我國密碼法管理辦法一、總則（一）立法目的為了規(guī)范密碼應(yīng)用和管理，促進密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權(quán)益，根據(jù)《中華人民共和國密碼法》，制定本辦法。（二）適用范圍本辦法適用于在中華人民共和國境內(nèi)從事密碼科研、生產(chǎn)、服務(wù)、檢測、認證等活動以及使用密碼的相關(guān)單位和個人。（三）基本原則1.統(tǒng)一領(lǐng)導原則：密碼工作實行統(tǒng)一領(lǐng)導，堅持總體國家安全觀，遵循統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一建設(shè)、統(tǒng)一實施、統(tǒng)一管理的原則。2.分級負責原則：根據(jù)密碼工作的重要程度和涉密程度，實行分級負責、分類管理。3.保障安全原則：充分發(fā)揮密碼在維護國家安全、促進經(jīng)濟社會發(fā)展、保護公民法人和其他組織合法權(quán)益中的作用，確保密碼安全可靠。4.創(chuàng)新發(fā)展原則：鼓勵和支持密碼科學技術(shù)研究和創(chuàng)新，推廣應(yīng)用先進的密碼技術(shù)和產(chǎn)品，提升密碼工作水平。（四）主管部門及職責國家密碼管理部門負責全國密碼工作的統(tǒng)一管理，制定密碼政策、規(guī)劃、標準，組織開展密碼科研、生產(chǎn)、檢測、認證等工作，負責密碼管理有關(guān)行政審批、行政許可工作等。縣級以上地方各級密碼管理部門負責本行政區(qū)域的密碼管理工作。國家機關(guān)和涉及密碼工作的單位在其職責范圍內(nèi)負責本機關(guān)、本單位或者本系統(tǒng)的密碼工作，并接受密碼管理部門的指導、監(jiān)督和檢查。二、密碼科研管理（一）科研規(guī)劃與計劃國家密碼管理部門會同有關(guān)部門制定密碼科研規(guī)劃和計劃，明確密碼科研的重點領(lǐng)域和方向，引導密碼科研資源合理配置。密碼科研項目實行項目制管理，項目承擔單位應(yīng)當按照項目計劃組織實施科研活動，確保項目目標的實現(xiàn)。（二）科研立項與審批申請承擔密碼科研項目的單位，應(yīng)當具備相應(yīng)的科研能力和條件，并按照規(guī)定的程序向國家密碼管理部門提出立項申請。國家密碼管理部門應(yīng)當對申請項目進行審查，符合要求的予以立項，并與項目承擔單位簽訂項目任務(wù)書。（三）科研成果管理密碼科研成果歸國家所有，由項目承擔單位按照國家有關(guān)規(guī)定進行管理和使用。密碼科研成果涉及國家秘密的，應(yīng)當按照國家保密法律法規(guī)的規(guī)定進行保密管理。未經(jīng)國家密碼管理部門批準，任何單位或者個人不得擅自轉(zhuǎn)讓、許可他人使用密碼科研成果。三、密碼生產(chǎn)管理（一）生產(chǎn)許可制度從事密碼產(chǎn)品生產(chǎn)的單位，應(yīng)當經(jīng)國家密碼管理部門許可，并取得《商用密碼產(chǎn)品生產(chǎn)定點單位證書》。申請《商用密碼產(chǎn)品生產(chǎn)定點單位證書》的單位，應(yīng)當具備相應(yīng)的生產(chǎn)條件和技術(shù)能力，符合國家密碼管理部門規(guī)定的資質(zhì)要求。（二）生產(chǎn)標準與規(guī)范密碼產(chǎn)品生產(chǎn)應(yīng)當符合國家密碼標準和技術(shù)規(guī)范。