商【用密：码，检测：机构管理办法 ！ 国家密码管理局】令 第2号—     —商用密？码检测机构管—理，办法已经2》023年9月1【1日国家《密码管理局局务会】议审议？通，过现：予，公布自2023年】11月1日起施行】 局长 刘东【方 ： 2：023？。年9月26日 【 第一条《　为了加强商用密码！检测机构管理规范商！。用密码检测活动根】据中华人民共和【国密码法、商—用密码管理条例等有！关法：律法规制《定本办法 第二条！　商用密码》检测：机构的资质》认定和监《督管理适用》本办：法， ， 第：三条　从事商—用，密码产品检》测、网络与信息系统！商用密码《应，用安全性评估等商】用密码检测活动向】。。社会出具具有证明作！用的数据、结果的】机构应当经国家密码！。管理：局认定依法取—得商用密《码检测机构》资质： 第四条　国家】。密码管理《局负责全国》商用密码检测机构】的资：质认定和监督管【理县级以上地方各级！密码：管理部？门负：责本行政区域内商用！。密码：检测机构的监督管】理， 第？五条　？商用密码检测机构应！当在资质认》定业务范围内从【事商用密码检测活】动国家密码管理【局制定并公布商用密！码，检测机构《。资质认定基本—规范：和商：用密码检测机构资】。质认定业务范—围 第六条　取】得商：用，密，码检测机构》资质应当符合—下列条件 —    （一）【具有：法人资格； —     》（二）具有与从事】。商用密码检测活动相！适应的资金；—。     （三】）成立2年以上从事！网络：安全检测《。评估领域相》关工作1年以上无重！大违法？或者不良《信用记？录； 《  ： ， （四）具有与【从事商用密码检测活！动相适应的》场，所； ？ ，    （五）具有！与从事商用密—。码检测活动相适【应的设备设施；【  ？   （六）具有】保证商用《密码：检测：活，动，独立、公正》、科学？、诚信的管》理体系？； ？    （》七）具有与》从事商用密码—检测：活动相？适应的专业人员；】     —（，八）：具有与？从事商用密》码检测活动》相适应的专业—能力     外！商投资企业法—人申请商用密—码检测机构资质【除符合上述条—件外还？应当符合我国外商】投，资有关法律》法，规，。的规定 第—。七条　？申请：商用密码检测机构】资质应当向国家密】码管理局提》出书面？申请向国家密—。码管理局委》托进行受理的省【、自治区、直辖市】密码管理部》门提交商用密码检】测机构？资质申请表及—以下材料《并对其真实性负责 ！  ：   （一）法人资！格证书； —  ：  （二）》资本结构《和股权情况； 】    （三—），无重大违法》或，者不良信用记录、不！从事可能《影响商用《密码：检测公平公正性【活动的承诺； 【   ？  （四）工作场】所等固？定资产产《。权，。证书或者租赁合同；！ ，     （五）工！作环境和设备设施】。配置情况；》    》 （六）《项，目，管理、质量管理、】人，。员管理、档案管【理、安全保密管【理等管理体系建【。立，情况； 《     （七）】法定代表《人，。、最：高管理者、技—术负责人、质量负】。责人、授权签字人以！及专业人员情况【。；  《  ： （八）申请人认】为需要补充的—其他材？料 ？    受》。国家密码管理—局委托进行受—理的省、自治区、直！辖市密码管理部【门自收到申请材料】之日起？5个工作日》。内对申请材料进【行形式审查根据下列！情况分别作》出，处理申？请材：料内容齐全、—符合规？定形式的应》当受理行政许可【。申请并出具受—理，通知：书；申请《材料内容不齐—全或者不符合—。规定形式的应—当当场或者在—5个工？作日内？一次性告《知申请人《需要：。补正的全部》材料；不予受理【的应当出具不予受】理通知书并说明【理由： 第八条　国【家密码管理局—应当自行政许—可，申，请受理？之日起20个—工作日内依据商【用，密码检测机构—资质认定基》。本规范的要》求对申？请进行审查并依法】作出是否准予许可】的书面？决定：  ？。   需要对申请】人进行技术评—审的技术评审所需时！间不计算在本条【规定的？期限内国家》密，码管理局应当将所】需时间？书面告知申请人【 第九条　国家】密码管理《局根据技术评审需】要和专业要》求可：。以委托专业》。技术评？价机构？实施技术评审  ！  ： 技术评审》包括专业人员能力考！核场所、设备设施】、管：理体系建设实地查】。勘检测能《力，考，核等  》   专业》技术评价机构—应当严格《按，照商用密码检—测机构资质认定基】本规范开展技术评】审活动对技》术，评审结论的真实性】、符合？性负责并《承担相应法律责任】。国家：。。密码管理局应当【对技术？评审活？动进行监督建立责】。。任追究机制》 ，。 第十条　申请人有！。下列情形之一的【国，家密码？管，理局应当终》止审：查     （】一，。），隐瞒有？关情况或者提供【虚，假材料的；  】 ， ， （二）采取贿赂】。、，请托等不正当手【。段影响审查工作【公平公正进行的； ！     （三【）无正当理由拒绝】接受审查的； 】    （四—）违反商用》密码检测机构—从业要求的 第十！一条　准予许可的国！家密码管理局—向申请人颁发商用】密码检测机构资【质证书并公布取【得资质证书的商用密！码检测机构》名，录     有下！列情形之一》的国：。。家密码管理局应当出！具不予行《政许可决定书—说，。明理由并告知申请】人相关权利   ！  （一）终—止，审查的；    ！ （：二）审查不合格的；！     （三）！法，律法规规定的—不予许？可的其他情形— 第十二条—　商用？密码检测机》构，资质：证书有效期5年【内容包括获证机构】名称、统《。一，社会信用代》码、注册地址—。、证书编号、—有效期限《、资质认定业务范围！、发证机关和发【。证日：期，     —商用密码检测—机构资质证书—有效期届满需要【延续：的应当在有效期届】满3个月前向—国家密码管理—局提出书面申请国】家密码管理局根【据申请人的实际【情况采取书面或者】现场形式开展审查】在商：用密码检测机构资】质证书有效期届满前！作出是否准》予延续的决定 】    禁止转【让、出租、出—借、伪造、变造【、冒用、租借商【。用密码检测机—构资质？证书 第十三条　！。有下列？情形之一的商用【密码检测机构应当自！变更：之，日起3？0日：。。内向国家密码—管理局申请办理【变更手续   】  （？。一）：机构名称、》注册：地址、？法人性质发生变【更的；    】 （二）法定代【表人、最高管理【者、技术负》责人、质《量负责人、授权签】字人发？生变更的； —   ？  （三）资质认】定业务范围》发生变更的；  ！   （《四）：依法需要办理变更】的其他？事项     】商用密码检测机构】发生变更的》事项影响其符—合资质认定》条件和要求》的国：家密码管理局根据】申请：人的实际情况采取】。书面或？者现场形式开—展审查需要》进，行技术评审的依【照本：办法第九条》。规定：对其开展技术—评审： 第十四》条　商？用密码检测机构有】下列情形之一的【国家密码管理局应】当，依法注销《其商用密码检—测机构？资质  》   （一》）商用密码检—测机构？资质证书有效期【届满未申请延续【或者依法不予延【续，批准的？；   》  （二）申请注】销商：用密码检测机—构资质的；  】   （三）被依法！。撤销、吊销商用密】码检测机构资—质的；    】 （四）依法—终止的；   】 ， （五）因》法人性质变更、【改制、分立或—者合：并，等原因发生变化【或者发生其他影响】其符合资质认定【。条件和要《求的变更事》项经审查《发现不符《合资质认定条件和】要求的；    ！ ，（六）资《质认定业务范围被全！部取消的；》   《  （七）法律【法规规定的应—当注销商用密码【检测机构资质的其他！情形 第十五条　！商用密码检》测机构及相关从业】人员应当按照—。法律、行《政法规和商》用密码检测技术规范！、规则在《批准范？围内独立、公正、科！学、诚信地开展商用！密码检测对出具【的检测数《据、结果负责—尊重知识产权恪守职！业道德？承担社会责》任保守在《工作中知《悉的国家秘密—、，商业秘？密，和，个人隐私 —第十：六条　商用密码检测！机，构应当保《证其基本《条件和技术能力能】够持续符合资质认定！条件和要求并—确保管？理体系有效》运行 第十七条】　，商用密码检测机【构应当遵守以—下从业要求  】   （一）—加强对本机构人员的！。监督管理经常性组】织开展安全保密教育！和业务培《训；本机构从事检测！活动：的专业人员》。每年：接受：商用密？