71.问:商用密码应用安全性评估的目的是什么?

　　答:商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。

　　建立完善商用密码应用安全性评估制度,对关键信息基础设施商用密码应用的合规性、正确性和有效性进行评估,对于有效规范密码应用,切实保障国家网络和信息安全,具有重要作用。

　　商用密码应用安全性评估同时也是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段。关键信息基础设施的运营者作为关键信息基础设施网络安全保护和密码使用的第一责任人,《密码法》要求其履行相应的义务,按照相关法律法规和标准规范对关键信息基础设施密码应用的合规性、正确性、有效性和运维管理人员基本能力进行评估。

　　为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后,还应当定期开展评估。

　　72.问:商用密码应用安全性评估会造成重复评估、测评吗?

　　答:为降低关键信息基础设施运营者负担,节约评估、测评资源,《密码法》第二十七条规定:商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。商用密码应用安全性评估与关键信息基础设施网络安全检测评估、网络安全等级测评在内容上有所区分,在实施中统筹考虑、协调开展,相互衔接,避免重复评估、测评。

　　73.问:《密码法》对商用密码进出口有哪些规定?

　　答:《密码法》第二十八条规定:国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

　　大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

　　74.问:为什么要对商用密码实行进口许可和出口管制?

　　答:对商用密码实行进口许可和出口管制主要有三个方面的考虑:

　　一是该制度是维护国家安全和社会公共利益的需要。商用密码是一把“双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动,应当对其实行进口许可和出口管制,维护国家安全和社会公共利益。

　　二是该制度符合世贸组织规则,也是国际通行做法。商用密码是国际公认的两用物项,对其实行进口许可和出口管制,符合世贸组织“安全例外”原则和我国《对外贸易法》的规定,也是国际通行做法。

　　三是该制度实施范围有限。进口许可制度仅适用于涉及国家安全、社会公共利益且具有加密保护功能的商用密码,出口管制制度仅适用于涉及国家安全、社会公共利益或者中国承担国际义务的商用密码,对大众消费类产品所采用的商用密码不实行进口许可和出口管制,并通过制定清单明确界定管理范围,不会对贸易造成影响。

　　75.问:大众消费类产品所采用的商用密码是否实行进口许可和出口管制?

　　答:《密码法》第二十八条规定:大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

　　大众消费类产品所采用的商用密码,是指社会公众可以不受限制地通过常规零售渠道购买、供个人使用、不能轻易改变密码功能的产品或技术。大众消费类产品所采用的商用密码对国家安全、社会公共利益带来的风险较小且可控,对大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,可最大限度减少对贸易的影响。这既是国际社会的通行做法,也符合我国现有商用密码进出口管理实践。

　　76.问:《密码法》中关于电子政务电子认证服务管理的规定是什么?

　　答:《密码法》第二十九条规定:国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。

　　电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,应当采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估,加强对建设、运维、应用和服务等各环节的行政监管和技术把关,确保其质量与安全性。《密码法》基于维护国家安全和社会公共利益的需要,设立了电子政务电子认证服务机构认定制度。

　　77.问:国家密码管理部门对政务活动中使用电子签名、数据电文的管理要求有哪些?

　　答:《密码法》第二十九条规定:国家密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。

　　《电子签名法》第三十五条也规定:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”目前,国家密码管理局依据该条的规定管理政务活动中电子签名、数据电文的使用,制定的GM/T0014—2012《数字证书认证系统密码协议规范》、GM/T0047—2016《安全电子签章密码检测规范》、GM/T0044.2—2016《SM9标识密码算法第2部分:数字签名算法》、GM/T0031—2014《安全电子签章密码应用技术规范》等商用密码行业标准,对使用电子签名、数字电文提出了管理要求。

　　78.问:《密码法》对商用密码领域的行业协会等组织作出了哪些规定?

　　答:《密码法》第三十条规定:商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。

　　79.问:建立发展商用密码领域的行业协会等组织有什么意义?

　　答:《密码法》结合商用密码发展实际,深化商用密码领域“放管服”改革,构建起现代化商用密码治理体系。商用密码治理体系作为一个有机整体,除了各有关管理部门要加强服务和管理外,还需要从业单位、社会组织、公民等各方面共同努力,参与商用密码社会共治。行业协会等组织作为介于密码管理部门和商用密码从业单位之间的社会组织,既是沟通管理部门和从业单位的桥梁与纽带,又是社会多元利益的协调机构,也是实现行业自律、规范行业行为、开展行业服务、保障公平竞争的社会组织,在社会管理、行业治理、行业自律中发挥了重要作用,既大大减少了政府的管理成本,又促进了行业自身的发展,显示了巨大的社会效益。

　　80.问:商用密码领域的行业协会等组织的宗旨是什么?

　　答:商用密码行业协会等组织代表本行业从业单位的利益,切实为从业单位服务。商用密码行业协会等组织根据授权进行行业统计,掌握国内外行业发展动态,收集、发布行业信息;依照有关规定创办刊物和网站,开展法律、政策、技术、管理、市场等咨询服务;参与行业资质认证、新技术和新产品鉴定及推广等相关工作;组织人才、技术、管理、法规等培训,帮助会员企业提高素质、增强创新能力、改善经营管理;受管理部门委托承办或根据市场和行业发展需要举办交易会、展览会等,为企业开拓市场创造条件。