》 商用密码检测机】构管：理办法 《 国家》密码管理《局令 第2号 ！    商用—密码检测《机构管理办法已经】20：23年9《月11日国》家密码管理局局务】会议审议通过—现予：公布：自2023年1【。1月1日起》。施，行，。 局长 刘东方】 2？023年9月—26日 》第，一条　为了加强商】用密码检测机构管】理规范商用密码检】测活动？根据中华人》民共和国密码法、商！用密码管理条—例等有关法律法【规制定本办》法 ： 第二条《　商用密码检—测，机构的？资质认定和监督管理！适用本办法 第三！条　从事商用密码】产品检？测，、网络与信息系【统商用密码应用安】全性：。评估等商用》密，。码检测？活动向社会出具【具有：证明作用的数—据，、结果的机构应【当经国家《密码管理《局认定依法取—。得商用密《。码检测机构资质 ！第四条　国家密码管！理局负责全国商用密！码检测机《构的资质认定和【监督管理县》级以上地方》各级密码管理部门】负责本行政区域内】商用密码检测机构】的，监，。。督管理 》第五条　商用密码】检测机？构应当在资质—认定业务范围内从】事商用？密码：检测活动《国家密码管》理局制定并公布商用！密码检测机》构资质认定基本规范！。和商用密码检—测机：构资质认定业务【范围 第六条【　取得商用密码检测！机构资质《应当符合下列条【件 ？  ：  （一）具有法】人资格？；   》  （二《）具有与从事商用密！码检：测活：动相适应《的资金； 》 ，    （》三，）成：立2年以上》。从事网络安全检测评！估，领，域相关工作1年以】上无重大违》法或者？不良信用记录； ！    （四）具有！与从事商用密码检】测活动相适》应的场所；  】   （五》），。具，有与从事商用—密码检？测活动相适应—的设：。备设施；    ！。 （六？）具有？保证商用密码检测活！动独：立，、公正、《科学、诚《信的管？理体系；   】  （七《）具有与从事—商用密码检测—活动相适应的专【业人员；   】  （？八）具有与从事商】用密码检测活动相】适应的专业能力 】     外商投】资企业法《人申请商用密码【检测机构资质除符】。合上述条件外还【。应当符合《我国外商《投资有关《法律：法规的规《定 第七条　申请！商用密码检》测，机构资质应当向国】家密码管理局提【出书面申请向国【家密码管理局委托进！行受：理的：省、自治区》、直辖市密》码管理部《门提交商用密码【检测机构《资质申请表及以下材！料并对其真》实性负？责 ？  ：  （一《）法人资格证书；】   《 ， （二）资》本结构？和股权情《况； ？  ： ，  （三）无重【大违法或者不良信用！记录、不从事可能影！响，商用密？码检测公《平，公正性活《动的承诺；  】。   （四）—工作场所等固定资产！产权证书或者—租赁合同； —  ：   （五）工作环！境和：设，备设施配置情—况；     】（六）项目》。管，理、：质量管理、人员【管理、档案管—理、安全保》密管理？等管理体系建—立情况；《  ？   ？（七）法定代表【。人、最高管》理者、技术负—责人、质量》负责：人、授？权签字人以及专业人！员情况；  【。   （《八）：申请人认为需—要补充的其》他，材料     】受国家密码管理局】委托进行受》理，的省：、自治区、直辖【市密码？管理部门自收—到申请材料之—日起5个工作日内】对申请材料进行【形式审？查根据下列情—况分别作出处理申请！材料内容齐全、【符合规定形式的应】当受理？行政许可申请并【出具：受，理通知书；》。申请材料内容—不齐全？或者不符合规定形式！的应当当场或者在】5个工作日内—。一次性告知》申请人需要补—正的全部材料；不】予受理的应》当出：具不予受《理通知书并说明【理由 《。第八条？。　国家密码管—理局应？当自行？政许可申请受理之日！起20个工作日内】依据商用密码检测】机构资质认定基本规！范的要求对申—请进行审查并依法作！。出，。是否准予许》可的书？面决定？     —需要对申请人进【行技：术评：审，的技术评《。审所需？时，间不计算在本条规定！的期限内国家密码管！理，局，应当：将所：需时：间书面告知申请人】。 第九条　国【家密码管理局—根据技术评审需要】和，专，业要求可以委托专】业技术评价》。机，构实施技术评—审     技术！