商密算法管理辦法一、總則（一）目的為了加強(qiáng)公司/組織商業(yè)秘密（以下簡稱“商密”）算法的管理，保護(hù)公司/組織的合法權(quán)益，維護(hù)市場競爭秩序，依據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國反不正當(dāng)競爭法》等相關(guān)法律法規(guī)，結(jié)合公司/組織實際情況，制定本辦法。（二）適用范圍本辦法適用于公司/組織內(nèi)涉及商密算法的研發(fā)、使用、存儲、傳輸、銷毀等全過程管理活動，以及與公司/組織有合作關(guān)系的外部單位和個人在接觸、使用公司/組織商密算法過程中的相關(guān)管理。（三）定義1.商密算法：指用于保護(hù)公司/組織商業(yè)秘密信息安全的各類加密、解密算法，包括但不限于對稱加密算法、非對稱加密算法、哈希算法等。2.商業(yè)秘密：是指不為公眾所知悉、具有商業(yè)價值并經(jīng)公司/組織采取相應(yīng)保密措施的涉及技術(shù)、經(jīng)營等方面的商業(yè)信息，商密算法作為其中關(guān)鍵的保護(hù)手段，是本辦法重點管理對象。（四）基本原則1.合法合規(guī)原則：嚴(yán)格遵守國家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，確保商密算法管理活動合法合規(guī)。2.最小化原則：根據(jù)業(yè)務(wù)需求，嚴(yán)格限定知悉商密算法的人員范圍和使用場景，確保商密算法的使用僅限于必要的業(yè)務(wù)活動。3.保密性原則：采取有效措施，確保商密算法在各個環(huán)節(jié)的保密性，防止信息泄露。4.完整性原則：保障商密算法在使用過程中的完整性，防止算法被篡改或破壞。5.可審計性原則：建立健全審計機(jī)制，對商密算法的使用情況進(jìn)行全面、可追溯的審計。二、商密算法的分類與分級（一）分類1.對稱加密算法：如AES、DES等，用于對大量數(shù)據(jù)的快速加密和解密。2.非對稱加密算法：如RSA、ECC等，主要用于密鑰交換、數(shù)字簽名等場景。3.哈希算法：如MD5、SHA等，用于生成數(shù)據(jù)的固定長度哈希值，以驗證數(shù)據(jù)的完整性。（二）分級根據(jù)商密算法對公司/組織商業(yè)秘密保護(hù)的重要程度和潛在風(fēng)險，將商密算法分為以下三級：1.一級商密算法：對公司/組織核心業(yè)務(wù)和商業(yè)秘密具有極高保護(hù)價值，一旦泄露將對公司/組織造成重大損失的算法。2.二級商密算法：對公司/組織重要業(yè)務(wù)和商業(yè)秘密有重要保護(hù)作用，泄露可能導(dǎo)致較大損失的算法。3.三級商密算法：對公司/組織一般業(yè)務(wù)和商業(yè)秘密提供基本保護(hù)，泄露可能造成一定影響的算法。三、商密算法的研發(fā)管理（一）立項審批1.商密算法研發(fā)項目立項前，項目負(fù)責(zé)人應(yīng)提交詳細(xì)的項目可行性報告，包括研發(fā)目的、技術(shù)方案、預(yù)期效果、保密措施等內(nèi)容。2.由公司/組織的保密管理部門會同技術(shù)、法務(wù)等相關(guān)部門對項目可行性報告進(jìn)行審核，審核通過后報公司/組織管理層審批。3.經(jīng)審批同意立項的項目，應(yīng)明確項目負(fù)責(zé)人和保密責(zé)任人，簽訂保密協(xié)議，確保項目在研發(fā)過程中的保密性。（二）研發(fā)過程管理1.研發(fā)人員應(yīng)嚴(yán)格遵守公司/組織的保密制度，對研發(fā)過程中涉及的商密算法相關(guān)信息予以保密。2.研發(fā)場所應(yīng)具備必要的安全保密設(shè)施，如門禁系統(tǒng)、監(jiān)控設(shè)備、加密存儲設(shè)備等，防止無關(guān)人員進(jìn)入和信息泄露。3.對研發(fā)過程中產(chǎn)生的各類文檔、代碼、測試數(shù)據(jù)等應(yīng)進(jìn)行嚴(yán)格的分類管理和加密存儲，定期進(jìn)行備份。4.加強(qiáng)對研發(fā)人員的培訓(xùn)和教育，提高其保密意識和安全防范能力，防止因人員疏忽導(dǎo)致商密算法泄露。（三）驗收管理1.