本规则依据《中华人民共和国密码法》《中华人民共和国认证认可条例》制定，规定了市场监管总局和国家密码管理局发布的《商用密码产品认证目录》中的产品，实施商用密码产品认证的基本原则和要求。

2 认证模式

商用密码产品认证模式为：

型式试验+初始工厂检查+获证后监督认证机构可对获证产品生产企业的扩项产品认证委托，减免初始工厂检查环节。

3 认证单元划分

原则上应按产品型号的不同划分认证单元。同一认证单元内有多个版本的产品时，认证委托人应提交不同版本间的差异说明，必要时还应进行补充差异试验。

4 认证实施程序

4.1 认证委托

认证机构应明确认证委托资料要求，包括产品技术文档，生产能力、质量保障能力、安全保障能力说明等。认证委托人应按认证机构要求提交认证委托资料，认证机构在对认证委托资料审核后及时反馈是否受理的信息。

4.2 型式试验

1、认证机构应根据认证委托资料制定型式试验方案，包括型式试验的样品要求和数量、检测标准项目、检测机构信息等，并通知认证委托人。

认证委托人应按型式试验方案提供样品至检测机构，并保证样品与实际生产产品一致；必要时，认证机构也可采用生产现场抽样的方式获得样品。认证委托人可在认证结束后取回型式试验样品。

检测机构应对型式试验全过程作出完整记录，并妥善管理、保存、保密相关资料，确保在认证有效期内检测结果可追溯。型式试验结束后，及时向认证机构和认证委托人出具型式试验报告。

4.3 初始工厂检查

认证机构应根据产品认证通用要求，结合 GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准对认证委托产品的生产企业实施初始工厂检查，检查内容包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。

4.4 认证评价与决定

认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价，作出认证决定。对符合认证要求的，颁发认证证书并允许使用认证标志；对暂不符合认证要求的，可要求认证委托人限期整改，整改后仍不符合的则书面通知认证委托人终止认证。

4.5 获证后监督

认证机构应对认证有效期内的获证产品和生产企业进行持续监督。获证后监督可不预先通知生产企业，一般采用工厂检查的方式实施，必要时可在生产现场或市场抽样检测。认证机构对获证后监督结论和相关资料信息进行综合评价，评价通过的，可继续保持认证证书、使用认证标志；不通过的，认证机构应当根据相应情形做出暂停或者撤销认证证书的处理。