國家密碼管理局

國家密碼管理局令



第　2　號(hào)



《商用密碼檢測機(jī)構(gòu)管理辦法》已經(jīng)2023年9月11日國家密碼管理局局務(wù)會(huì)議審議通過，現(xiàn)予公布，自2023年11月1日起施行。

局　長　　劉東方　　 

2023年9月26日　　





商用密碼檢測機(jī)構(gòu)管理辦法



第一條　為了加強(qiáng)商用密碼檢測機(jī)構(gòu)管理，規(guī)范商用密碼檢測活動(dòng)，根據(jù)《中華人民共和國密碼法》、《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，制定本辦法。

第二條　商用密碼檢測機(jī)構(gòu)的資質(zhì)認(rèn)定和監(jiān)督管理適用本辦法。

第三條　從事商用密碼產(chǎn)品檢測、網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估等商用密碼檢測活動(dòng)，向社會(huì)出具具有證明作用的數(shù)據(jù)、結(jié)果的機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國家密碼管理局認(rèn)定，依法取得商用密碼檢測機(jī)構(gòu)資質(zhì)。

第四條　國家密碼管理局負(fù)責(zé)全國商用密碼檢測機(jī)構(gòu)的資質(zhì)認(rèn)定和監(jiān)督管理�？h級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)本行政區(qū)域內(nèi)商用密碼檢測機(jī)構(gòu)的監(jiān)督管理。

第五條　商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)在資質(zhì)認(rèn)定業(yè)務(wù)范圍內(nèi)從事商用密碼檢測活動(dòng)。國家密碼管理局制定并公布商用密碼檢測機(jī)構(gòu)資質(zhì)認(rèn)定基本規(guī)范和商用密碼檢測機(jī)構(gòu)資質(zhì)認(rèn)定業(yè)務(wù)范圍。

第六條　取得商用密碼檢測機(jī)構(gòu)資質(zhì)，應(yīng)當(dāng)符合下列條件：

（一）具有法人資格；

（二）具有與從事商用密碼檢測活動(dòng)相適應(yīng)的資金；

（三）成立2年以上，從事網(wǎng)絡(luò)安全檢測評(píng)估領(lǐng)域相關(guān)工作1年以上，無重大違法或者不良信用記錄；

（四）具有與從事商用密碼檢測活動(dòng)相適應(yīng)的場所；

（五）具有與從事商用密碼檢測活動(dòng)相適應(yīng)的設(shè)備設(shè)施；

（六）具有保證商用密碼檢測活動(dòng)獨(dú)立、公正、科學(xué)、誠信的管理體系；

（七）具有與從事商用密碼檢測活動(dòng)相適應(yīng)的專業(yè)人員；

（八）具有與從事商用密碼檢測活動(dòng)相適應(yīng)的專業(yè)能力。

外商投資企業(yè)法人申請商用密碼檢測機(jī)構(gòu)資質(zhì)，除符合上述條件外，還應(yīng)當(dāng)符合我國外商投資有關(guān)法律法規(guī)的規(guī)定。

第七條　申請商用密碼檢測機(jī)構(gòu)資質(zhì)，應(yīng)當(dāng)向國家密碼管理局提出書面申請，向國家密碼管理局委托進(jìn)行受理的省、自治區(qū)、直轄市密碼管理部門提交《商用密碼檢測機(jī)構(gòu)資質(zhì)申請表》及以下材料，并對其真實(shí)性負(fù)責(zé)：

（一）法人資格證書；

（二）資本結(jié)構(gòu)和股權(quán)情況；

（三）無重大違法或者不良信用記錄、不從事可能影響商用密碼檢測公平公正性活動(dòng)的承諾；

（四）工作場所等固定資產(chǎn)產(chǎn)權(quán)證書或者租賃合同；

（五）工作環(huán)境和設(shè)備設(shè)施配置情況；

（六）項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理、安全保密管理等管理體系建立情況；

（七）法定代表人、最高管理者、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人、授權(quán)簽字人以及專業(yè)人員情況；

