23年4月底，国务院常务会议召开，审议通过《商用密码管理条例（修订草案）》（以下简称《条例》），并对规范商用密码应用和推动商用密码市场发展作出部署。

《商用密码管理条例》是个啥？我只是个普通老百姓啊，和我有关吗？对我有影响吗？

当然有了！但是这个事，说来话长，且前因后果环环相扣，接下来，一定务必集中注意力！

先说几个概念：

什么是商用密码？

国家对密码实行分类管理，分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息。

商用密码，是指采用特定变换的方法对不属于国家秘密内容的信息等进行加密保护、安全认证的技术、产品和服务。

商用密码的主管单位是国家密码管理局，县级以上地方各密码管理局负责管理本行政区域的商用密码工作。  

    国家对密码实行分类管理，分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息。

商用密码，是指采用特定变换的方法对不属于国家秘密内容的信息等进行加密保护、安全认证的技术、产品和服务。

商用密码的主管单位是国家密码管理局，县级以上地方各密码管理局负责管理本行政区域的商用密码工作。

密评是商用密码应用安全性评估的简称，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。简单地说，就是对使用了商业密码的系统进行评估，从而确保其密码应用的合规、正确、有效。

密评的对象：（1）基础信息网络：电信网络、广播电视网、互联网；（2）涉及国计民生和基础信息资源的重要信息系统：能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统；（3）重要工业控制系统：核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统；（4）面向社会服务的政务信息系统：党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。

密评对密码算法的要求：密码算法应符合法律法规规定和密码标准和行业标准的有关要求。其中使用国密算法不扣分（SM2、SM3、SM4等），非高危的国际算法不得分。

密评频次：关键信息基础设施、网络安全等级保护第三级及以上的信息系统，密码应用安全性评估每年至少一次。

密评对密码算法的要求：

密码算法应符合法律法规规定和密码标准和行业标准的有关要求。其中使用国密算法不扣分（SM2、SM3、SM4等），非高危的国际算法不得分。

密评频次：

关键信息基础设施、网络安全等级保护第三级及以上的信息系统，密码应用安全性评估每年至少一次。

简单解读下，就是

• 《商用密码管理条例（修订草案）》的正式通过，进一步规范密码应用市场；
• 变“推荐性”为“强制化”，与等保、关保相衔接；
• “密评”成为衡量密码建设程度的指标；
• 加强电子认证管理，提升电子认证服务；
• 确立上位法依据，督促平台企业依法履行密码保护责任；
• “两级”变“四级”，“托管”变“专管”；
• 改“批准制”为“清单制”，放宽进出口管控要求；
• 创新监督管理方式，聚焦监管检查内容；

我再说一遍，我只是个普通老百姓！

第一：你上面说的我看不懂；

第二：这和我有什么关系？

不要急，不要急，跟上思路！跟上思路！

我们每个人，不管你我他，时不时的总得签个合同吧？什么劳动合同、租赁协议、借贷合同，哪怕是签个借条也是！

如果你还有企业，还需要签采购合同、销售合同、合作协议等等。

之所以要签合同，是不是为了保障双方的权益？为了受到法律的保护？

那受法律保护的前提，是不是你签的合同要合法合规？

但是现在大家都在用电子签名、电子合同，对吧？毕竟，谁现在还用纸质合同？铺张浪费！我们要降本增效啊！

而电子签名电子合同服务大多是中立第三方的服务商提供，他们合法合规吗？满足《条例》要求吗？

尤其是，你所使用的电子签名服务：

1）涉及政务、国央企、事业单位等应用的；

2）是否支持国产密码：密评评分规则导向国产密码应用；

3）是否取得电子政务电子认证服务许可：政务活动中电子签名、电子印章、电子证照等涉及电子认证服务，应当由依法设立的电子政务电子认证服务机构提供；

4）密码模块存储是否合规：密钥对必须存储在密码模块（符合GB/T 37092《信息安全技术 密码模块安全要求

》以上的安全要求）内：密码设备内部的密钥数据绝对不外泄，需要存储在通过国家密码管理部分核准的密码机、Ukey等设备内。

如果你是一个企业，在业务开展过程中已经使用电子签，或计划使用电子签的，就需要着重关注下了！

《条例》要求进行密评，而密评要求会对现有的本地化方案产生影响：

• 1）受《条例》影响较为明显的市场：政务、国央企、事业单位等市场；此外，《条例》还规定密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。

• 2）支持国产密码：密评评分规则导向国产密码应用；

• 3）CA机构需取得电子政务电子认证服务许可：政务活动中电子签名、电子印章、电子证照等涉及电子认证服务，应当由依法设立的电子政务电子认证服务机构提供；

与e签宝合作的部分CA机构：