评审包？括专业人员能—力考核？场所：、设备设施、管理体！系建设实地查勘检】。测能：力考核等   】  ：专业技术评》价机构应当》严格按照商用密码检！测机：构资质认定基本规范！开展技术评审活动】对技术评审结—论的真实性、符【合性负责《并承担相应法律【责任国家密码管理】局应当？。对技术评审活动进】行监督建立责任【追究机制《 第十《条　申请人》有下列？情形之一的国家【。密码：管理局应《当终止审《查     【（一）？隐瞒有关情况—或者提供虚假材料的！；，  ？  ： （二）采取贿赂、！请托等不正当手段影！响审查工作公平【公，正，进行的；   】  （三）无正当理！由拒：绝接受审查的； ！    （四）违】反商用？密码检测机构从【业要求的 第十一！条，。　准予许可的—国家密码《管理局向申》请人颁发《商用密？码检测机《构资质证书并公布取！得，资，质证：书，的商用密码》检测机构名》录   》  ：有下列情形之一【的国家密码》。管理局应《当出具不予行政许】可决定书《说明：理由并告知申—请人相关权》利   》  （一）》终止：审查的？；     （】二）审查不合格【的；  》   （《三）：法律法规规定的【不予许可的其他【情，形 第《十二条　商用密【码检测机构资质证书！有效期5年内容【。包括获证机构名称】、统一社会信—用代码、注册地址、！。证书编？号、有？效期限、资质—认定业务范围、【发，证机关和发证日【期    — 商用密《码检：测机构资质证—书有效？期届满需要延续的】应当在有效期届满3！个月前向国家密码】管理局提出书面申】请国：家密码管理》局根：据申请人《的实际情况采—取书面或者现—场形：式开展审查在商【用密码检测机构资】。质证：书有效期届满前作】出，是否准予延续的【决定    【 禁止转让》、出租、出借—、伪造、变造—、冒用、租》借商：用，密码检测机》构资质证书 — 第十三条　有【。下列情形之一的商用！密码检测机构应当自！变更之日起30日内！向，国家密？码管：理局申请办》理变更手续  】 ，  （一《）机构名称》、注册地址》、，法人：性质发？。生变更的； —     （二）】法定代表人、—最高管理者、技术】负责人、质量负责】人、授权签》字人发生变更的【；  《。   （三）资【质，认定业？务范围发生变—更的；  —   （四）—依法需要办理变更的！其他事项 》   ？  商用密码检【测机构发生变更【的事：项影响其符合—资质认定《条件和要求的国【家密码管理局根【。。据申：请人：。的实际情《况采取书《面或：者现：场形式开展》审查需要进行技【术评审的依照本办法！第九条规定对其开】展，技术评审《 ：第十四条《　，商用密码检》测，机，构有：下列情形《之一的国家密码管】理局应当依法—注销其商用密码检测！机构资质  【   （一》）商用密码检—测机构资质证书【有效期届满未申请延！续或者？依法不予延续批准】的，；     （】二）申请注》销商用密《码检：测机构资质的； ！   ？ （三）被依法【撤，销、吊？销，商用密码检测机构】资质的；    ！ （四）依法—终止：的； ？    《 （五）因法人【性质变更、》改制、分立或者合并！等原因发生变—化或者发生》其他影响其符合【资质认定条》件和要求《的变更事项经—。审查发现不符—合资质认定条件和要！求的； 》    《（六）资质》认定业务《范，围被全部取消的【； ？    （七）法律！法规规定的应当【注销：商，用密：码检测机《构资质的其他情形 ！ 第十五条　商用】密码：检测机构及相关从业！人员应当按照—法律、？行政法规和》商，用，。密码检测《技术规范《、规：则在批准范》。围内独立、公正、科！。学、诚信地》开展商用密码检测】对出具的检测—数据、结果负责【尊重知识产权—恪守职业道德承担社！会责任保守》在工作中《知悉的国家秘密、】商业秘密和个人隐】私 第十六条　】商用密？码检测机构应—当保证其基》本条件？和技术能力能—够持：续符合资质认—定条件和要求并确保！管理体？系有效运《行 第十七条　商！用密码检测机构【。应当遵守以下从【业要求？   《 ，。 （一）加强对本】机构：人员的？。监督管理经常性【组织开展安全—保密：教育和业务》培训；本机构—从事检？