（八）申請人認(rèn)為需要補(bǔ)充的其他材料。

受國家密碼管理局委托進(jìn)行受理的省、自治區(qū)、直轄市密碼管理部門自收到申請材料之日起5個(gè)工作日內(nèi)，對申請材料進(jìn)行形式審查，根據(jù)下列情況分別作出處理：申請材料內(nèi)容齊全、符合規(guī)定形式的，應(yīng)當(dāng)受理行政許可申請并出具受理通知書；申請材料內(nèi)容不齊全或者不符合規(guī)定形式的，應(yīng)當(dāng)當(dāng)場或者在5個(gè)工作日內(nèi)一次性告知申請人需要補(bǔ)正的全部材料；不予受理的，應(yīng)當(dāng)出具不予受理通知書并說明理由。

第八條　國家密碼管理局應(yīng)當(dāng)自行政許可申請受理之日起20個(gè)工作日內(nèi)，依據(jù)商用密碼檢測機(jī)構(gòu)資質(zhì)認(rèn)定基本規(guī)范的要求，對申請進(jìn)行審查，并依法作出是否準(zhǔn)予許可的書面決定。

需要對申請人進(jìn)行技術(shù)評(píng)審的，技術(shù)評(píng)審所需時(shí)間不計(jì)算在本條規(guī)定的期限內(nèi)。國家密碼管理局應(yīng)當(dāng)將所需時(shí)間書面告知申請人。

第九條　國家密碼管理局根據(jù)技術(shù)評(píng)審需要和專業(yè)要求，可以委托專業(yè)技術(shù)評(píng)價(jià)機(jī)構(gòu)實(shí)施技術(shù)評(píng)審。

技術(shù)評(píng)審包括專業(yè)人員能力考核，場所、設(shè)備設(shè)施、管理體系建設(shè)實(shí)地查勘，檢測能力考核等。

專業(yè)技術(shù)評(píng)價(jià)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照商用密碼檢測機(jī)構(gòu)資質(zhì)認(rèn)定基本規(guī)范開展技術(shù)評(píng)審活動(dòng)，對技術(shù)評(píng)審結(jié)論的真實(shí)性、符合性負(fù)責(zé)，并承擔(dān)相應(yīng)法律責(zé)任。國家密碼管理局應(yīng)當(dāng)對技術(shù)評(píng)審活動(dòng)進(jìn)行監(jiān)督，建立責(zé)任追究機(jī)制。

第十條　申請人有下列情形之一的，國家密碼管理局應(yīng)當(dāng)終止審查：

（一）隱瞞有關(guān)情況或者提供虛假材料的；

（二）采取賄賂、請托等不正當(dāng)手段，影響審查工作公平公正進(jìn)行的；

（三）無正當(dāng)理由拒絕接受審查的；

（四）違反商用密碼檢測機(jī)構(gòu)從業(yè)要求的。

第十一條　準(zhǔn)予許可的，國家密碼管理局向申請人頒發(fā)《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》，并公布取得資質(zhì)證書的商用密碼檢測機(jī)構(gòu)名錄。

有下列情形之一的，國家密碼管理局應(yīng)當(dāng)出具不予行政許可決定書，說明理由并告知申請人相關(guān)權(quán)利：

（一）終止審查的；

（二）審查不合格的；

（三）法律法規(guī)規(guī)定的不予許可的其他情形。

第十二條　《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》有效期5年，內(nèi)容包括：獲證機(jī)構(gòu)名稱、統(tǒng)一社會(huì)信用代碼、注冊地址、證書編號(hào)、有效期限、資質(zhì)認(rèn)定業(yè)務(wù)范圍、發(fā)證機(jī)關(guān)和發(fā)證日期。