码教：育培训的时长不得】少，于40学时相关【情况应当记》录留存；《 ，     （—二）本机构及关联】。方不得从事商用密码！产，品生产、销售（检测！。工，具，除，外）：信息系统或者商用】密码保障系统集成】、运营电子》。认，证服务？电子政？务，电，子认：证服务或者其他【可能影响商用—密码检？测，公平公正性的—活动；  —   （《三）不得同》时聘用？正，在其他商用》密码：检测机构《从业：的人员或者存在其】他恶意竞争、扰乱市！。场秩序的情形—。； ？    （四）不】得，以单独出《租设备设施或者【委派人？员等方式《承担业务所承担【的，业务不得分包、【转包；    】 （五）《不得以？任何：方式推荐或者限定被！检测单位购买使用】特，定主体生产或者【提供的商用密码【产品或者《服务：；    — （六）独》立于出具的检测【数据、结果、报告所！涉及的利益相关【各方不受任》何可能？干扰：技术：判，断因：素的影响； — ，    （七）使】用符合？国家密码管理—要求：的设备设施》；     （】八）：法律法规和国家有】关规：定提出的其他从业】要求 第》十八条　商用密【码，。检测机构出》具的检？测报告应当符—合相：关国家？标，准、行业标准和【有关规定的要—求保：证内容？真实、客《。观、准确、完整【。商用密码《检测机构对其出具的！检测报告负》责并承担相应—的法律责任 【  ：  商？用密码检测》机构：应当指定授权签字】人，在其业务能力范围内！签字：确认本机《构出具的《检测报告并加盖【机构：公，章或者专用》章授权签《字人应当系统掌握】商用密码管理政策和！专业知识具》备密码或者网络安全！领域高级技术职称或！者同等专《业水平 《 ，。第十：九条　商用密码检】测机构应《。当，对检测？原始：记录：和检测报告归档留存！。保证其具有可追溯性！检测原始记录和【检测报告的保存期限！不，得少于6年  】。   ？从事商用密码产品检！测的商？用，密码检测机》构，应当：按照相关标》准规范？的，要求对检测》样品和？相关数据信》息进行妥善管—理商用？密码检测机构资质】被，注销的应当》。。对检测样品和—相关数据信息进行】。。妥善：处理 第》二十条？　，商用密码检测—机构应当于每年【1月15日前通过所！在地省、自治区、】直辖市密码管理【部门向国家密码管理！局报送上一》年度工作报》告，。以及相关统》计，数据包括持》续符合资质认定条件！和要求、遵守从【业规范、开展检测活！动、实施标准等【情况 第二十一条！　商用密码检测【机构：不得有以下出—具，虚假或者失》实检测数《。据、结果、报告【的行为 《     》（一）未经检测直】接出：具检测数据、结果、！。报告的；  【。   （二）篡改】、编造原始》数据：、记录出具检测【数据、结果》、报告的； — ，    （三）【伪造检测报告—和，原始记录签名或者非！授权签字人签发检】测报告的；》     —（，。四）：漏检关？键项目、干扰检【测，过程或者《改动关键项》目，的检测方法》造成检测数据、【。结果、报《。告失实的； —     （五）】。其他出具虚》假或者？失实检测《。数据：、结果、报告的【。行为 ？ ，。第二十二条　密码管！理部门对《商用密码《检测机构《依法：开展：监督检查可以行【使下列？职权    【。 （一）进入—检测：活动场所实施—现场检查； —   ？  （？二）向商用密码【。检测机构、》委，。。托人等有关单位及】。人员调？查、了解《。有关情况或者—验证相关检测活动】； ？  ：  （三）查阅、复！制有关合同、—。票据、账簿》以，及检测活动中形【。成的检测《数据、结果、报【告等有关材料 【     国—家密码管理局根据工！作需要可以行使下】列职权？  ？   （一）组【织商用密码检测机】构检测能力验证【；     （】。二）对商用密码检测！机构出具的检测【数据、结果、报告等！。有关材料进行抽样】检查   —  密？码，管理部门和有关【部，门，及其工作人》员不得？要求商用密码科【研、生产、销—售、服务、进—出口等单位和—。商用：密码检测、认—证机构向其披露【源代码等密码—相关专有信息并对】其在履行《职责中知《悉，的商业秘密和个人隐！私严格保密不得【。泄露或者非法向【他人：提供 第二十三】。条　商？用密码？检测：机构应当积极—。配合密码管理部【门的监督《检查按？