解读《密码法》:商用密码检测、认证公司应取得什么资质,解读ISO13485认证体系记录控制要求-企业易

解读《密码法》:商用密码检测、认证公司应取得什么资质

问：商用密码标准具备什么样的法律效力？

答：《密码法》第二十四条规定：商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。

商用密码从业单位开展商用密码活动应当依据有关法律、行政法规的规定行使权利和履行义务，是遵守法律的必然要求。商用密码从业单位开展商用密码活动，除了遵守法律、行政法规，还应当符合商用密码强制性国家标准以及该从业单位公开标准的技术要求。除此之外，国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准。

问：建设商用密码检测认证体系的意义是什么？

答：商用密码检测认证是商用密码治理体系的重要基础，在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用：面向商用密码从业单位能够引导提质升级，增加市场有效供给；面向管理部门能够支持行政监管，提高市场监管效能；面向社会各方能够推动诚信建设，营造良好市场环境；面向国际市场能够促进规则对接，提升市场开放程度。

《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设，这是深化商用密码行政审批制度改革的重要内容，是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时《密码法》第二十五条还明确了在商用密码检测认证中，自愿检测认证是主要方式。

问：我国商用密码检测机构和认证公司现状怎样？

答：截至2019年12月，通过审批的商用密码产品检测机构共有3家，开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCI-E密码卡、IPSEcVPN安全网关、SSLVPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统、电子文件密码应用系统、可信计算类密码产品等的检测工作，完成了近2000款产品的密码检测、数百个信息系统的安全性评估。

目前，商用密码领域已有1家专门认证公司。与此同时，有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制，加强与金融、电力、通信、社会保险、交通等重点领域、行业的检测与认证技术交流，联合金融领域检测认证公司开展金融系统密码测评和认证，共同推动商用密码检测认证能力提升。

问：商用密码检测、认证公司应取得什么资质？

答：《密码法》第二十五条规定：商用密码检测、认证公司应当依法取得相关资质，并依据法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

按照“放管服改革要求，《密码法》将商用密码检测、认证公司资质纳入《认证认可条例》规定的认证认可制度体系中，由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。商用密码检测、认证公司应当分别取得商用密码检测、认证公司资质。商用密码检测、认证公司依据《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系，有利于增强商用密码检测认证制度的权威性、统一性。

问：商用密码检测、认证公司是否应承担保密义务？

答：在从事商用密码检测、认证活动的过程中，由于工作必须，商用密码检测、认证公司能够深入到所检测认证的商用密码产品、服务以及相关产品生产单位、服务提供单位中去，有可能接触到有关商业秘密乃至国家秘密。

尽管商用密码检测、认证公司知悉国家秘密和商业秘密的途径是合法的，是在依法或依约定进行检测认证活动的过程中获取的，可是假如将这些秘密泄露给别人，就会损害国家安全和利益，或者损害商业秘密权利人的利益。因此，参照《认证认可条例》的规定，《密码法》第二十五条规定：商用密码检测、认证公司应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

解读ISO13485认证体系记录控制要求

无论ISO13485认证公司审核还是企业实施ISO13485认证体系都是依据ISO13485认证体系标准，对标准要求的理解应保持一致。更多地了解企业具体情况更有助标准实施。本篇摘要介绍ISO13485认证体系记录控制要求。

1) ISO13485认证体系2017 标准4.2.5 规定了对质量管理体系中记录控制的要求。组织宜制定形成文件的程序，以规定记录的标识、存储、安全和完整性、检索、保留时间和处置所需的控制。记录可采用纸张或电子媒体等适合的形式，如采用电子媒体，记录宜安全储存，禁止非授权获得，防止更改。宜考虑保存时间、可查性、以及电子影像的老化和记录阅读装置及所需软件的可得性，质量记录的电子版副本应包含由原始质量记录所获得的全部相关信息。

2)企业宜对记录中包含的保密健康信息进行保护，如记录中涉及有关保密健康的信息，企业宜满足相关的法规要求，对该记录进行防护。含有保密性健康信息的记录可能是临床报

告表、医疗器械中的电子信息（如监护仪、血糖仪、血液分析仪、透析设备），用于使用研究和设计确认的临床信息。这些信息也宜保密并符合某些司法机构对隐私的法规要求。

3) 记录可分为下列三种类型：

a）与设计和制造过程有关的，影响特定类型的所有医疗器械的记录；

b）与单个医疗器械或一批医疗器械制造或销售有关的记录；

c）证明整个质量管理体系有效运行的记录（体系记录）。

从上面能够很清楚地看到，a)和b)类的记录直接与特定的医疗器械有关。a)类记录的保存期限宜至少相当于按此类设计的最后生产的医疗器械的寿命期，并且还应从组织放行医疗器械起不少于两年。b)类记录的保存期限宜至少相当于该特定批的医疗器械的寿命期，并且还应从企业放行医疗器械起不少于两年。

4）一些体系记录的保存期限也可与医疗器械的寿命期有关；如器械的校准和人员的培训。其他的体系记录保存期限，与医疗器械的寿命期直接关系较少，如管理评审记录、内审记录、基础设施、一些供方的评价和数据统计分析。对于这些记录，YY/T0287 要求组织明确适宜的保存期限。在明确这些记录的保存期限时，组织宜考虑医疗器械的性质，和使用有关的风险，相关记录和相关的法规要求。

5) ISO13485认证体系手写记录宜以不能擦掉的方法书写。经授权填写或审核记录的人员的笔迹宜清晰、易于识别。适当时，良好的记录规范宜包含如下因素：

——及时录入数据和观察结果；

——不要提前或滞后作记录；

——不要使用其别人的名字的首写字母或签名或其他等效的方法记录；

——使用表格记录时宜填写所有必须填写的地方或进行核对；

——当必须转换数据时，要参考原始资料，副本宜由另1个人进行核对；

——检查所有条款的完整性和准确性；

——记录宜编制页码，以确保完整性。

6) 假如记录中出现了错误，对其进行纠正时，原始内容不能丢失，纠正内容宜有签名和日期。适当时，宜记录纠正原因。假如使用电子记录系统来代替纸质的记录，假如可能，电

子版本的记录系统宜包含标明时间的、不可修改的、系统形成的审核追溯情况，以便对记录更改的追溯。这样的审核追溯情况可包含授权使用者的身份、创建情况、删除情况、更改/纠正情况、时间和日期、链接和嵌入的情况。

7）企业对输入电子记录系统的关键数据宜提供其他选择方案，如：

——给予登录用户名、身份、时间和日期的第2个授权人，可验证通过键盘的数据输入；