國家密碼管理部門制定和發(fā)布密碼產(chǎn)品標準和技術(shù)規(guī)范，指導密碼產(chǎn)品生產(chǎn)單位按照標準和規(guī)范組織生產(chǎn)。密碼產(chǎn)品生產(chǎn)單位應(yīng)當建立健全質(zhì)量保證體系，嚴格執(zhí)行生產(chǎn)標準和技術(shù)規(guī)范，確保產(chǎn)品質(zhì)量。（三）生產(chǎn)過程監(jiān)管國家密碼管理部門對密碼產(chǎn)品生產(chǎn)單位的生產(chǎn)活動進行監(jiān)督檢查，重點檢查生產(chǎn)單位是否按照許可范圍生產(chǎn)、是否符合生產(chǎn)標準和技術(shù)規(guī)范、是否建立質(zhì)量保證體系等。密碼產(chǎn)品生產(chǎn)單位應(yīng)當接受國家密碼管理部門的監(jiān)督檢查，如實提供有關(guān)情況和資料。四、密碼服務(wù)管理（一）服務(wù)資質(zhì)認定從事密碼服務(wù)的單位，應(yīng)當經(jīng)國家密碼管理部門認定，并取得《商用密碼服務(wù)資質(zhì)證書》。申請《商用密碼服務(wù)資質(zhì)證書》的單位，應(yīng)當具備相應(yīng)的服務(wù)能力和條件，符合國家密碼管理部門規(guī)定的資質(zhì)要求。（二）服務(wù)標準與規(guī)范密碼服務(wù)單位應(yīng)當按照國家密碼管理部門制定的服務(wù)標準和規(guī)范提供服務(wù)，確保服務(wù)質(zhì)量和安全。密碼服務(wù)標準和規(guī)范包括密碼服務(wù)的流程、技術(shù)要求、安全保障措施等方面的內(nèi)容。（三）服務(wù)過程監(jiān)管國家密碼管理部門對密碼服務(wù)單位的服務(wù)活動進行監(jiān)督檢查，重點檢查服務(wù)單位是否按照資質(zhì)認定范圍提供服務(wù)、是否符合服務(wù)標準和規(guī)范、是否建立安全保障體系等。密碼服務(wù)單位應(yīng)當接受國家密碼管理部門的監(jiān)督檢查，如實提供有關(guān)情況和資料。五、密碼檢測與認證管理（一）檢測機構(gòu)資質(zhì)從事密碼檢測的機構(gòu)，應(yīng)當經(jīng)國家密碼管理部門認可，并取得《密碼檢測機構(gòu)資質(zhì)證書》。申請《密碼檢測機構(gòu)資質(zhì)證書》的機構(gòu)，應(yīng)當具備相應(yīng)的檢測能力和條件，符合國家密碼管理部門規(guī)定的資質(zhì)要求。（二）檢測標準與規(guī)范密碼檢測機構(gòu)應(yīng)當按照國家密碼管理部門制定的檢測標準和規(guī)范開展檢測工作，確保檢測結(jié)果的科學、準確、公正。密碼檢測標準和規(guī)范包括密碼產(chǎn)品和服務(wù)的功能、性能、安全性等方面的檢測要求。（三）認證機構(gòu)資質(zhì)從事密碼認證的機構(gòu)，應(yīng)當經(jīng)國家密碼管理部門批準，并取得《密碼認證機構(gòu)資質(zhì)證書》。申請《密碼認證機構(gòu)資質(zhì)證書》的機構(gòu)，應(yīng)當具備相應(yīng)的認證能力和條件，符合國家密碼管理部門規(guī)定的資質(zhì)要求。（四）認證標準與規(guī)范密碼認證機構(gòu)應(yīng)當按照國家密碼管理部門制定的認證標準和規(guī)范開展認證工作，確保認證結(jié)果的真實、可靠。密碼認證標準和規(guī)范包括密碼產(chǎn)品和服務(wù)的安全性、可靠性、合規(guī)性等方面的認證要求。（五）檢測與認證結(jié)果使用密碼檢測和認證結(jié)果是密碼產(chǎn)品和服務(wù)質(zhì)量的重要依據(jù)。