54．国家密码管理局 关于印发《信息安全等级保护商用密码管理办法》的通知 （国密局发〔2007〕11 号） 各省、自治区、直辖市国家密码管理局（国家密码管理委员会办公室），新疆生产建设 兵团国家密码管理局： 为规范信息安全等级保护商用密码管理，提高信息化密码保障能力，依据《商用密 码管理条理》和公安等四部门联合印发的《信息安全等级保护管理办法》，我局制定了 《信息安全等级保护商用密码管理办法》。现印发给你们，请认真贯彻执行。 二〇〇七年十一月二十七日 信息安全等级保护商用密码管理办法 第一条 为规范信息安全等级保护中使用商用密码的行为，依据《商用密码管理条 理》和《信息安全等级保护管理办法》，制定本办法。 第二条 信息安全等级保护中使用商用密码对不涉及国家秘密内容的信息进行加密 保护或者安全认证的行为，适用本办法。 第三条 国家密码管理局主管全国的信息安全等级保护中使用商用密码的管理工 作。 省、自治区、直辖市密码管理机构，中央和国家机关有关部委密码管理机构负责本 地区、本部门信息安全等级保护中使用商用密码的具体管理工作。 第四条 各级信息系统使用商用密码应当符合《信息安全等级保护商用密码技术要 求》。 第五条 信息安全等级保护中使用的商用密码产品，应当是国家密码管理局准予销 售的产品。 第六条 信息系统运营、使用单位应当按照《商用密码产品目录》选用商用密码产 品。 1 第七条 信息安全等级保护中第二级及以上的信息系统使用商用密码产品应当备 案，填写《信息安全等级保护商用密码产品备案表》。 中央和国家机关有关部委统一定级的信息系统使用商用密码产品，由本部门密码管 理机构向国家密码管理局备案。 其他信息系统等级保护中使用商用密码产品，由信息系统所属单位向所在地的省、 自治区、直辖市密码管理机构备案。 省、自治区、直辖市密码管理机构定期将备案汇总情况报国家密码管理局。 第八条 信息系统运行过程中，商用密码产品使用情况发生变化的，应重新备案。 第九条 国家密码管理局和省、自治区、直辖市密码管理机构对第三级以上信息系 统使用商用密码的情况进行检查。其中，第三级信息系统每两年检查一次，第四级、第 五级信息系统每年检查一次；检查工作可以结合商用密码测评工作进行。 第十条 国家密码管理局和省、自治区、直辖市密码管理机构对未按照要求使用商 用密码产品的，及时向备案单位发出整改通知，并对整改情况进行督促检查。 第十一条 信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构 承担。 第十二条 信息安全等级保护商用密码测评机构应严格按照《信息安全等级保护商 用密码技术要求》及相关规范进行测评。 第十三条 信息安全等级保护中违反商用密码管理规定的，由密码管理机构依据《商 用密码管理条理》和《信息安全等级保护管理办法》及相关规定予以处罚。 第十四条 本办法由国家密码管理局负责解释。 第十五条 本办法自 2008 年 1 月 1 日起施行。 2