安全验证
more
—商用密码检测机【构,管理:。。办法 国家】密,码,管理局?令 第《2号     商!用,密码检测机构管理办!。法已:经2023年9【。月1:1日国家密码管【理局:局务:会议审议《通,过现予公布自20】23年11》月,1日起施《。行 局《。长, 刘东方 —2023年9—月26日 第【一条 为了加强商】用密码检测机—构管理规范商用【密码检测活》动根据中华》人民共和国密码【法,、,商用:密码管理《条,例等有关法》律法规制定》本办法 》第二条 《商用密?码检测机构的资质认!定和监督管》理适用本办法 】第,三条 从《事商用?密码产品检测、网络!与信息?系统商用《密码应用安全性评估!等商用密《。码检测活动向—社会:出具:具有证?明作用的《数,据、:结果的机构》应当经国家密码管理!局认定依法》取得商用密码检【。测,机,构,资质 第四条【 国家密码管理【。局负责全国》商用密码检测机构】的资质认定和—监,督,管理县级以》上地方各级密码【管理部门负》责本行?政区域内《商用密码检测机【构的监督《。管理 第》五条 ?商,用密码检《测机构应当在资质认!定,业务范围内从事商】。用密码?检测活?动国家密码管理局】制定并?公布商用《密码检测机构资质】认定基本规范和商】。用密:码,检测:机构资质认》定业务?范围 ? 第六条 》取得商用《密码检测机》构,资质应当符合下【列条件 》    (一)具有!法人资格;  】   (二)具【有与从事商用密码】检测活动相》适应的资《金,;     【。(三)成立2年【以上:从事网络安》全检测评估领域相】。关工:作1年以上》无重大违法或者【不良信用记录; 】     (四【)具有与从事商【用密码检测活动相适!应的场所;》 ,  :   (《五)具有与从事商】用密码检测活—动,相适应的设备设【施;   —  (六)具有保】证商用密码检测【活动独立《、公正?、,科学、诚信》的管理体系;—     (七)!具有与从事商用密】码检测活动相适应的!专业人员; — ,    (八)具有!与从事商用》密码检测活动相适应!的专业能力 —     外—商投资?企,。业法人申请商—用密码检测机构【资质除符《合上述条件外还应当!符合我国外》商投资?有关法律法规—的规定 》第七条 《申请商用密码检【测机构资质应当向】。国家密码管理局提出!书面申?请向国家密码管理】局委托进行》。受理的省、》自治区、直辖市密码!管理部门提交商【用密码检测机构资质!申请表及以下材【。料并对其真实性【。负责     】(一)法人》资格证书;》  ?   (二)资【本,结构和?。股权情况; 【    (三)无重!大,违法或?者不良信《用记录、不从事【可能影响商用密【码检测公平公正性】。活动的承诺》;,。     —(四:)工作场所等—固定资产产权—证书或者《租赁合同; — ,    《(五)工《作,环境和设备设施配置!情况;   【  (六)项—目管理、质量管理、!人员管理、档案【管理、安全保密管】理,等,管理体系建立—情况; 》    (》。七,)法定?代表人、最高—管,理者、技术》负责人、质量负责】人,、授权签字人以及】专业人员情况; 】 ,    (八)申请!人认为需要补充【的其他材《料   》  受国家密码管理!局委托进行受理的省!、自治区、直辖市密!码,。管理部门自收到申】请材料之日起—5个工作日内—。对申请材《料进行形式审—查根据下列》情况分别作出处理申!请材料内容齐全、符!合规定形式的应【当受理行政许可申请!并出具受理通知书;!申请材料内》容不齐全或》者不符合规》。定形:。式的:。应当:当场:或者在5个》工作:日内一次性告知【申请人需要补正的】全部材料;不予受理!的应当出《具,不予受理通知书并】说明:理由: 第八《条 国家密》码管理局应当—自行政许《可申请受《理之日?起,20个工作》日内依据商用密码检!测机构资质认定基本!规范:的,要求对申请进行审】查并:依法作?出,是否准予许可的书】面决定 《     需—要对申请人进行技】术评审的技术评【。审所需时间不计【算在本条规定—。的期限?内国:家密码管理局—应当将所需时间【书,面告知申请人 【。 第九条 》国家密码管理局【根据技术《。评审需要和专业要求!可,以委托专业技—术评价机构实施技术!