照要求参加检测能力！验证和抽样检—查并如实提供—相关材料和》信，息检测能力》。验证或者抽样检【查结果不合格—的，应当开展为期不少】于6个月的》整改：整改：期间不？得开展相应业务范围！的商用密码》检测活动商》用密码检测机—构整改结束后—应当经国家密—。。码管理局组织验收】合格：方可恢复《。开展相应《业务范围《。的商用密码》检测：活动；经整改仍【不能：满足相应业务范围】的资质认定条件和要！求，的取消其相应业务】范围：的资质认定》直至注销其商用密码！检测机构资质 第！二十四条《　以欺骗、》贿赂等不《正当手？段取得商用密码检】。测机构资质的国家密！码管理？局，应当依法《。撤销商用密码检测】机构资质该机构【在3年内不得再次】申请商用密码—检测机构资质 【   ？  申请商用—密码检测机》构资质时隐》瞒有：关情况或者提—供虚假材料》的国家密码》管理局不予受理【或者不予许可该机构！在1年内《不得再次《申请商用密码检【测机构资质 — 第：。二十五条　商用【密码检测机构—违反中华人民—共和国密码》法、商用《密码管理条例和本】办法规定有下—。列情形之《。一的由密码管理部门！责，令，改正或者停止违法行！为给予警《告没收违法所得；违！法所：得30万《元以上的可》以并处违法所—。得1倍？以上3倍以下罚【款；没有违法所【得或者违法所得不足！30万元的可以并处！10万元以上—30万元以下罚款】；情节严重》的由国家密》码管理局吊销—其商用密《码，检测机构资质  ！。 ，  ：。（一）？超出批准《。范围开展商》。用密：码检测的； 【    《（二）？转让、出租、出借】、伪造、变》造、冒用、》租，借商用？密，码检测机构资—。质证书？的；     （！三）本机构及关联】方从事商用》密码产品《生产：、销售（检测工【具除外）《信息系统或者商用密！码保障系《统集成、《运营电子认证服务电！子，政务电子认证服务】或者其？他可能影响商—用，。。密码检测公》平公正性的》活动：的； 《。    《（四）同时》聘用正在其他商用】密码检？。测机构从《业的人？员或者？存在其他恶》意竞争、扰乱市场秩！序情形的； 【 ，   （《五）以单独》出租设备设施或者】委派：人员：。等，方式承担业务或【者分：包、转包所》承担：业务的；    ！ ，（六）推荐或者限】定被检测单位购买使！用特：。。定主体生《。产或者提《供的商用密码产【品，或者服务的；  ！   ？（七）违《反法律、《行政法规《和，商，用密码检《测技：。术规：范、：规则要求开展—检测：活动或者存在其他】影响检？测独立、《公，正、科学、诚信【的行为的； 【    （八）出】具的检？测数据、结果、报】告，虚，假或者失《。实的：；  《   （九》）未按照要求—如实报送年度工【作报告以及相—关统计数《据的；     ！（十）泄露在工作】中知悉的商业秘【密、个人隐私—的 第二十—六条　商用密—码，检，。测机构违反本办法】规定有下列情形之一！的由密码管理—部门：。责令：改正；逾期未改【正或者改正后仍不符！合要求的处1万元以！上10万元以下【罚款     （！一）：未按照要求》申请办理变》更手：续的；？     （二）！。未按照要求开展安全！保密教育和业务培训！的；   —  （三《）使用不《符合国家密》码管：理要：求的设备设施的； ！     》（四）出具未经授】权签字人《。签字确认的检—测报告授权签字【人超出？。其业：务能力范《围签：。发检测报告或者未在！检测报告上加—盖机构公章》或者专用章的；【     （五）！未按照要求保—存检：测原始？记录和？检测报告《或者未？按照要求妥善管【理检测样品和—相，关，数据信？息的 《第二十七《。条　县级以上地方各！级密码管理部门【应当：依法：公，开监督检查》结果将商用密—码检测？机构受到《的行：政处罚等信》。息纳入国家企业信】用信息公示系统【等平台并定期将年度！商用密码检测机构监！督检查？结，果等信息逐级报【至国家密码》管理局 第二十八！。条　从事商用密码检！测机构监督管—。理工作的《人员滥用职权、【玩忽职守《、徇私舞弊》或者泄露、》。非法向他人》提供在履行职责【中知悉？的商：业秘：密、个人隐私、【举报人信《息的依？法，给予：处分 ？ 第二十九条　【。本办法自202【3年11《月1日起《施行 《