书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G29 /G2A /G2B /G2C /G2D 犌犕 ／ 犜 ００６５ — ２０１９ /G2E /G2F /G28 /G29 /G30 /G31 /G32 /G30 /G26 /G33 /G34 /G35 /G36 /G37 /G38 /G39 /G3A 犛狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犮犪狆犪犫犻犾犻狋狔犮狅狀狊狋狉狌犮狋犻狅狀狅犳狆狉狅犱狌犮狋犻狅狀犪狀犱犵狌犪狉犪狀狋犲犲犳狅狉犮狅犿犿犲狉犮犻犪犾犮狉狔狆狋狅犵狉犪狆犺犻犮狆狉狅犱狌犮狋狊 ２０１９  ０７  １２ /G3B /G3C ２０１９  ０７  １２ /G3D /G3E /G27 /G3F /G28 /G29 /G40 /G41 /G42 /G3B /G3C书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 评估要素 １ ………………………………………………………………………………………………… 　 ４．１ 　 基本项 １ ……………………………………………………………………………………………… 　 ４．２ 　 声明项 ２ ……………………………………………………………………………………………… 　 ４．３ 　 评估项 ２ ……………………………………………………………………………………………… ５ 　 基本项要求 ３ ……………………………………………………………………………………………… 　 ５．１ 　 法人资格 ３ …………………………………………………………………………………………… 　 ５．２ 　 主要技术人员 ３ ……………………………………………………………………………………… 　 ５．３ 　 产品研发 ３ …………………………………………………………………………………………… 　 ５．４ 　 行业管理遵从 ３ ……………………………………………………………………………………… ６ 　 声明项要求 ３ ……………………………………………………………………………………………… 　 ６．１ 　 关键人员信息 ３ ……………………………………………………………………………………… 　 ６．２ 　 单位性质 ４ …………………………………………………………………………………………… 　 ６．３ 　 数据管理 ４ …………………………………………………………………………………………… ７ 　 评估项要求 ４ ……………………………………………………………………………………………… 　 ７．１ 　 生产能力 ４ …………………………………………………………………………………………… 　　 ７．１．１ 　 技术力量 ４ ……………………………………………………………………………………… 　　 ７．１．２ 　 生产管理 ４ ……………………………………………………………………………………… 　　 ７．１．３ 　 生产条件 ５ ……………………………………………………………………………………… 　　 ７．１．４ 　 生产工艺与流程 ５ ……………………………………………………………………………… 　 ７．２ 　 质量保障能力 ５ ……………………………………………………………………………………… 　　 ７．２．１ 　 制度保障 ５ ……………………………………………………………………………………… 　　 ７．２．２ 　 开发过程质量管理 ６ …………………………………………………………………………… 　　 ７．２．３ 　 质量问题管理 ６ ………………………………………………………………………………… 　　 ７．２．４ 　 持续改进产品质量措施 ６ ……………………………………………………………………… 　 ７．３ 　 安全保障能力 ６ ……………………………………………………………………………………… 　　 ７．３．１ 　 组织保障 ６ ……………………………………………………………………………………… 　　 ７．３．２ 　 安全管理 ７ ……………………………………………………………………………………… 　 ７．４ 　 服务保障能力 ８ ……………………………………………………………………………………… 　　 ７．４．