安全验证
more
《 商用密码检【测机构管理》办法 国【家密码管《。理局令 第2号】    》 商用密码检测机】构管理?办法已经2023年!9月11《日国家密码管理局】局务会议审议通过】现予公布自2—023年11月1日!起施行? 局?长 刘东方 — ,2023年9—月26日 第【一条 为了加强【商用密码检测机【构管:理规范商用密—码检测活动根据中华!人民共和国》密码法、商用密【码,管理条例等有关【法律法规制》定本:。办法 第二条 商!用密码检测机构的】资质认定和监督管理!适,用本办法 第【三条: ,。从事商用《。密,码产品检测、网络与!信息系统商用—密,码应用安全性—评估等?商用密码《检测活动向社—会出具具有证明作】。用的数据、结果的机!构应当经国家—密码管理局认定依法!取得商用密码检测】机构资质《 第四条 国家】。密码:管理局负责全国商】用密码检测机—构的资质认定—和监督?管理:县级以上地方各级】密码管理部门负责】本行政区域内商用】密码检测机构的监督!管理: 第五条》 商用密《。码检测机构应—当在:资质认定业务—范围内从事》商用密?码检测活动国家密码!管理局制定并公布】商用密码检测机构资!质认定?基本规范和商用【。密码检测机构资【质认:。定业务?范围 第六条 】。取得商用密码—检测机构资质应当符!合,下列条件    ! ,(一)具有法人资】格; 《    (二)【具有与从事商用【密码检测活动相适】应的:资金;   【  (三《)成:。立2年以《。上从事?网络安?全检测?评估领?域,相关工作1年以上无!重大:违法:或者不良《信用记录;   !  (四)》具有与从事商—。用密码检测活动【相适应的场》所;     (!五)具有与从事商】用密码检测》活动相适应的—设备:设,施; 《    《(六:)具有保证商用【密码检测活》。动独立、公》正、:科学、诚信的管理体!系;  》。  : ,(七)具有与从【事商用密码检测活动!相适应的专》业人员;  【   (八》)具有与从事商用密!码检测活动相适应的!专业能力 —    外商—投资企业法人申请商!用密码检测机构资质!。除符合上述条件【。外还应当符合我【国外商投资有关【法律法规的》规定 第七—条 申请《商,用密码检测机构资质!应当向国家密码管】理局提出书面申请向!。国家密码管》理局委托进行—受理的省、自治区】、直辖市密码管【。理部门提交》商用密?码检测机构》资质申?请表及以下材料并】。对其真实性》负责 《。。    (一)【法人资?格证书;《     (【二)资本结》构和股?权情况; —    (三)【。无重大违法或者【不良信用《记录、?不从事可能影响商】用密码检测》公,平公:正性活动的承诺;】。    》 ,(四)工作场所等固!定,资,产产权证书》或,者租赁合同》;  《   (五)工【作环境和设备设施配!置情况;    ! ,(六)?项目管理《、质量管理、—人员管理、档—案管理、安全保密】管理等管《。理体系?建立情况; 【    (七)法定!代表人、最高管理】者、技术负责人、】质量负责人、授权签!字人以及专业—人,员情况; 》     (八)申!请人:认为需要补》充的:其他材料 》     受国家密!码管理局委托进行受!理,的省、自治》区,、直辖市密码管理】部门自收到申—。请材料之日起5个工!作日内对申请材料进!行形式审查根据【。下列情况分》。别作出处理申请材料!内容:齐全、符合规定形】式的:应当受理行政许可】申请并出具受理通】知书;申请材—料内容不齐全或【者不:。符合:规,定形式的应当当场或!者在5个工作日内一!。次性告知《申请人需《要补正的《全部材料;不予【受理的应当出—具不予受《理通知书并》说明理由 》 ,第八条 国家密【码管理局应》当自行政《许可申?请受理之日起20】个工作日内依据商用!密,码检测机构资质【认定基本《规范的要求》对申:请进:。。行审查并依法作【出是否准《予许可的书面决定】 ,     需—要,对申:请人进行技术评审的!技术评审所需时间不!计算在本条规—。定的期限《内国家密《码管理?局应:当将所需时间书面】告知申请人 — 第九?条 国家密码管【理局根据技术评【审需要和《专业:要求可?以委托?专业技术评价机构实!施技:术评审    】 技术评审》包括专业人员能【力考核?场所、设备设施【、管理体系建设【实地查勘《检测能?力考核等  【   ?专业技术评价机构】应当:严格按照商用密码检!测机构资《质认定基本规范开】展技术评审活动【对技术评审结—论的真实性、符【合性负?责并承?担相应法《律责任国家密码【管理局应当》对技术评审》活动进行监督建立责!任追究机制 第】十条 申请》人有:下列情形之一—的国家密《。码管理局《应当:终止审?查 :     (一【)隐:瞒有关情况》或者提供虚假材料】的;:     (二)!采,取贿赂、请托—等不正当手段影响审!查工作公平公正进行!的; ?    《 (三?)无正当理由拒绝接!受审查的; —     》(四)违反商—。用密码检测》机构从业要求的【 ,。 ,第十一?