《商用密码应用监管体系 第1部分总则》编制说明.pdf

浙江省信息产业质量协会团体标准

《商用密码应用监管体系第1部分：总则》

编制说明

一、项目背景

近年来，国家对商用密码技术在信息化建设中的应用高度

重视，密码作为网络安全的核心技术和基础支撑，是网络空间

安全的DNA，正确设计、规划、建设、使用商用密码直接决定了

整个网络信息系统的安全性。商用密码是保障数据安全最经济、

最有效的技术方式。

商用密码应用尚处于初级阶段，应用不规范，人才储备不

充分，广泛存在弃用、乱用和误用的现象。为贯彻《中华人民

共和国密码法》，有效掌握商用密码应用情况，提升网络安全情

报中密码相关信息的搜集能力，进一步加强密码对金融和重要

领域信息系统保护，对商用密码应用情况和商用密码应用安全

性评估全过程的监管迫在眉睫。

当前商用密码应用监管比较薄弱，主要依赖商用密码应用

安全性评估，不能做到实时监管；商用密码应用安全性评估机

构的评测水平直接关系到监管结果，普遍存在商用密码应用安

全性评估与实际应用“两张皮”的现象。其次，商用密码应用

监管尚未形成体系化、标准化，缺乏对商用密码应用的周期性

监管，导致监管效率低下。

1

商用密码应用的有效监管是管理部门当前面临的重大难

题。我省在商用密码应用监管已有诸多实践经验，已在全省商

用密码应用安全性评估监管、商用密码应用建设监管和备案流

程中发挥重要作用。

目前国内外在商用密码应用监管体系的标准方面还处于空

白阶段，需建立健全的标准体系以配合与引导商用密码技术应

用的进步与发展。制定《商用密码应用监管体系第1部分总

则》团体标准，树立行业标杆标准，有利于监管对象了解应用

短板，提升密码应用保证能力，促进商用密码规范应用，对规

范和促进行业发展有着重要的意义。

二、工作简况

（一）任务来源

本标准由浙江省商用密码学会提出，标准牵头起草单位为

浙江省商用密码学会等。

（二）协作单位（参编单位）

浙江省商用密码学会、杭州师范大学（浙江省密码技术重

点实验室）、杭州脉讯科技有限公司、浙江省电子信息产品检验

研究院、浙江省商用密码管理办公室、浙江省生态环境监测中

心、浙江省教育技术中心、浙江省自然资源厅信息中心、浙江

省政法信息管理中心、浙江省药械采购中心、浙江省网络信息

安全技术管控中心、温州市密码管理局、绍兴市密码管理局、

舟山市密码管理局、宁波市生态环境局、舟山市生态环境局、

2

浙江医院、杭州师范大学附属医院、浙江省数字安全证书管理

有限公司、浙江省建设职业技术学院、浙江省台州医院、临安

区密码管理局、乐清市公安局等机构参与起草标准。

（三）主要工作过程

2024年9月，浙江省商用密码学会与浙江省电子信息技术

标准化技术委员会对接，提出起草商用密码应用监管体系相关

标准的设想，开展标准初步研制工作。

2024年9月-10月，成立标准起草组，邀请标准协作起草

单位，进行多次标准专题研讨，撰写标准立项申请书，编制形

成《商用密码应用监管体系第1部分总则》标准草案初稿。

2024年10月9日，浙江省电子信息技术标准化技术委员会

组织召开团体标准立项评审会。5位与会专家一致同意该标准立

项，建议标准起草组根据专家意见对标准文本进行修改完善。

2024年11-12月，标准起草组根据专家意见修订标准，进

行多次组内讨论会议，不断完善标准草案，形成《商用密码应

用监管体系第1部分总则》征求意见稿和征求意见稿编制说

明。

三、标准编制原则和主要内容的依据

(一）编制原则

1.适用性

本标准坚持适用性原则，与多方专家、智库、党政机关、

企事业单位等进行深入研究探讨，广泛吸收和听取了相关专家、

3

主管部门和使用单位意见，推动产学研用相结合，给出了可供

行业参考的商用密码应用监管的技术要求。

2.先进性

本标准坚持先进性原则，立足商用密码应用监管的实际应

用场景，充分体现商用密码应用监管当前的技术水平，技术要

求内容满足团体标准高水平、