上海市商用密码常见问题库
问题 1:已经通过商用密码产品检测认证的商密产品在销售前是否还需要申请公安部的网络安全产品销售许可证?
答复:未列入《网络关键设备和网络安全专用产品目录(第一批)》的商密产品,无需申请公安部的网络安全产品销售许可证。
问题 2:我市相关单位如何申请使用 SM1、SM7 等非公开算法?
答复:按照《算法申请材料编制说明》准备相应材料,并将相应材料盖章纸质版+电子版(算法申请书应为盖章扫描版)各一份报送市密码管理局,由市密码管理局对材料内容进行实地核查并出具初审意见后,报国家密码管理部门审批。
问题 3:密码应用安全性评估结果的备案流程是什么?需要哪些材料?
答复:1、备案单位通过密码应用监管平台开展密评结果备案工作。首先,备案单位将单位营业执照复印件(盖章)、联系人、联系方式通过邮件发送至 mgj@shanghai.gov.cn,市密码管理局收到后将密码应用监管平台登录帐号和口令发送至联系人。
2、备案单位联系人收到登录帐号和口令后,登录密码应用监管 平 台 ( 政 务 外 网 https://10.86.129.166:2003 , 互 联 网https://61.129.1.215:2003),填写信息系统基本情况和密码应用情况,上传密评报告(密评机构盖章)、密评金额证明材料(合同或发票)及金额解释说明(如有需要)。市密码管理局对填报数据进行审核并给出意见建议。
3、通过审核后,备案单位根据实际需要申请纸质回执(市密码管理局盖章)。需要纸质回执的,备案单位在密码应用监管平台1上填写收件地址、联系人和联系方式。
问题 4:我单位希望为非本单位用户提供电子印章服务,是否需要申请电子认证服务使用密码许可证?
答复:需确认贵单位提供的电子印章所绑定的数字证书是否由具有电子认证服务资质的机构(须在工业和信息化部认可的目录)提供的,如果不是,需要申请电子认证服务使用密码许可证(国家密码管理局颁发)和电子认证服务许可证(工业和信息化部颁发)。
问题 5:开展密码应用与安全性评估工作的主要依据有哪些?
答复:(一)《中华人民共和国密码法》(2020 年 1 月实施);
(二)《中华人民共和国网络安全法》(2017 年 6 月实施);
(三)《中华人民共和国数据安全法》(2021 年 9 月实施);
(四)《中华人民共和国个人信息保护法》(2021 年 11 月实施);
(五)《关键信息基础设施安全保护条例》(2021 年 9 月实施);
(六)《政务信息系统政府采购管理暂行办法》(财库〔2017〕210 号,2018 年 1 月实施);
(七)《国家政务信息化项目建设管理办法》(国办发〔2019〕57 号,2020 年 2 月实施);
(八)《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960 号,2020 年 11月实施);
(九)《上海市贯彻<金融和重要领域密码应用与创新发展工作规划(2018-2022 年)>的实施方案》(沪委办〔2018〕51 号,2018 年 11 月印发);
(十)《关于进一步加强和规范关键信息基础设施密码应用工作的通知》(中共上海市委网络安全和信息化委员会办公室,上海市密码管理局,2020 年 3 月印发);
(十一)《关于规范和加强我市重要网络和信息系统密码应用与安全性评估工作的通知(沪密局〔2021〕5 号,2021 年 5 月印发);
(十二)《上海市密码管理局关于印发<上海市电子政务云政务移动办公信息系统密码应用建设指南(暂行)>》的通知(沪密局〔2022〕1 号,2022 年 1 月印发);
(十三)《关于进一步加强我市电子政务云及上云信息系统密码应用工作的通知》(沪密局〔2022〕5 号,2022 年 2 月印发);
(十四)GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(国家市场监督管理总局、中国国家标准化管理委员会,2019 年 12 月实施);
(十五)GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》(国家市场监督管理总局、中国国家标准化管理委员会,2019 年 12 月实施);
(十六)GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》(国家市场监督管理总局、中国国家标准化管理委员,2021 年 10 月实施);
(十七)GM/T 0115-2021《信息系统密码应用测评要求》(国家密码管理局,2022 年 5 月实施);
(十八)GM/T 0116-2021《信息系统密码应用测评过程指南》(国家密码管理局,2022 年 5 月实施);
(十九)《政务信息系统密码应用与安全性评估工作指南(2020 版)》(中国密码学会密评联委会,2020 年 9 月发布);
(二十)《信息系统密码应用高风险判定指引》(中国密码学会密评联委会,2021 年 12 月发布);
(二十一)《商用密码应用安全性评估量化评估规则》(中国密码学会密评联委会,2021 年 12 月发布);
(二十二)国家其他相关政策文件。
问题 6:商用密码进出口有什么要求?