國家機關(guān)和涉及密碼工作的單位在采購、使用密碼產(chǎn)品和服務(wù)時，應(yīng)當優(yōu)先選用通過檢測和認證的產(chǎn)品和服務(wù)。密碼產(chǎn)品和服務(wù)提供者應(yīng)當按照檢測和認證結(jié)果進行改進和優(yōu)化，不斷提高產(chǎn)品和服務(wù)質(zhì)量。六、密碼使用管理（一）使用要求國家機關(guān)和涉及國家安全、國計民生、社會公共利益的重點領(lǐng)域的單位，應(yīng)當按照法律、行政法規(guī)和國家有關(guān)規(guī)定使用密碼進行保護。使用密碼應(yīng)當遵循最小化授權(quán)原則，嚴格限定知悉范圍，采取必要的安全保密措施，防止密碼被竊取、篡改、泄露。（二）使用備案使用密碼的單位應(yīng)當按照國家密碼管理部門的規(guī)定，將密碼的使用情況向密碼管理部門備案。備案內(nèi)容包括密碼的種類、使用范圍、使用方式、安全保密措施等。（三）應(yīng)急處置使用密碼的單位應(yīng)當制定密碼應(yīng)急處置預案，定期進行演練，提高應(yīng)對密碼安全事件的能力。發(fā)生密碼安全事件時，使用密碼的單位應(yīng)當立即采取措施進行處置，并及時向密碼管理部門報告。七、密碼安全管理（一）安全制度建設(shè)密碼使用單位應(yīng)當建立健全密碼安全管理制度，明確密碼管理責任，規(guī)范密碼使用流程，加強密碼安全防護。密碼安全管理制度應(yīng)當包括密碼的生成、存儲、傳輸、使用、銷毀等環(huán)節(jié)的安全要求。（二）安全技術(shù)措施密碼使用單位應(yīng)當采取必要的安全技術(shù)措施，保障密碼的安全。安全技術(shù)措施包括密碼加密技術(shù)、訪問控制技術(shù)、安全審計技術(shù)、數(shù)據(jù)備份與恢復技術(shù)等。（三）人員安全管理密碼使用單位應(yīng)當加強對涉及密碼工作的人員的安全管理，定期進行安全培訓和教育，提高人員的安全意識和技能。涉及密碼工作的人員應(yīng)當簽訂保密協(xié)議，遵守保密規(guī)定，不得泄露密碼信息。（四）安全監(jiān)督檢查國家密碼管理部門對密碼使用單位的密碼安全情況進行監(jiān)督檢查，重點檢查密碼安全管理制度的執(zhí)行情況、安全技術(shù)措施的落實情況、人員安全管理情況等。密碼使用單位應(yīng)當接受國家密碼管理部門的監(jiān)督檢查，如實提供有關(guān)情況和資料。八、法律責任（一）違法行為及處罰違反本辦法規(guī)定，有下列行為之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得在五萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足五萬元的，可以并處五萬元以下罰款；情節(jié)嚴重的，由密碼管理部門吊銷其相關(guān)資質(zhì)證書：1.未經(jīng)許可從事密碼科研、生產(chǎn)、服務(wù)、檢測、認證等活動的；2.未按照規(guī)定的標準和規(guī)范從事密碼科研、生產(chǎn)、服務(wù)、檢測、認證等活動的；3.轉(zhuǎn)讓、許可他人使用未經(jīng)審批的密碼科研成果的；4.未按照許可范圍從事密碼產(chǎn)品生產(chǎn)的；5.未按照資質(zhì)認定范圍提供密碼服務(wù)的；6.未按照規(guī)定進行密碼檢測、認證的；7.未按照規(guī)定使用密碼的；8.未按照規(guī)定備案密碼使用情況的；9.未建立健全密碼安全管理制度的；