测活动的专业人员】每年接受商用密【码教育培训》的时长不得少于4】0学时相关》情况应当记录留【存；     】（二）本机》构及关联《。方不得从事商用【。密码产品生产、销】售，（检测工具》除外）信息系—统或者商用密—码，保障系统集成—。、运：营电子认证》服务电？子政务？电子认证服务或者其！他可能影响》商用密码检》测公平？公正性的活动； ！    （三）不】得，。同时聘用正》在其：。他商用密码》检测机构从业的人员！。或者：存在：其他恶意竞争、扰乱！市场秩序的情形；】     （四）！不，得以：单独出租设备设施】或者委？派人：员等方式《承，。。担业务所承担的业务！不得分包、》。转包；？  ？ ，  （五）不得以任！何方式推荐或者限定！被检：测单位购《买使用特定主—体生产或者提—供的商用密码产品或！者服务；  【   （《六）独立于出—。具的检测数据、结果！、报告所涉及—的利益相关》各方不受任何可能干！扰技术？判，断因素的《影响； 》  ： ，。 （：七）使？用符合国家密码管理！要求的设备设施【；     （】。八，）法律法规和国家有！关，规定提出的其—他从：业要求 第十【八，条　：。商用密码《检测：机构出？具的：检测报告应》当符合相《关国家标准、行【业，标准和有《关规定的《要求保证《。内容真实、》客观、准《确、完整商用—密码检测机构对【其，。出具的检测报告负】责并承担相应的【法律责任    ！ 商用密《码检测机构应当指】定授权签字人在【其业务能力范围内】签字确认本机—构出具的《检测报告《并加盖？机构公章或者专【用章授权签字人应当！系统掌？握商用密码管理【政策：和专业知识具—备，密码：或者网络安全领域高！级技术职称》或者同等专》业水平 《 ，第十九条《　商用？密码检？测机构应当对检测原！始记录和检》测报告归档》留存保证其》具有可追溯性检测】。原始记录和检—测报：告的保存期》限，不得少于6年  ！   从《事商用密码》产品检测《的商用密码检测机】构应当按照相关标准！规范的？要求对检测样品【和相关数据信—息进行妥《。善管理？商用密？码检测机构资质【被注销的《应当对检测》样品：和相关数《据信：息进：行妥善处理 【第二十条　商用密码！检测机构《应当于？每年1月15日前】通，过所在地省、自治区！、直辖市密码管理部！门向国家密》码管理局报送上【一年：。度，工，作报告以及相—关统计数据包括【持续符合资质认【定条件和要》求、遵守从业—规范、开展检—测，活动、？实施标准等情况 】 第二十一条　商】用密码？检测机构不得—有，以下出具虚假或【。者失实？检测数据、结果、】报告：。的行：为 ？    （一）未经！检测直接出具检测数！据，、结果、报》告的；   【。  （二《）篡：改、编造原始数据】、记：录出具检测数据、结！果、：报告：的，；    — （三）伪造检【测报告和原始—记录签名或者非【授权签字人签—发，检测报？告，的；   —。  ：（四）漏检关键项目！、，干扰检测过程或者】改，动关键项目的检测方！。。法造成检测数据、】结果、报告失实【的；   —  （五）其他出】具虚假或者》失实检测数据、结果！、报告的行为 第！二十二条　》密码管理部门—对，商用密码检测机构依！法开展监督检—查可以？行使下列《职权     （！一）进入检》测活动？场所实施现场—检，查； 《   ？ ，。（二）向商用密码】检测：。机构、？委托人等有关单位】及人员调查、了解】有关情况或》者，验证相关检测活动；！ ，     （三）查！阅、复？制有关合《同、票据《、账簿以及检测活】动中：形成的检测数—据、结果、报告等】有，关材料 《  ： ，  国家密码管理局！根据工作需要可【以行使下列职权 】     （一）组！织商用密码》检测机构检》测能力验证》；     【（二）对商》用密码检测机构【出具的检测数据【、结果、报告等【有关材料进行抽样】检查  》   密码》管理部门和有—。关部门及其工—作，。。人员不得《要求商？。用密码科《研，、生产、销》售、服务《、进出口《等单位和商用—密，码检测、认证—机构向其披露源【代码等密码相—关专有？信息：并对其在履》行职责中知悉的商】业秘：。密和个人隐私—严格：保密不得泄》露，或者非法向》他人提供 第【二十三条　商—用密：码检测机构应—。当积极配合密码【管理部门《的监督？