答复:根据商务部、国家密码管理局、海关总署 2020 年发布的公告,在《商用密码进口许可清单》、《商用密码出口管制清单》两个清单中所列物项和技术,应向商务部申请办理两用物项和技术进口许可证。相关许可程序见《商用密码进出口程序》。
问题 7:商用密码产品品种和型号申请流程是什么?
答复:1.普通类商用密码产品:直接向国家商用密码检测中心提交产品检测认证的相关材料,具体模板与流程请咨询国家商用 密 码 检 测 中 心 ( http://www.scctc.org.cn , 联 系 电 话 :
010-83298576,010-83298320,010-83734008)。
2.信创类商用密码产品:步骤一:向国家商用密码检测中心提交产品检测认证的相关材料,具体模板与流程请咨询国家商用密码检测中心。取得产品认证证书后,方可申请该产品的信创适配。步骤二:向上海市密码管理局提交产品信创适配的相关材料,包括产品认证证书复印件和纸质盖章版《商用密码产品品种和型号申请书》(一式两份),相关材料请寄送至上海市徐汇区余庆路154 号。上海市密码管理局对材料进行初审后报国家密码管理局审核。
商用密码产品品种和型号申请书可在上海市密码管理局门户网站(https://mgj.sh.gov.cn)办事指南中下载。
问题 8:如何查询商用密码产品的认证进度?
答 复 : 1. 登 录 商 用 密 码 产 品 认 证 业 务 网(http://service.scctc.org.cn),使用认证委托联系人预留手机号进行注册。
2.注册成功后,在用户中心“进度查询”界面,输入查询关键字(委托人名称、产品名称、产品型号、产品版本号),点击查询。
3.如需修改预留联系方式,请先与 010-83734008 联系备案,后在修改用户信息界面,输入新的联系方式。
问题 9:在信息系统密码应用中,若部署的智能密码钥匙使用SHA-1 算法,在密码应用安全性评估或密码应用测评中是否判定为高风险问题?
答复:根据中国密码学会密评联委会 2021 年 12 月发布的《信息系统密码应用高风险判定指引》,采用存在安全问题或安全强度不足的密码算法对重要数据进行保护,如 MD5、DES、SHA-1、RSA(不足 2048 比特)等密码算法;或者采用安全性未知的密码算法,
如自行设计的密码算法、经认证的密码产品中未经安全性论证的密码算法;均属于高风险安全问题。
问题 10:在密码保障体系建设过程中,密码应用方案中有部分内容因建设难度较大需要进行调整,调整后的方案是否需要复评?
答复:密码应用方案调整后,若导致系统密码应用需求清单中的部分指标变成高风险项,或导致部分指标由适用变为不适用,应对方案进行复评。
5问题 11:密码应用方案模板第 2 章“系统概述”--“系统网络拓扑”要求给出系统网络拓扑图,第 5 章“密码应用技术方案”--“密码应用技术框架”要求给出密码应用技术框架图,这两个图有什么区别?
答复:密码应用方案模板第 2 章的系统网络拓扑图是信息系统密码应用建设或改造前的网络拓扑;第 5 章的密码应用技术框架图是信息系统密码应用建设或改造后的网络拓扑,重点是展示密码设备在网络架构中的部署位置和应用。
问题 12:如何开展密码应用方案评估?
答复:责任单位应当委托商用密码应用安全性评估机构或组织专家评审会对密码应用方案进行评估(对于项目投资金额超过3000 万的重要信息系统,责任单位应会同市密码管理局组织开展密码应用方案的评估工作)。
问题 13:密码应用方案的合规性对照表中允许存在不符合项吗?
答复:密码应用合规性对照表中允许存在“不符合”或“部分符合”项。若“不符合”或“部分符合”项涉及《信息系统密码应用高风险判定指引》中的高风险问题,则应在方案中描述相应的风险缓解措施。
6问题 14:信息系统中的重点保护对象具体包括哪些?
答复:物理和环境层的重点保护对象主要包括机房电子门禁系统及其数据、机房视频监控数据等;网络和通信层的重点保护对象主要包括访问应用通信信道、设备运维通信信道和数据备份通信信道等;设备和计算层的重点保护对象主要包括服务器、重要可执行程序和文件、数据库、堡垒机和密码产品等;应用和数据层的保护对象主要包括应用用户、重要数据和操
作行为等。
问题 15:信息系统密码应用方案编制的关键是什么?
答复:编制密码应用方案的关键在于:从安全风险分析入手,梳理信息系统的重点保护对象以及物理和环境、网络和通信、设备和计算、应用和数据等层面可能存在的安全风险;根据安全风险分析结果,逐一梳理系统的密码应用需求;根据系统的密码应
用需求,设计密码应用技术方案,并基于合规性对照表逐一分析系统密码应用的合规性。
