一、《密碼法》關于商用密碼標準體系的規定

《密碼法》第二十二條規定：國家建立和完善商用密碼標準體系。國務院標準化行政主管部門和國家密碼管理部門依據各自職責，組織制定商用密碼國家標準、行業標準。國家支持社會團體、企業利用自主創新技術制定高于國家標準、行業標準相關技術要求的商用密碼團體標準、企業標準。

商用密碼標準化是實現商用密碼技術自主創新、促進商用密碼產業發展、構建商用密碼應用體系的重要支撐。

商用密碼國家標準、行業標準屬于政府主導制定的標準，商用密碼團體標準、企業標準屬于市場主體自主制定的標準。

商用密碼國家標準由國家標準化管理委員會組織制定，代號為GB。

商用密碼行業標準由國家密碼管理局組織制定,報國家標準化管理委員會備案，代號為GM。

商用密碼團體標準由商用密碼領域的學會、協會等社會團體制定,商用密碼企業標準由商用密碼企業制定或者企業聯合制定。

二、密碼行業標準化技術委員會是我國密碼行業唯一標準化組織

2011年10月，經國家標準化管理委員會批準,國家密碼管理局設立了密碼行業標準化技術委員會。密碼行業標準化技術委員會作為我國密碼行業唯一標準化組織,受國家密碼管理局委托，主要職責包括：

(1)提出密碼行業標準規劃和年度標準制定、修訂計劃的建議；

三、我國商用密碼標準體系建設情況

截至2019年12月，國家標準化管理委員會已發布商用密碼國家標準29項，國家密碼管理局已發布商用密碼行業標準91項，覆蓋商用密碼技術、產品、服務、應用、檢測和管理等多個領域,構建了較為齊全完備的商用密碼標準體系，有效發揮了商用密碼標準在引領科技進步、推動產業發展、促進互聯互通、助力應用推進、優化管理服務等方面的重要作用。

四、商用密碼行業標準的分類

當前，商用密碼的行業標準分為基礎類標準、應用類標準、檢測類標準和管理類標準。

五、關于商用密碼強制性國家標準和推薦性國家標準、行業標準

國家鼓勵采用推薦性標準，即從業單位自愿采用推薦性標準。同時國家還會采取一些正向激勵措施，鼓勵企業采用推薦性標準。但在有些情況下，推薦性標準的效力會發生轉化，必須執行，例如：

六、商用密碼標準的法律效力

《密碼法》第二十四條規定：商用密碼從業單位開展商用密碼活動，應當符合有關法律、行政法規、商用密碼強制性國家標準以及該從業單位公開標準的技術要求。國家鼓勵商用密碼從業單位采用商用密碼推薦性國家標準、行業標準,提升商用密碼的防護能力，維護用戶的合法權益。

商用密碼從業單位開展商用密碼活動應當依照有關法律、行政法規的規定行使權利和履行義務，是遵守法律的必然要求。商用密碼從業單位開展商用密碼活動，除了遵守法律、行政法規，還應當符合商用密碼強制性國家標準以及該從業單位公開標準的技術要求。此外，國家鼓勵商用密碼從業單位采用商用密碼推薦性國家標準、行業標準。

七、我國商用密碼國際標準化開展情況

《密碼法》第二十三條第一款規定：國家推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉化運用。

我國高度重視商用密碼國際標準化工作，大力推進以我國自主設計研制的SM系列密碼算法為代表的中國商用密碼標準納入國際標準，積極參與國際標準化活動，加強國際交流合作。

八、鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動

《密碼法》第二十三條第二款規定：國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標準化活動。

企業、社會團體和教育、科研機構等全面深入地參與商用密碼國際標準的制修訂等國際標準化活動，是全球化的必然趨勢和要求，有利于提升商用密碼技術的全球影響力，同時也為降低包括密碼脆弱性在內的全球網絡安全整體風險貢獻中國智慧和提供中國方案。

九、關于商用密碼從業單位公開標準的技術要求和作用

《密碼法》規定了企業標準自我聲明公開和監督制度,調整的對象是企業生產的產品和提供的服務所執行的標準，這類標準規定了企業生產的產品和提供的服務所應達到的各類技術指標和要求，是企業對其產品和服務質量的硬承諾，應當公開并接受市場監督。

企業生產的商用密碼產品和提供的商用密碼服務，如果執行國家標準、行業標準和團體標準，企業應該公開相應的標準名稱和標準編號；如果企業生產的產品和提供的服務所執行的標準是本企業制定的企業標準，企業除了公開相應的標準名稱和標準編號，還應當公開企業產品、服務的技術指標。公開指標的類別和內容由企業根據自身特點自主確定,企業應對公開的產品和服務標準的真實性、準確性、合法性負責。

企業生產的產品和提供的服務應當符合企業自我聲明公開標準提出的技術要求，不符合企業自我聲明公開標準提出的技術要求的，應依法承擔相應的責任。