《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》有效期屆滿需要延續(xù)的，應(yīng)當(dāng)在有效期屆滿3個(gè)月前向國家密碼管理局提出書面申請。國家密碼管理局根據(jù)申請人的實(shí)際情況，采取書面或者現(xiàn)場形式開展審查，在《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》有效期屆滿前作出是否準(zhǔn)予延續(xù)的決定。

禁止轉(zhuǎn)讓、出租、出借、偽造、變造、冒用、租借《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》。

第十三條　有下列情形之一的，商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)自變更之日起30日內(nèi)向國家密碼管理局申請辦理變更手續(xù)：

（一）機(jī)構(gòu)名稱、注冊地址、法人性質(zhì)發(fā)生變更的；

（二）法定代表人、最高管理者、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人、授權(quán)簽字人發(fā)生變更的；

（三）資質(zhì)認(rèn)定業(yè)務(wù)范圍發(fā)生變更的；

（四）依法需要辦理變更的其他事項(xiàng)。

商用密碼檢測機(jī)構(gòu)發(fā)生變更的事項(xiàng)影響其符合資質(zhì)認(rèn)定條件和要求的，國家密碼管理局根據(jù)申請人的實(shí)際情況，采取書面或者現(xiàn)場形式開展審查。需要進(jìn)行技術(shù)評(píng)審的，依照本辦法第九條規(guī)定對其開展技術(shù)評(píng)審。

第十四條　商用密碼檢測機(jī)構(gòu)有下列情形之一的，國家密碼管理局應(yīng)當(dāng)依法注銷其商用密碼檢測機(jī)構(gòu)資質(zhì)：

（一）《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》有效期屆滿，未申請延續(xù)或者依法不予延續(xù)批準(zhǔn)的；

（二）申請注銷商用密碼檢測機(jī)構(gòu)資質(zhì)的；

（三）被依法撤銷、吊銷商用密碼檢測機(jī)構(gòu)資質(zhì)的；

（四）依法終止的；

（五）因法人性質(zhì)變更、改制、分立或者合并等原因發(fā)生變化，或者發(fā)生其他影響其符合資質(zhì)認(rèn)定條件和要求的變更事項(xiàng)，經(jīng)審查發(fā)現(xiàn)不符合資質(zhì)認(rèn)定條件和要求的；

（六）資質(zhì)認(rèn)定業(yè)務(wù)范圍被全部取消的；

（七）法律法規(guī)規(guī)定的應(yīng)當(dāng)注銷商用密碼檢測機(jī)構(gòu)資質(zhì)的其他情形。

第十五條　商用密碼檢測機(jī)構(gòu)及相關(guān)從業(yè)人員應(yīng)當(dāng)按照法律、行政法規(guī)和商用密碼檢測技術(shù)規(guī)范、規(guī)則，在批準(zhǔn)范圍內(nèi)獨(dú)立、公正、科學(xué)、誠信地開展商用密碼檢測，對出具的檢測數(shù)據(jù)、結(jié)果負(fù)責(zé)，尊重知識(shí)產(chǎn)權(quán)，恪守職業(yè)道德，承擔(dān)社會(huì)責(zé)任，保守在工作中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私。

第十六條　商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)保證其基本條件和技術(shù)能力能夠持續(xù)符合資質(zhì)認(rèn)定條件和要求，并確保管理體系有效運(yùn)行。

第十七條　商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)遵守以下從業(yè)要求：

（一）加強(qiáng)對本機(jī)構(gòu)人員的監(jiān)督管理，經(jīng)常性組織開展安全保密教育和業(yè)務(wù)培訓(xùn)；本機(jī)構(gòu)從事檢測活動(dòng)的專業(yè)人員每年接受商用密碼教育培訓(xùn)的時(shí)長不得少于40學(xué)時(shí)，相關(guān)情況應(yīng)當(dāng)記錄留存；

