。 商【用，密码检测机构管理】办法： 国家密码管！理局令？ 第2《号     【商用：。密码检测机构管【理办法已经20【23年9月1—1日国家密码—管理局局务》会议审议通过—现予公布自20【23年11月—1日起？施行 局长 【刘，东方 20—23年9月26日】 第？一条：　为了加强商用密码！。。检测机构管理规范商！用，密码检？测，活动根？据中华人民共和国】密码法、商用密码管！理条例等《有关法律法规制定】本办法 第二【条，　，商，用密码检测机构的资！质认定？和监督管理适用本】办法 第三条　】从事商用《。密码产品检测、网络！与信息系统商—用密码应《用安全？性评估等商用密码检！测活：动向社会出具具【有证明作用的数据】。、结：果的机构应》。。当经国？家密码管《理局认定依法取【。得商用密码检—测机构资质 — 第四？条　国家密码管【理局负责全国—。商用密码检测机【构的资质认定和监督！管理县级以》上，地方各级密码—管理：部门：。负责本行政》区域内商用密码检】测机构的监督管理】 ， 第五？条　商用《密码检测机构应当】在资质认《定业务范围内从事】商用密码检》测活动国家密码管理！局制定并公布商用密！码检：测机构？资质认定基本规【。范和商用密码检测】机构资质认定—业，务范围？ ， ，。第六：条　：取得商用密码—检测机构资质应【当符合？下列条？。件，     —（一）具有法人资】格；：。 ，  ：  ：。 （：二，）具：有与从事商用密码】检测活动相适应【的资金；   】  （三）成立【2年以上从事网【络安全？检测：评估领域相》关工作？1年以上无重大违法！或，者不良信用记录； ！     （四）】具有与？从事商用密码检测】活动相适应》的场所；   】  （五）具有【与从事商用密码【检测活动相》。适应的设备设施【；  《   ？。（六）具有保证商用！密码检？测活动独立》、公正、科学、【诚信的管理》体系； 》    （七）具】有，与从事商用密码检测！活动相？适应：的专业人《员；  》   （八）具有】与从事？。商用密码检测活【动相适应的专业【能，力   》  外商投资企业法！人申请？商用密码检测—机构资？质除符合上述条【件外还应《当符合？我国外商投》资有关法律法—规，。的规定？ 第七《条　申请商用—密码检测机构资【。质应当向国家—密码管理局提出书】面申请向国家密【码管理局《委托：进行受理的省、【自治区、直辖市密码！管理部门提交商用密！码检测机构》。资质：申请表及以下材料】并对其真《实性负责《 ：。   ？ （一）法人资格】证，书；   —  （二）资—本结：。构，和，股权情？况；  》   （三）无【重大违？法或者不良信用记录！、不从事可能影响商！用密码检测公平公正！。性活动？的承诺；《     （四）！工作场所等固定资产！产权证书或者—租赁：合同：； ？    （五—）工作环境和设【备设施配置情—况；：   《 ， ，（六）项目管理、】质量管理、人员管理！、档案管理、安全保！密管理等管理—体系建立《情，况； ？    《 （七）法定代【表人、最高管—理者：、技术负责人、质量！负，责人：、授权签字人—以及专业人员—。情况：；     （】八，。）申请？。人认为需要补—充的其他材》料     受国！家密码？管理局委托进行受理！的省、自治》区、直辖《市密码管理部门自】收到申请材料—之日：起5个？工作日内对申请材】料进行？形式审查根据下列情！况分别？作出处理申》请材料内容齐全、符！合规定形式的应当受！。理行：政许：可申请并《出具受？。理，。。通知书；申》请材料内容不齐全或！者不符合规定—。形，式的应当当》场或者在5个工作】日内一？次，性告知申《请人需要补正的全】部材料；《不予受理的应当出】具不予？受理通知书并说明】理由 第》八条　国家密—码管理局应当自【行政许？可申：请受理之日起—20个工作日内【依据商用密码检【测机构资质认定基本！规，。。范的要求对申请进】行审：查，并依法作出是否准予！许可：的书面决定   ！  需要《对申请人进行技术评！审的技术评审所需时！。间不：计算：在本：条规定的期》限内国家密码—管，。理，局应当将所》需，时间书面告知申请人！ 第九《条　国家密码管理】局根据技术评—审需：要和专业要求可【以委托专业技术【评价机？