评审     】技术评审包括专【。业人员?能力考核场所、设备!设施、?管理体系《建设实地查》勘检测能《力考核等  【   专业》技术评价机构应【当严:格按照?商用密码《检测机构《资质认定基本规【。范开展?技,。术评审活动》对技术评审结论【的真实性、符合性】负,责并:承担相应法律—责,任国家密码管理【局应当?对技:术评审活动进—行监督建立责任追】究机制 第十【。。条 申请人有下列情!形之一的《国家密码管理—局应当终止审查【     (一)!隐瞒有关情况或【者,提供虚假材料的; !     》。(二)采取贿赂、】请,托等:。不正:当手段影响审查工】作公平公正进行的】;   》  (三)无正当】理由:拒绝接受审查的; !  : ,  (四)违反【商用密码检测机【构从:业要求的 第【。十一条 准》予许可的国家密码】管理局向申请人颁】发商用密《码检测?机构资质《证书并公《布取:得资质?证书的商用密—码,检测机?构名录?     有下】列情:形,之一的国《家密码管《理局应当出具不予行!政许可决定书说【。明理由?并告知申请人相关】权利 ?     (一)终!止审查的; 【 ,   (二)审【查不合?格的;     !(三)法律法规规定!的不予许可的—其他情形 第十二!。条 商?用密码检测机—构,资质证?书有效期5年内容】包括获证机构名【称、统一社会—。信用代码、》注册:地址、?证书编号《、有效期限、资质认!。定业务范围、发证机!关和发证日期  !  : 商用?密码检?。。测机:。构资质证书》有效期届《满需要延续》的应当?在有效期届满—3个月前向国家密码!管理局提《出书面申请国—家密码管《理局根据《申请:人的实际情》况采取书面》或者现场形式开展审!。查在商用密》码,。。检测机构资质证【书有效期届满—前作出是否准予延续!的决定 《     禁止【。转让、出租、出【借、伪?造、变造、冒—用、租借商用—密码检?测机构资质证书 】。 ,第十三条 有—下列情形之一—的商用密码检测机构!应当:自变更?之日起30日内向国!家,密,码管理局申》请办理变更手续 】。     (—一)机构名》称、注?。册地:址、法人性质发【生,变更的;    ! (二)法定代表人!、最高管《理者、技《术负责人、》。质量负责人、授【权签:字人发生变更的;】    》 (三)资质认【定业务范围发生变更!的,;   》  :(四)?依法需要办理变更的!其他:事,项 ?    商用密【码,检测机构发生变更的!事项影响其符—。。合资质?认,定条件和要》求的国家《密码管?理局根据《申请人的实际情况采!取,书面或者现场形式】开,展审查需要进—行技:术,评审的依照本办法】第九条规《定,。对其开展技》术评审? 第十四》条 商用密码检【测机构有下》列情形之《一,的国家密《码管理局应当依【法,注销其商《用密码检《测机构资质  】。   (一)商【用密码?检测机构《资质证书有效—期届满未申请—延续或者依法—不予延续《批准:的; ?。。     (—。二)申请注销商【用密码检测机—构,资质:的;     】(三)被依法—。撤销、?吊销:商用密码《检测机?构资质的;  】   (四)—依法终止《的;     (!五)因法人》性质:变更、改制》、分立或者合并【。。等原因发生变化或】者发生其他影响其】符合资质认定条【件,和要求的变更事项】经审查发《现不符合资》质认定?。条件和要求》的;   —  (六)资质认】定业务?范围被全《部取消的; 【    (七—)法律法规规定的】应当注销商》用密码检测机构【资质的其他情形【 第十五条— 商用密码》检测机构及相关从业!。人员应当按照法律】、行政法规和商用密!码检:测技术规范》、规则在批准—。范围内独立》、公正?、科学、诚》信地开展商用密码检!测对出具的检测数】据、结果负责尊重】知识产?。。权恪:守职业道《。德承:担社会责任保守在工!作中知悉的国家【秘密、商业秘密和个!人隐私?。 :第十六条 商用密码!检测机构《应当保证其基本条件!和技术能力能够持续!符合:资质认定《条件和?要求并确保管理体系!有效运行 —第十七?条 商用密码检测】机,。构应当遵守以下【从业要求    !。 (一?)加强?对本机?构人员的监》督管理经常性组织开!