检查：按，照要求参加》检测能？力验证和抽样检【查并如实《提供相关《材料和信息检测能力！。验证：或者抽样检查结果不！合格的应当开—展，为期不少于6个月的！整，改整：改期：。间不：得开展？相，应业务？范围的商用密码检】测活动商用密码检】测机：构整改结《束后应当经国—家密码管《理局：组织验收合格方【可恢复开《展相应业务范围的】商用密码检测—活动；？经整改仍不》能满足相《应业务范围的资【质认定条件和要求】的取消其相应业【务范围？的资质认定直至【。注销其商用》密码检测机构资质 ！ 第二十四条—　以欺骗、》贿赂等不《正当手段取得商用】密码检测机》构资质的国家密码管！理局应当《依法撤销商用密码检！测机构资质》。该，机构在3年内不得】再次申？请商用密码检—测，机构：资质     】。申请商用密码—检测机？构资质时隐瞒有关】情，况或者提供虚假材料！的国家密码管理局】不予受？理或者不予许—可该机构《在1年？内不得？再次申请商用密码】检测机构资质— ， 第二十五条　商】用密码检测机构违】反中：华人民共和国密【。码法、商用密码管】理条例和本办法规】定有下？列情：形之一的《由密：码管理部门》责，令改正或者停止【违，法，行为给予警告没【收违法所《得；违法所》得30万元以—上的可？以，并，处违法所得》1倍以上3》倍以下罚款；—没有违法《所得或者违法所得不！足30万元》的，可以并处10—万元以上30万【元以下罚《。。款；情节严》重的由国《家密码管《理局：吊销其商用密码检测！机构：资质 ？ ，   ？ （一）超出批准】范围开？展商用密码检—测的；  —   （《二）转？让、出租、》出借、伪造、变造】、冒：用、租借商用密码检！测机构资质证书【的；   —  （三）本机【构及关联方从事【商，用密码？产品生？产、销售（检测工具！除外）信息系统【或，者商用密码保障系】统集成、运》营，。电子认证服务—电子政务电子—认证服务或者其【他可能？影响：商用密码检》测公平公《正性的活动的； ！。    （四）同】时聘用正在其—他商：用密码检测机构从业！的人员或者存在其】他恶意竞《争，、扰乱市场》秩序情形的； 】    《（五）以单》独出：租设备？设施或者委派人员】等方式承担业—务或：者分包、转包所承担！业务的； —   ？ （六）推》荐或者限定被检测单！位购买使《用特定？主体：生产或者提》供的商用密码产品或！者服务的；  】   （七》）违：反法律、行政—法规和商用密—码检测技《术规范、规则要求】开展检测活》动或者存在其他影】。响检测独立、公正、！科学、？诚信的行为》的； 《    （八—）出具的检》测数据、结果、报告！。虚假或者失》实的；    】 （九？）未按照要求如【。。实报送？年度工作报告以及相！关，统计数？。据的；？  ？。   ？（十）泄露在工作】中知悉的商》业秘密、个》人隐：私的： 第二十六条【。　商用密《码检测机构违反【本办法规定有下列情！形之一的由密—码管理？部门责令改》正，；逾期未改正或者】改正后仍不符合要求！的处1？万元以上《10：万元以下罚款—     （【一）未按照要—。求申请办理》变，更手：续的；   【  （？二）未按《照要求开展》安全保密教》育和业务培训—的；     】。（三）使用不—符合国家密码管理要！。求的设？备设施的； 【  ：  （四）》出具未经《授权签字人》签字确认的检测报】告授权？签字人超出其业【务能力范围签发【检测报告或者未在】检测：报告上？加盖机构公章—或者专用章的； 】 ，   ？ （五）未按—照，要求保存《。检，测原始记录和检测报！。告或者未按照—要求妥善管理检测样！品和：相关数据《。信息的 《 第二十《七条　县《级以上地方各级密码！管理部门应当依法公！。开监督检查结果【。将，商用密？码，检测：机，构受到的《行政处罚《等信息纳入国家企】。业，信用信息公示系统】等平台并定期—将年度商用》密码检测机》构监督？检查结果等》信息逐级《报至国家密码管理局！ ， 第二十八条　从】事，商用密码检测机构】监督管理《工作：的人员滥《用职权？、玩：忽职守？、徇私舞《弊或者？泄露、非《法向他人提》供，在，履行：职责：中知悉的商业秘密、！个人：隐私、举报人信息】的依法给予处—分 第《二，十九条　本》办法自2023【年11月《1日起施行 【