构实施技术评审【 ：    技术评【审包括专业人员能】力，考核场所、》。。。设备设施、》管理体系建设—实地查勘《检测能力《考核等？     专业】技术评价机》构应当严《格按照商用》密，码检测机构资质【。认定基本规》范开展技术评—审活动对技术评审】结论的真实性—、符合性负责并承担！相，应法律？责任国？家密码管《理局应当对技—术评审活《动，。进，行监督建立责—任追究？机制 ？ ，第十条　申请人【有下列情《形之一的国》家，密码管理《局应当终《。止审查  —   （一》）隐瞒有关》情况或？者提：供虚假材料的—；    —。 （二？），采取贿赂、》请托等不正当手段影！响，审，查工作？公平公正进行—的；    【 （三）无》正当理由拒绝接受】审，查的；？   《  ：（四：）违：。反商用密《码检测？机构：从业要求《的 第《十，一条　？准予许可的国—家密：码管理局向申—请人颁发商用密【码检测机构资质证书！并公：。布取得资质证书的】。商用密码检测—机构名录    ！。 有下？列情：形之一的国家密码管！理局应当《出具不予行政许【可决定书说明理由】并告知申请》人相关权利 —   ？  （一）终—止审：查的：； ？ ， ，  ：（二：）审查不合格的【；     （】三）法律法规规【定的不？予许可的其》他情形 》第十二条　商用密码！检测机构资质证【书有效期5年内容包！括获证机构名称【、统一？社会信用代码、注】册地：址、：证书编号、有效【期限：、，资质认定业务范围】、发证机关和发证】日期  》   商用密码检测！机构资质证》书有效期届满—需要延续的应当在】有效期届满》3个月前向国家密码！管理局提出书面申请！国家密码管理局根据！申请人？的实际情《况采取书面或者现】。场形式开展审查【在商用密码》检测机？构资质证书有效期】届满：前作出是否准—予延续的决定 】    禁止—转让、出租、出借、！伪造、变造、—冒用、租借商用密】码，检测：机构资质证书 【。 第十？三条　有下》。列情：形之一？的商：用密码检测机—构应当？自变：更之：日起30日内向国】家密码管理局申请】办理变更手续—     —（一）机构名称、注！册地址、《法人性质《发生变更的； 】  ：。  （二）法定【代表人、最高管理者！、技术负责人、质量！。负责人、《。授权：签字人发生》变更：的；   —  （三《）资质认定业—务范围发生变更的】；     （】四）依法需》要办理变《更的其？他事：项   》  商用密码检测】。机，。构发生变更》的事项？影响其符合资质认】定，。条件和要求的国家密！码管：理局根据《申请：人的实际情况采取书！面或者现场形—式开展？审查需？要进行技术》评审的依照本办法第！九条规定对其开【展技术？。评，。审 第十四—条　商用密码检测】机构：。有下列情形之一【。的国家密码》管，理局：应当依？法注销其《。商用密码检》测机构资质   ！  （？一）商用密码—检测机构资》质证书有效期届满】未申：请延续或者依—。法不：予，延续批准的；— ，     》（，二）申请注销商用】密码检？测机构资《质，的；     】（三）被依法撤销、！。吊销商用《密码检测机构资【质，的；     】（四）依《法终止的；   ！  （五《），因，法人性质变更、改制！、分立或者》合并等原因发—生变化或者发生【其他影响《其符：合资质？认，定条件和《要求的变更事项【经审查发《。现不符合《资质认定条件—和要求的；》     （六】）资：质认定业务范围被】全部取消的； 【     （七【）法律法规规定的】应，当注销商用》。密码检测《机构资质的》其他情形 —第十五条　》商用密码检测机【构及相关《从业：人员：应当按照法律、行】。政法：规，和商用密码》检测技术规范、【规则在批准范围【内独立、公正—。、科：学、诚信地开展【。商用密码检》。。。测对出具的检—。测数：。据、结果负责—尊重知？识产权？恪守职业道德承【担社会责任保守在工！作中知悉的国—家秘：密、商业秘密和个人！隐私 第》十六条　商用密码】检测机构《。应当保证其》基本：条，件和技？术能力？能够持？续符：合资质认《定，。条件和要求并确【保管理体系》有效运行《 第十七》条　商用密》码检测机《构应当遵《守以下从业》要求     】（一）加强对—本机：构，人员的监督》管理经常性》组织开展安全保【密教育和业》务培：训；本机构从事检测！