商密算法研發(fā)項目完成后，項目負(fù)責(zé)人應(yīng)提交項目驗收申請，包括研發(fā)成果報告、測試報告、保密措施落實情況報告等。2.由公司/組織的保密管理部門會同技術(shù)、法務(wù)等相關(guān)部門組成驗收小組，對項目進(jìn)行全面驗收。3.驗收內(nèi)容包括算法的安全性、可靠性、性能指標(biāo)、保密措施落實情況等，驗收合格后方可投入使用。四、商密算法的使用管理（一）使用授權(quán)1.公司/組織內(nèi)各部門因業(yè)務(wù)需要使用商密算法時，應(yīng)填寫《商密算法使用申請表》，詳細(xì)說明使用目的、使用范圍、使用期限等內(nèi)容。2.由使用部門負(fù)責(zé)人簽字確認(rèn)后，提交公司/組織的保密管理部門審核。3.保密管理部門根據(jù)業(yè)務(wù)需求和保密要求進(jìn)行審核，審核通過后報公司/組織管理層審批。4.經(jīng)審批同意后，由保密管理部門向使用部門發(fā)放商密算法使用授權(quán)文件，并明確使用權(quán)限和保密責(zé)任。（二）使用規(guī)范1.使用部門應(yīng)嚴(yán)格按照授權(quán)文件規(guī)定的使用范圍和使用期限使用商密算法，不得擅自擴(kuò)大使用范圍或延長使用期限。2.使用過程中應(yīng)采取必要的安全防護(hù)措施，如加密傳輸、訪問控制、定期殺毒等，確保商密算法的安全運(yùn)行。3.對使用商密算法產(chǎn)生的各類數(shù)據(jù)應(yīng)進(jìn)行嚴(yán)格的管理，按照公司/組織的數(shù)據(jù)分類分級標(biāo)準(zhǔn)進(jìn)行存儲和處理，防止數(shù)據(jù)泄露。4.使用部門應(yīng)定期對商密算法的使用情況進(jìn)行自查，發(fā)現(xiàn)問題及時整改，并向保密管理部門報告。（三）密鑰管理1.商密算法的密鑰應(yīng)嚴(yán)格按照密鑰管理規(guī)定進(jìn)行生成、存儲、分發(fā)、使用、更新和銷毀。2.密鑰生成應(yīng)采用安全可靠的方法，確保密鑰的隨機(jī)性和保密性。3.密鑰存儲應(yīng)采用加密存儲設(shè)備，并進(jìn)行物理隔離，防止密鑰泄露。4.密鑰分發(fā)應(yīng)采用安全的傳輸方式，確保分發(fā)過程的保密性。5.密鑰使用應(yīng)嚴(yán)格按照授權(quán)進(jìn)行，使用人員應(yīng)妥善保管密鑰，不得泄露給無關(guān)人員。6.密鑰更新應(yīng)定期進(jìn)行，更新過程應(yīng)確保密鑰的連續(xù)性和安全性。7.密鑰銷毀應(yīng)采用安全可靠的方式，確保密鑰無法恢復(fù)。五、商密算法的存儲管理（一）存儲環(huán)境要求1.商密算法相關(guān)的數(shù)據(jù)和文檔應(yīng)存儲在具備安全保密設(shè)施的存儲環(huán)境中，如專用的加密服務(wù)器、存儲陣列等。2.存儲環(huán)境應(yīng)具備防火、防潮、防蟲、防盜等功能，確保數(shù)據(jù)和文檔的安全存儲。3.對存儲設(shè)備應(yīng)進(jìn)行定期維護(hù)和檢查，確保設(shè)備的正常運(yùn)行。（二）存儲方式1.商密算法相關(guān)的數(shù)據(jù)和文檔應(yīng)采用加密存儲方式，確保數(shù)據(jù)在存儲過程中的保密性。2.加密存儲應(yīng)采用符合國家相關(guān)標(biāo)準(zhǔn)的加密算法，如AES等。3.對存儲的數(shù)據(jù)和文檔應(yīng)進(jìn)行分類分級管理，建立相應(yīng)的索引和目錄，便于查詢和使用。（三）存儲備份1.商密算法相關(guān)的數(shù)據(jù)和文檔應(yīng)定期進(jìn)行備份，備份數(shù)據(jù)應(yīng)存儲在與主存儲設(shè)備不同的物理位置。2.備份周期應(yīng)根據(jù)數(shù)據(jù)的重要性和變化頻率確定，重要數(shù)據(jù)應(yīng)每日備份，一般數(shù)據(jù)可每周或每月備份。3.備份數(shù)據(jù)應(yīng)進(jìn)行加密存儲，并定期進(jìn)行恢復(fù)測試，確保備份數(shù)據(jù)的可用性。六、商密算法的傳輸管理（一）傳輸方式選擇1.