展安:全保密教育和业务】培训;本机》构从事检测》活动:的专业人员每—年接:受商用密码教育培训!的时长?不得少于40学时相!关情况应当记—录,留存;?     (【二)本机构及—关联方不得》从事商用《密码:产品生产、》销售(检《测工具除外)信息】系统或者商用—密码保障系统集【成,。、运营电《子认证?服务电?子政务电子认证服务!或者其?他可能影响商—用密码检测公平公正!性的活动《; :     (—三)不得同》时聘用?正在其他《。商用密码检测机构】从,业的人员或者存在其!他恶意?竞争、?扰乱:。市场秩序的情形【;     (四!)不:得以单独《出租设备设施或者委!。派人员等方式承担】业,。务所承担的》业,务不得分《包、转包《;     (】五):不得以任何方式推荐!。或者限定被检测单位!购买使?用特定主体生—产或者提供的—。。。商用:密码产品或者服务;! :    (六—)独立?于出具的检测数据、!结果、?报告所?涉及的利益相关各方!。不受任何可能—干扰技?。术判断因《素的影响《;   》 , (七?)使:。用符合国《家密码管理要求的设!备设施;    ! ,(八)法律》法,规和国家有关规定】提出的?。其他从业要求— 第?十八条 商用密【码检测机构出具的检!测,报告:应当符合相关国家标!准、行业标准和【有,关规定的要求保证】。内容:真实、客观、准【确、完整商》用密码检《测,机构对其出具的检测!报告负责并承担相应!的法律责任》    》 商用密码检测【机构应当《指定授?权签字人在其业【。务能力范围内—签字:。。。确,。认本机构出具的检测!报告:并加:盖机构公章或—者专用章授权签字人!应当系统《掌握商用密码管理】政策:和专业知识》具备密码或者网络】安全领域高级技术职!称或者同《等,专业水平 第【十九条 商用密【码检测机《构应当对《检测原始记录和检测!报告归档留存—保证:其具有?可追溯性检测原始】记录和?检,测报告的保存期限不!得少于6年   !  从事商用密码】产品检测的》商用密码检测机构应!当按照相关标准规】范的要求对检—。测样品和相关数【。据信:息进行妥《善管:理商用密码检测【机构:资质被注《销,的应:当对检测样品和相关!数据信息进行妥善处!理 第二》十条 商用密码检】测机构应当》于每:年1月15日前通过!所在地省、自治【区、直辖市密—。码管理部《门向国家密码管理】局报送上一年度【工,作报告以及相关统计!数,据包括持续符—合资质认定条件和要!求、遵守从》业规:范、:开展检测活动—、,实施标准等情况 】 第二十一条 【商,用密码检《测机:构不:得有以下出具—虚假或者失实检【测,数,。据、结果、报告的】行为 《    (一—),未经检?测直接出具检—测数据、结果—、报:告的:;   》  (二)篡—改、编造原始数据】、记:录,出具检测《。。数据:、结果、报告的; !     (三)】伪造检测报告和原始!记录签?名或者非授权签【字人签发检测—。报告的;《     (【四)漏检关键—项目、干扰》检测过程或者改动关!键项目?的检:测方法造成检测【数据、结果、报【告失:实的; 》    (》五)其他出》具虚假或者》失实检测数据、结果!、报告的行为—。 第二《十二条 密》码管:理部门对商用密码检!测机构依法开展监】督检查?可以行使下列职【权 :     》(一)进《入检:测活:。动场所实施》现场检查; —     (二)向!。商用密码检测机构、!委托人等有关单位】及人员调查、了解有!关情况或者验证【相关:检测:活动;? ,     》(三)查阅、复制有!关合同、票据、账簿!以及检测《活动中形成》的检测数据、结【果、报告等有关材料! :    国家密码管!理局根据工作需要】可,以行使?下,列职权  —   (《一)组织商用密码检!测机构?检测能力《验证;    】。 (二)《对商用密码检测【机构出具的检测【数据、结果、报告等!有关材料进》行抽样检查》     —。密码管理部门—和有关?部门:及其工?作人员不得要求商】用密码科研、生【产、:销售、?服务、进出口等单】位和商用密码检【。测、认证机构向【其披:。。露源代码等密码【相关专有信》息并对其在履—行职责中知悉的商】业秘密?和个人隐《。私严格保《密不得泄露或者非】法向他?人提供? 第二十三条【 商用密码检测机】构应:当积极配合密码管理!