活动的专《业人员每年接受【。商，用密码教育培训【的时长不得少—于40学时》相关：情况应当记录留存】；    — （二）本机构【及关：联方不得从事商【用密码产品生产【、销售（检测工具除！外）信息系统—或者商用密》码保障系统集成【、运：营电子？认，证服务电子政务电】子认证服《。务或者其他可能影响！商用密码检测公【平公正性的活动；】  ？   （三）不【得同时聘用正—在其他商用密—码检测机构从业的】人，员或者？存在其他恶意竞争、！扰乱市？。场秩序的情》形；    【 （四）不得以单】。独出：租设备设施或—者委派人员等方式】承担业务所承担的】业务不得分包—、转包；    ！ （五）《不得：以任何方式推荐或者！限定被检测单位购买！使用特定主体生产或！者提：供的商用密码产品】或者服务； 【    （六—）独立？。于出：具的检测数据、结果！、报告所涉及的利】益，相关各方不》受，。任何可能干扰技术】。判断因？素的影响；  】   （七）—使用符合国家—。密码管理要求的设备！设施； 《   ？  （八）法律法】规，和国家有关规—定，提出的？其他从业要求 】第十八？条，　商用密码检测机】构出具的检测报【告应当符合相—关国家标准、—行业标？准和有关规》定的：。要求保证内容真实、！客观、？准确、完整商用【密码检测机构对其出！具的检测报告负责】并承担相应的—法律责任《     商【。用密码检测》机构应当指》定授权签字人—在其业务能力—范围：内签字确认本机构出！。具的检测报告并【加盖机构《公章或者专用章授权！签字人应当》系统掌握商用—密码管理政策和专业！知识具备密码或者网！络，安全领域《。高级技术职称或【者同等专《业水平 《 ，第十九条　商—用密码检测机构【应当对检测》原始记录和》检测报告归档—留存保证其具—有，可追溯性《检测原始《记，录和检测报告—的保存期限不得少】于，6年    【 从：事商用密码产品【检测的商用》密码检测机》构应当按照相关标】准规范的要求—对检测样品和相关】数据信息进行妥善管！理商用密码检—测机构资质被—注销的？。应当对检《测样品和相关—数据信息进》行妥善处理 【第二十条　商用密码！。检测机？构应当于每年1月】15日前通过所在地！省、自治区、直辖】。。市密码管理》部门：向国家密码管理局】报送：上一年度工作报告以！及相关统计数据【包括持续符合资质认！定条件和要求、遵】守从业规范、开【展检：测活动、实施标准】等情况 第二【十一条　商》用密：码检测机构》不得有以下出具虚】假或者？失实检测数据、【结，果、报告的行为 】  ：   （一）—未，经检测直接》出具检测数据、结果！、报告的； 【  ：  （二）》篡改、编造》原始：数据、记录出具检】测数据、《结果、报告的；【   《  （三）伪造检测！报告和原始》记录签名或者非【授权签字人》签发检测报告的； ！     （四）漏！检关键项目、干【扰检测过《程或：者改：动关键项目的检【测方法造成检测数】据、：结果、报告失—实的； 》    （》五）其他出》具，虚假或者失实—检，测数据、结果、【报告的行为 第二！十，二条：　密码？管理：部门对商《用密码？检测机？构依法开展》监督检？查可以行《。。使下列？。。职权    【 （一）进入检测】活动：。场所实施现场检【查； 《    （二）向商！用密码检测机构、】委，托人等有《关单位及人》。员调查、了解有关情！况或者验证相关【检测活动； —     （三【）查阅、复》制有关合同、—票据、账簿以及检测！活动中形《成的检测数》据、：结果、报告等—有关材料《   《 ， 国家密码管理【局根据工作需要可】以行：使下列职权  】 ，  （？一）组织《商用密码检》测机构检测能力验】证； ？    《。。 （二）对》商，用密码检《测机：构出具的检测数【据、结果、报告等】有关：材料进？行抽样检查 【    密码管【理部门和有关—部门及其《工作人员《不得要？求商用密码科—研、生产《、销售、《服，务、进出口等单【位和商用密码—检测、认证机—构向其披露源代【。码等密码相》关专：有信息？并对：其在履行职》责中知悉《的商业秘密和个人】隐私严？格保密？不得泄露《或者非法向他—人提供 《 第：。。二十三条　商用密码！检测机构应》当，积极配合密码管【理部门的监督检查按！照，要求参加检测—能力验？