１ 　 制度保障 ８ ……………………………………………………………………………………… 　　 ７．４．２ 　 应急响应能力 ８ ………………………………………………………………………………… 　　 ７．４．３ 　 服务响应方式 ８ ………………………………………………………………………………… Ⅰ 犌犕 ／ 犜 ００６５ — ２０１９前 　　 言 　　 本标准根据 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准由密码行业标准化技术委员会提出并归口 。 本标准起草单位 ： 北京中电华大电子设计有限责任公司 、 格尔软件股份有限公司 、 兴唐通信科技有限公司 、 国家密码管理局商用密码检测中心 、 北京三未信安科技发展有限公司 、 天地融科技股份有限公司 、 成都卫士通信息产业股份有限公司 、 北京市密码管理局 、 上海市密码管理局 、 广东省密码管理局 。 本标准主要起草人 ： 周建锁 、 叶枫 、 赵闪 、 罗鹏 、 冯育晖 、 韩小平 、 杨耀华 、 高志权 、 熊云 、 李立勋 、 马飞 、 郑强 、 李明 、 曲志华 、 杨阳 。 Ⅲ 犌犕 ／ 犜 ００６５ — ２０１９引 　　 言 　　 密码是网络和信息安全的核心技术和基础支撑 ， 是保障国家安全 、 推动经济发展和维护公众利益的战略性资源 。 商用密码产品是密码技术的实现载体 ， 为应用提供机密性 、 完整性 、 不可否认性等安全保障 。 国家对销售或者在经营活动中使用的商用密码产品实施许可 。 根据 《 商用密码管理条例 》 的相关要求 ， 商用密码产品研制生产单位必须具备独立的法人资格 ， 具有与开发 、 生产商用密码产品相适应的技术力量和场所 ， 具有确保商用密码产品质量的设备 、 生产工艺和质量保证体系 ， 满足法律 、 行政法规规定的其他条件 。 为了对商用密码产品生产单位的生产和保障能力建设提供统一 、 客观的标准 ， 为了生产单位对自身技术力量 、 场所 、 设备 、 生产工艺和质量保证能力有较为全面的把握 ， 制定本标准 。 本标准从评估的角度对商用密码产品生产单位相关能力建设提出要求 ， 也可用于第三方机构对商用密码产品生产单位进行评估 。 建设规范包含本标准和 《 商用密码产品生产和保障能力建设实施指南 》， 本标准规定了基本项 、 声明项和评估项等要素及要求 ；《 商用密码产品生产和保障能力建设实施指南 》 包含评估方法 、 评估程序 、 评估报告和实施要点 。 Ⅳ 犌犕 ／ 犜 ００６５ — ２０１９商用密码产品生产和保障能力建设规范 １ 　 范围 本标准规定了商用密码产品生产和保障能力的评估要素和评估要求 。 本标准适用于对商用密码产品生产单位的生产能力 、 质量保障能力 、 安全保障能力和服务保障能力 进行能力建设及核查 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＭ ／ Ｚ４００１ 　 密码术语 商用密码管理条例 ３ 　 术语和定义 ＧＭ ／ Ｚ４００１ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 主要技术人员 　 犿犪犻狀狋犲犮犺狀犻犮犪犾狆犲狉狊狅狀狀犲犾 从事商用密码产品设计 、 实现 、 检测或测试及技术支持工作的人员 。 ３ ． ２ 　 关键人员 　 犮狉狌犮犻犪犾狆犲狉狊狅狀狀犲犾 包括法定代表人 、 实际控制人 、 高层管理人员 、 技术负责人 。 ３ ． ３ 　 关键岗位 　 犮狉狌犮犻犪犾狆狅狊犻狋犻狅狀 对研发 、 生产和管理活动具有重要作用 ， 对结果的质量有显著影响 ， 甚至能决定结果成败的岗位 。 ３ ． ４ 　 密码核心技术 　 犮狅狉犲犮狉狔狆狋狅犵狉犪狆犺犻犮狋犲犮犺狀狅犾狅犵狔 商用密码产品中使用的实现密码核心功能的技术 。 ３ ． ５ 　 密码固件 　 犮狉狔狆狋狅犵狉犪狆犺犻犮犳犻狉犿狑犪狉犲 密码边界内的硬件中 、 执行期间不能被动态写入或修改的程序与数据组成部分 。 如存储硬件 ， 包括 但不限于 ＲＯＭ 、 ＰＲＯＭ 、 ＥＥＰＲＯＭ 与 ＦＬＡＳＨ 。 ４ 　 评估要素 ４ ． １ 　 基本项 基本项是商用密码产品生产单位应达到的基本条件 ， 包括法人资格 、 主要技术人员 、 研发产品和行 １ 犌犕 ／ 犜 ００６５ — ２０１９业管理遵从项 。 ４ ． ２ 　 声明项 声明项是商用密码产品生产单位做出的特别说明 ， 包括生产单位关键人员信息 、 单