（二）本機(jī)構(gòu)及關(guān)聯(lián)方不得從事商用密碼產(chǎn)品生產(chǎn)、銷售（檢測工具除外），信息系統(tǒng)或者商用密碼保障系統(tǒng)集成、運(yùn)營，電子認(rèn)證服務(wù)，電子政務(wù)電子認(rèn)證服務(wù)，或者其他可能影響商用密碼檢測公平公正性的活動(dòng)；

（三）不得同時(shí)聘用正在其他商用密碼檢測機(jī)構(gòu)從業(yè)的人員，或者存在其他惡意競爭、擾亂市場秩序的情形；

（四）不得以單獨(dú)出租設(shè)備設(shè)施或者委派人員等方式承擔(dān)業(yè)務(wù)，所承擔(dān)的業(yè)務(wù)不得分包、轉(zhuǎn)包；

（五）不得以任何方式推薦或者限定被檢測單位購買使用特定主體生產(chǎn)或者提供的商用密碼產(chǎn)品或者服務(wù)；

（六）獨(dú)立于出具的檢測數(shù)據(jù)、結(jié)果、報(bào)告所涉及的利益相關(guān)各方，不受任何可能干擾技術(shù)判斷因素的影響；

（七）使用符合國家密碼管理要求的設(shè)備設(shè)施；

（八）法律法規(guī)和國家有關(guān)規(guī)定提出的其他從業(yè)要求。

第十八條　商用密碼檢測機(jī)構(gòu)出具的檢測報(bào)告，應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和有關(guān)規(guī)定的要求，保證內(nèi)容真實(shí)、客觀、準(zhǔn)確、完整。商用密碼檢測機(jī)構(gòu)對其出具的檢測報(bào)告負(fù)責(zé)，并承擔(dān)相應(yīng)的法律責(zé)任。

商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)指定授權(quán)簽字人在其業(yè)務(wù)能力范圍內(nèi)簽字確認(rèn)本機(jī)構(gòu)出具的檢測報(bào)告，并加蓋機(jī)構(gòu)公章或者專用章。授權(quán)簽字人應(yīng)當(dāng)系統(tǒng)掌握商用密碼管理政策和專業(yè)知識(shí)，具備密碼或者網(wǎng)絡(luò)安全領(lǐng)域高級(jí)技術(shù)職稱或者同等專業(yè)水平。

第十九條　商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)對檢測原始記錄和檢測報(bào)告歸檔留存，保證其具有可追溯性。檢測原始記錄和檢測報(bào)告的保存期限不得少于6年。

從事商用密碼產(chǎn)品檢測的商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)標(biāo)準(zhǔn)規(guī)范的要求，對檢測樣品和相關(guān)數(shù)據(jù)信息進(jìn)行妥善管理。商用密碼檢測機(jī)構(gòu)資質(zhì)被注銷的，應(yīng)當(dāng)對檢測樣品和相關(guān)數(shù)據(jù)信息進(jìn)行妥善處理。

第二十條　商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)于每年1月15日前通過所在地省、自治區(qū)、直轄市密碼管理部門向國家密碼管理局報(bào)送上一年度工作報(bào)告以及相關(guān)統(tǒng)計(jì)數(shù)據(jù)，包括持續(xù)符合資質(zhì)認(rèn)定條件和要求、遵守從業(yè)規(guī)范、開展檢測活動(dòng)、實(shí)施標(biāo)準(zhǔn)等情況。

第二十一條　商用密碼檢測機(jī)構(gòu)不得有以下出具虛假或者失實(shí)檢測數(shù)據(jù)、結(jié)果、報(bào)告的行為：

（一）未經(jīng)檢測，直接出具檢測數(shù)據(jù)、結(jié)果、報(bào)告的；

（二）篡改、編造原始數(shù)據(jù)、記錄，出具檢測數(shù)據(jù)、結(jié)果、報(bào)告的；

（三）偽造檢測報(bào)告和原始記錄簽名，或者非授權(quán)簽字人簽發(fā)檢測報(bào)告的；

（四）漏檢關(guān)鍵項(xiàng)目、干擾檢測過程或者改動(dòng)關(guān)鍵項(xiàng)目的檢測方法，造成檢測數(shù)據(jù)、結(jié)果、報(bào)告失實(shí)的；