证和抽样检查并【。如实提供相关材料】。和信息？检测：能力验证或者—抽样检查《结果不？合格的应当开展为】。期不少于6个月的整！改整改期间不得开展！相应业务《范围的商用密—码检测活动商用【密码检测机构整改结！束后应当经国家密】码管理？局组织？。验收合格方可恢【复开展相应业务范】围的商？用密码检《测活动；《经整：改仍：不能满足《相应业务范围的资】质认定条件和要【求的取消其相应业务！范围的资质认定直】至注销其商用密码检！测机构资质》 ， 第二十四条—　以欺骗《、贿赂等不》正，当手段取得商—。用密：码检测机构资—质，的，。国家密码《管理局应当依法撤】销商用密《码检测机构资质该】。机构在3年内不【得再次？申请商？。用，密码检测机》构资质  —   申请商用密】。码检测机《构资质时隐瞒有关情！况或者提供》。虚，。假材料的国家密码管！理局不予受理或者不！予许可该《。机构在1《年内不？得再：次申请商用密—码检测机构资质 ！第二十五《条，　，商用：密码检测《机构违反中华人【民共和？。国密码法、商用密码！管理条例和本办【法规：定有下列情》形之一的由》密码管理部》。门，责令改正或者停【止违法行为给—予，警告：。没收违法所得；【违法所得30—。万，。元以上的可》以并处违《法所得1《倍以上？3倍以下罚款；【没有违法《所得或者违法—所得不？足30万元》。的可以？并处10《万元以上《30：。万元以下罚款；情节！严重的由国》家密码？管理局吊销其商用】密码检测《机构资质《  ？   （《一）超出批准范围】开展商用密码—检测的； — ，   （《二）转让、出租、出！借、伪造、变造【、冒用、租》借，。商用密？码检：测机构资质证书的；！     —（三）本机构—及关联方从事商用密！码产品生产、销售】（检测工具除外）信！息系：统或者商用密码保障！。系统集成、运营电】子认证？服务：电子政务电子认证】服，。务，或者其？他，可能影响商用密【码检测公平公—正，性的活动的；  ！   （四》）同时聘用正—。在其：他商：用密码检《测机构从业的人员】或者存在《其，他恶意？竞，。争，、扰乱？市场秩序情形的； ！   ？。  （五）》以单：独出租？设备设施《。或者：委派人员《等方：式承担？业务或者分包、转】包所承担业》务的：；     （六！）推荐？或者限定被检—。。。测单位购买使用特定！主体生产或者提供的！商用密码产》品或者服务的；【     （【七，）违反法律》、行政法规和—。。商用密码检测技术】。规范、规则要求【开展：检测活动或者存在其！他，影，响检测独《立、公正、科学、】诚信的行《为的； 》   ？ （八）出》具的检测数据、结果！、报告虚假或者失】实的； 》   ？ （：九）：未按照要求如实报送！年度工作《报告以及相关统计数！据，的； ？     （十）泄！露在工作《中知悉的商》业秘密、个人隐【私的 《第二：十六条　商用密码检！测机构？违反：本办法？规定有下《列情：形，之一：的由：密码管理部门责令】改，正；：逾期：未改正或者》改正后仍《不符合要求》的处1？万元以上1》0万元以下罚款 】 ，    （一）未】按照要？求申请办《理，变更手续的；—     （二】）未按照要求开展】安全保密《教育：和业务培训》的；  》   ？（三）使用不符合国！家密码管理》要求的设备》设，施，的；：    》 （四）出具—未经授权《。签字人签字确认的检！测报告？授权签字人超出【其，业务能力范围签【发检测报告或—者未在检测报告上】加盖机构《。公章或者专用章的；！     （五）！未按：照要求？保存检测原》始记录和检测报告或！。者未按照要求妥【善管理检测》样品和相《关数据信息的—。 第二十七条【　县：级以上地方各级密】码管：理部门应当依—法公开监督检查结果！将商：用密码？检，。测机：构受到的行政—处罚等信息纳入国】家企业？信，用信息？公示系统《等，平台：并定期将年》度商用密码检测机】构监督检《查结果等信》息逐级报《至国家密码管理【局 ：。 第：。二十八条《　从事商用密码检测！机，构监督管理工作【。的，。人员滥用职权、玩忽！职守、徇私舞弊或者！。泄露、非法向—他人提供在》。履行职责中知悉的商！业秘密、个人隐私、！举报人信息的依【法给予处分》 第二十》九条：　本办法自20【23年11月1【日起施？行 ？