根據(jù)商密算法的重要程度和傳輸數(shù)據(jù)的敏感性，選擇合適的傳輸方式，如加密網(wǎng)絡(luò)傳輸、專用存儲介質(zhì)傳輸?shù)取?.對于一級商密算法相關(guān)的數(shù)據(jù)傳輸，應(yīng)采用加密網(wǎng)絡(luò)傳輸方式，并確保傳輸過程的安全性和可靠性。3.對于二級和三級商密算法相關(guān)的數(shù)據(jù)傳輸，可根據(jù)實際情況選擇加密網(wǎng)絡(luò)傳輸或?qū)Ｓ么鎯橘|(zhì)傳輸方式，但應(yīng)采取必要的安全防護(hù)措施。（二）傳輸安全措施1.在傳輸商密算法相關(guān)數(shù)據(jù)前，應(yīng)進(jìn)行加密處理，確保數(shù)據(jù)在傳輸過程中的保密性。2.對傳輸網(wǎng)絡(luò)應(yīng)進(jìn)行安全防護(hù)，如設(shè)置防火墻、入侵檢測系統(tǒng)等，防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。3.在傳輸過程中，應(yīng)采用身份認(rèn)證和授權(quán)機(jī)制，確保只有授權(quán)人員能夠訪問和傳輸商密算法相關(guān)數(shù)據(jù)。4.對傳輸過程中產(chǎn)生的日志和監(jiān)控數(shù)據(jù)應(yīng)進(jìn)行嚴(yán)格管理，定期進(jìn)行審計和分析，發(fā)現(xiàn)問題及時處理。七、商密算法的銷毀管理（一）銷毀條件1.商密算法相關(guān)的數(shù)據(jù)和文檔在達(dá)到使用期限、不再使用或已失去使用價值時，應(yīng)及時進(jìn)行銷毀。2.因業(yè)務(wù)調(diào)整、機(jī)構(gòu)變更等原因?qū)е律堂芩惴ㄏ嚓P(guān)的數(shù)據(jù)和文檔不再需要時，也應(yīng)進(jìn)行銷毀。（二）銷毀方式1.商密算法相關(guān)的數(shù)據(jù)和文檔應(yīng)采用安全可靠的銷毀方式，如物理銷毀、數(shù)據(jù)擦除、密碼重置等。2.對于存儲在存儲設(shè)備中的商密算法相關(guān)數(shù)據(jù)，應(yīng)采用物理銷毀方式，如粉碎存儲設(shè)備、消磁等，確保數(shù)據(jù)無法恢復(fù)。3.對于存儲在電子介質(zhì)中的商密算法相關(guān)文檔，可采用數(shù)據(jù)擦除或密碼重置等方式進(jìn)行銷毀，確保文檔內(nèi)容無法讀取。（三）銷毀記錄1.對商密算法相關(guān)的數(shù)據(jù)和文檔的銷毀過程應(yīng)進(jìn)行詳細(xì)記錄，包括銷毀時間、銷毀方式、銷毀人員等信息。2.銷毀記錄應(yīng)保存一定期限，以備審計和查詢。八、監(jiān)督與檢查（一）內(nèi)部監(jiān)督1.公司/組織的保密管理部門應(yīng)定期對商密算法的管理情況進(jìn)行內(nèi)部監(jiān)督檢查，檢查內(nèi)容包括研發(fā)管理、使用管理、存儲管理、傳輸管理、銷毀管理等方面。2.內(nèi)部監(jiān)督檢查可采用定期檢查、不定期抽查、專項檢查等方式進(jìn)行，對發(fā)現(xiàn)的問題應(yīng)及時下達(dá)整改通知書，要求責(zé)任部門限期整改。3.責(zé)任部門應(yīng)按照整改通知書的要求認(rèn)真整改，并將整改情況及時反饋給保密管理部門。（二）外部審計1.公司/組織應(yīng)定期委托具有資質(zhì)的外部審計機(jī)構(gòu)對商密算法的管理情況進(jìn)行審計，審計內(nèi)容包括合規(guī)性審計、安全性審計等方面。2.外部審計機(jī)構(gòu)應(yīng)出具審計報告，對公司/組織商密算法管理情況進(jìn)行客觀評價，并提出改進(jìn)建議。3.公司/組織應(yīng)根據(jù)外部審計報告的建議，及時完善商密算法管理措施，提高管理水平。九、責(zé)任追究（一）違規(guī)行為界定1.違反本辦法規(guī)定，擅自研發(fā)、使用、存儲、傳輸、銷毀商密算法相關(guān)數(shù)據(jù)和文檔，或泄露商密算法相關(guān)信息的行為，屬于違規(guī)行為。2.未按照本辦法規(guī)定履行保密責(zé)任，導(dǎo)致商密算法相關(guān)信息泄露的行為，也屬于違規(guī)行