（五）其他出具虛假或者失實(shí)檢測數(shù)據(jù)、結(jié)果、報(bào)告的行為。

第二十二條　密碼管理部門對商用密碼檢測機(jī)構(gòu)依法開展監(jiān)督檢查，可以行使下列職權(quán)：

（一）進(jìn)入檢測活動(dòng)場所實(shí)施現(xiàn)場檢查；

（二）向商用密碼檢測機(jī)構(gòu)、委托人等有關(guān)單位及人員調(diào)查、了解有關(guān)情況或者驗(yàn)證相關(guān)檢測活動(dòng)；

（三）查閱、復(fù)制有關(guān)合同、票據(jù)、賬簿以及檢測活動(dòng)中形成的檢測數(shù)據(jù)、結(jié)果、報(bào)告等有關(guān)材料。

國家密碼管理局根據(jù)工作需要，可以行使下列職權(quán)：

（一）組織商用密碼檢測機(jī)構(gòu)檢測能力驗(yàn)證；

（二）對商用密碼檢測機(jī)構(gòu)出具的檢測數(shù)據(jù)、結(jié)果、報(bào)告等有關(guān)材料進(jìn)行抽樣檢查。

密碼管理部門和有關(guān)部門及其工作人員不得要求商用密碼科研、生產(chǎn)、銷售、服務(wù)、進(jìn)出口等單位和商用密碼檢測、認(rèn)證機(jī)構(gòu)向其披露源代碼等密碼相關(guān)專有信息，并對其在履行職責(zé)中知悉的商業(yè)秘密和個(gè)人隱私嚴(yán)格保密，不得泄露或者非法向他人提供。

第二十三條　商用密碼檢測機(jī)構(gòu)應(yīng)當(dāng)積極配合密碼管理部門的監(jiān)督檢查，按照要求參加檢測能力驗(yàn)證和抽樣檢查，并如實(shí)提供相關(guān)材料和信息。檢測能力驗(yàn)證或者抽樣檢查結(jié)果不合格的，應(yīng)當(dāng)開展為期不少于6個(gè)月的整改，整改期間不得開展相應(yīng)業(yè)務(wù)范圍的商用密碼檢測活動(dòng)。商用密碼檢測機(jī)構(gòu)整改結(jié)束后，應(yīng)當(dāng)經(jīng)國家密碼管理局組織驗(yàn)收合格，方可恢復(fù)開展相應(yīng)業(yè)務(wù)范圍的商用密碼檢測活動(dòng)；經(jīng)整改仍不能滿足相應(yīng)業(yè)務(wù)范圍的資質(zhì)認(rèn)定條件和要求的，取消其相應(yīng)業(yè)務(wù)范圍的資質(zhì)認(rèn)定，直至注銷其商用密碼檢測機(jī)構(gòu)資質(zhì)。

第二十四條　以欺騙、賄賂等不正當(dāng)手段取得商用密碼檢測機(jī)構(gòu)資質(zhì)的，國家密碼管理局應(yīng)當(dāng)依法撤銷商用密碼檢測機(jī)構(gòu)資質(zhì)。該機(jī)構(gòu)在3年內(nèi)不得再次申請商用密碼檢測機(jī)構(gòu)資質(zhì)。

申請商用密碼檢測機(jī)構(gòu)資質(zhì)時(shí)隱瞞有關(guān)情況或者提供虛假材料的，國家密碼管理局不予受理或者不予許可。該機(jī)構(gòu)在1年內(nèi)不得再次申請商用密碼檢測機(jī)構(gòu)資質(zhì)。