部门的监督检查按照!。。要求参加检测能力验!证和抽样检查—并如实提供》相关材料和》信息检测能力验【证或者抽《样检查结《果不合?。格,的应当开展为—期不少?于,6个月的整改整【改期间?不得开展相应—。业务范?围的商用密码检测活!动商用密码检—测机:构整改结束后—应当经国家》密码管理局组织验收!合格方可《。恢复开展相》。应业务范《围,的商用密码检测活】动;经整改仍不【能满足相应业务范围!的资质认定条—件和要?求的取消《其相应业务》范,围的资质认定直【至,注销其商《。用密码检《测机构资质 第二!十四条 以欺骗【、贿赂等《不正:当手段取得》商用密?码检:测,机构资质的国—家密码管理局应当依!法撤销?商用密码检测机构】资质:。该机构在3年—内,不得再次申请商【用密码检测机构资】质  《   申请商用密】码检测机构资质时】隐瞒:有关情况或者提供】虚假材料《的国家密《码管理局《不予受理或者不予许!可,该机构在1年内不】得再次申请商—用密码检测机构资】质, :第二:十五条 商用—密,。码检测机构违反【。中华人民共和—国密:。码法:、商用密码管理【条例和本办》法规定有下列情形】。之一的?由密码管理部门责】令改正或者停止违法!行为给予警告没收违!法所:。得,;违法所得》30万元以上—的可以并处违法所得!。1倍以上3倍以【。下罚款?;,没有:违法所得或者违法所!得,不,足30万元》。的可以?并处10《万,元以上30万元以下!罚款;情节严重【的由国家密码管【理局吊销其》商用密码检测机构】。。资质     】(一)超出批—准范围?开展商用密》码检:测的;     !(二)转让、—出租、出借》、,。伪造、变造、—。冒用:。。、租借商用密码检测!机构:资,质证书的; 【  :  (三)》本机构?及关联?方从事商用密码产品!。生产、销《售(检测工具除外】。)信息系《统或:者商用密码》保障系统集成、【运营电子认》证服务电子政务电】子,。认证服务或者其【他可能影响商用【密码检测公平公正】性的活?动的:;    —。 (四)《同时聘用《正在其?他商:。用密码检测机构从业!的人员或者存在【其他恶意《竞争、扰《乱,市场秩序情形的【;  《   (《五)以?单独出?租设备设施》或者委派人员等【。方式承担业务—。或者分包、转包所承!担业务的;》     (六)!推荐或者《限定被?检测单位购买使用】特定主体生产或者提!供的:商用密码《产品:或者服?务的;     !(七)违反法律、行!政法规?和商用密码检测技】术规范、规》则要求开展检测【活,动或者存在其他【影,响检测独立、—公正、科学、诚信】的,行为的; 》     (八【)出具的《检测数据、结果【、报告虚假或者【失实的?; :。   ?  (九)未—按照要求如》实,报送年度工作报告以!及相关统《计数据的;  】   (十)泄露在!工作:中知悉的商业秘密、!个人隐私的》 第二十六条 商!用,密码检测机构违反】本办法规定有下【列情形之《。一的由密《码管理部门责令改】正;逾期未改正或】者改正后仍不—符合:要求的处1》万元以上《。10万?元以下?罚款   —  (一)未按照】。要求:申请办理变更手续的!; : ,    (二)未按!照要求?开展安全《保密:教育和业务培训的;!。     (三】),使用不符合》国,家,密码管理要求的设】备设施的;   !  (四)出具【未经授权签字人签字!确认的检测报告授权!签字人超出其业【务能:力范围签发》检测报?告或者未《在,。检,。测报告上加》。盖,。机构:公章或者专用—章的; 》    (五)【未按照要求保存检测!原始记录和检测报】告或者未《。按照要求妥善管【理检测样品》和相关数据信息【的 第二十七条 !县级以上《地方各级密码管【理部门?应当:依法:公开监?督检查结果将—商用密码检测—机构受到的行政处罚!等信息?纳入国家企业信用信!息公示?系统等平台并定期】将年度商用密码【检测机构监督检查】结果等?信息:逐级:报至国?。家密码管理局 【 ,第二十?八条 从《事商用密码》检,测机构监督管理工作!的人员滥用职权、玩!忽职守、徇》私舞弊或者泄露、】非法向他人提供在履!行职责中知悉的【商业秘密、个人隐】私、举报《人信息的依法给予处!分 第《二十九条 本—办法自2023年】11月1日起施【行, :