管理局印制。
第二十条 本规定自2006年1月1日起施行。
来源: 国家密码管理局