第二十五條　商用密碼檢測機(jī)構(gòu)違反《中華人民共和國密碼法》、《商用密碼管理?xiàng)l例》和本辦法規(guī)定，有下列情形之一的，由密碼管理部門責(zé)令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款；情節(jié)嚴(yán)重的，由國家密碼管理局吊銷其商用密碼檢測機(jī)構(gòu)資質(zhì)：

（一）超出批準(zhǔn)范圍開展商用密碼檢測的；

（二）轉(zhuǎn)讓、出租、出借、偽造、變造、冒用、租借《商用密碼檢測機(jī)構(gòu)資質(zhì)證書》的；

（三）本機(jī)構(gòu)及關(guān)聯(lián)方從事商用密碼產(chǎn)品生產(chǎn)、銷售（檢測工具除外），信息系統(tǒng)或者商用密碼保障系統(tǒng)集成、運(yùn)營，電子認(rèn)證服務(wù)，電子政務(wù)電子認(rèn)證服務(wù)，或者其他可能影響商用密碼檢測公平公正性的活動(dòng)的；

（四）同時(shí)聘用正在其他商用密碼檢測機(jī)構(gòu)從業(yè)的人員或者存在其他惡意競爭、擾亂市場秩序情形的；

（五）以單獨(dú)出租設(shè)備設(shè)施或者委派人員等方式承擔(dān)業(yè)務(wù)，或者分包、轉(zhuǎn)包所承擔(dān)業(yè)務(wù)的；

（六）推薦或者限定被檢測單位購買使用特定主體生產(chǎn)或者提供的商用密碼產(chǎn)品或者服務(wù)的；

（七）違反法律、行政法規(guī)和商用密碼檢測技術(shù)規(guī)范、規(guī)則要求開展檢測活動(dòng)或者存在其他影響檢測獨(dú)立、公正、科學(xué)、誠信的行為的；

（八）出具的檢測數(shù)據(jù)、結(jié)果、報(bào)告虛假或者失實(shí)的；

（九）未按照要求如實(shí)報(bào)送年度工作報(bào)告以及相關(guān)統(tǒng)計(jì)數(shù)據(jù)的；

（十）泄露在工作中知悉的商業(yè)秘密、個(gè)人隱私的。

第二十六條　商用密碼檢測機(jī)構(gòu)違反本辦法規(guī)定，有下列情形之一的，由密碼管理部門責(zé)令改正；逾期未改正或者改正后仍不符合要求的，處1萬元以上10萬元以下罰款：

（一）未按照要求申請辦理變更手續(xù)的；

（二）未按照要求開展安全保密教育和業(yè)務(wù)培訓(xùn)的；

（三）使用不符合國家密碼管理要求的設(shè)備設(shè)施的；

（四）出具未經(jīng)授權(quán)簽字人簽字確認(rèn)的檢測報(bào)告，授權(quán)簽字人超出其業(yè)務(wù)能力范圍簽發(fā)檢測報(bào)告，或者未在檢測報(bào)告上加蓋機(jī)構(gòu)公章或者專用章的；

（五）未按照要求保存檢測原始記錄和檢測報(bào)告，或者未按照要求妥善管理檢測樣品和相關(guān)數(shù)據(jù)信息的。

第二十七條　縣級(jí)以上地方各級(jí)密碼管理部門應(yīng)當(dāng)依法公開監(jiān)督檢查結(jié)果，將商用密碼檢測機(jī)構(gòu)受到的行政處罰等信息納入國家企業(yè)信用信息公示系統(tǒng)等平臺(tái)，并定期將年度商用密碼檢測機(jī)構(gòu)監(jiān)督檢查結(jié)果等信息逐級(jí)報(bào)至國家密碼管理局。

第二十八條　從事商用密碼檢測機(jī)構(gòu)監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人隱私、舉報(bào)人信息的，依法給予處分。

第二十九條　本辦法自2023年11月1日起施行。