条 准予许可的国】家密:码管:理局向申请人颁【发商:用密:码检测机《。构资质证书》并,。公布取得资》质,证书的商用密码检】。测机构名《录 ? ,   有下》列情形之一》的国家密码管—理局应当《出具:不予:行政许可决定书说明!理由并告知申请人相!关权利 《    《 (一)终止—审查的; —。    (二)【。审,。。查不合格的; 【    《 (三)《法律法规规定—的不予许可》的其他?情形 第十二条 !商,用密码检测机构资质!证,书有效期《5年内容包括获【。证,机构名称《。、统一社《会信用代码、—注册地址、证书【编号、有《效期限、资质认定业!务范围、发证机关和!发证日期  【  : 商用密码检测机】。构资质?证书有效期届满需要!延,续的:应当在有《效期届满3个月前向!国家密码管理局提】出书面申请国家密码!管理局根据申请【人的实际情况采取书!面或者现场形—式开展审查在商用】密码检测机构资质证!书有:效期届满前》。作出是?否准予延续的决定】    》 禁止转让、—出租、出《借、伪造、》变,。造、冒?用、租借《商用密?码检测机构资—。质证书 第十【三条 有下列—情形:之一的商用密码【检测机构应》当自变更之日起30!。。日内向国家密—码管理局申请办【理变更手《续     (一!。)机构?名称、注《册地址?、法人性质》发生变更的;—    》 (二)法定代表】人、最高管理者、技!术负责人、》质量负责人、授权签!字人发生变更的【; :     (—三)资质认定业【务范围发生变更【。的;     (!四)依法需要办理变!更的其他事》项 :     商用密】码检测机构发生变更!的事:项影响其《符,合资质认《定条件?和要求的国》。家密码管理局根【据,。申请人的实际情【况采取?书,面或者现场形—式开展审查需要【进行技术评审的【依照本办法第九条】规定对其开展技术】评审 第十四【条, ,商用密码检测机【构有下列《情形之一的》国家密码管理局应当!依,法注:销其商用密码检测机!构资质  —   (一)商【用密码检测机构资质!证书有效期届—满,未申请延《续或:者依法不予延续批】准的; 《 , ,   ?(二)申请注销商】用密码检测机构资】质的;    】 (三)被依法【撤销、吊《销商:用密码检测机—。构资质?的,。;    — (四)依》法终止的; —     (五【)因法人性》质变更、改制、分立!或者合并等》原因发生变》化,或者:。。发生其?他,。影,响其符合资质认【定条件和《要求的变更事项经】审查发?现不符合资质认【定条件和要求的【; ?   ? (六?)资质认定业务范围!被全部取消的;【。     —(七)法律》法规:规定的应当注—销商用密《码检测机构资—质的:其,他情形 》第十五条 商—用密码检测机—构及相关从业人员】应当按照法律、行】政法规和商用—密码检测技术规范、!规,则在批准范围内【独立、公正、科【学、诚信《地开展商用密—码检测对《。出具的检测数据、】结果负责尊》重知识产《权恪守职业道德承】担社会?责任保守在工作中知!悉,的国家?秘密、商《业秘密和个人—隐私: 第十六》条 商用密码检测】机构应当保证—。其基本条《件和技术能》力能够持续符合【资质认定条件和要】求并确保管理体系有!效运行 第—。十七条 商用密码】检测机构应当遵守以!下从业要求》。     (【一):加强对本机》构人员的监》督管理经《常,性组织开展安—全保密教育》和业务培训;—本机构从事检—测,活动的专业人—员每:年接:受商用密码教育培训!的,时长:。不得少于40—学时相?关情况应当记录【留存;?。  ? ,  (二)本机【构及关联方不得【从事商用《密码产品《生产、销售(检测】工具除外)信息【系统或者商》用密码?保障系?统集:成、运营电子认证服!务电子政务电子【认证服务或者其他】可,。能影响商用密码检】测公:平公正性的活动; !    《 (:三)不得同时聘用正!在其他商《用密码检测》机构从业的人员或者!存在其他《恶意竞争、扰乱市】场秩序的情形; 】  : ,  :(四)不《得,以单:独出租?设备设施或者委【派人员等《方,式,承担业务所承担的】业务不得分包、转】包;   —  :(五)不得以任何方!。。式推荐或《者限定?被检测单位购买使】用特定主体》生产或者《提供的商用》密码产?品或者服务;— ,  :   ?(,六)独立于》出具的检测数据、结!果、报告所涉及的利!益相关各方不受任何!可能:干,。扰技术判断因素的】影响;    】 (七)《使用符合《国家密码《管理要求的设—备设施; — , ,  (八)》法律法规和》国家有关规定—提出的其《他从业要求》 第十八条 商】。用密码检《测机构出具的检测报!告应当符合相关【国家标准、行业【标准和有关规定【。的要求保《证,内,容真实、《客观:、准确、完》整商:用密码检测机构对】其出具的检测报告】负责并承《担,相应的法律责任 !  :  :商用密码检测机构应!当指定授权签字人】在其业?务能力范围内签字确!认本机构出具的【检测报?告并:。加盖机构公》章或者专用》章授权签字人应当】系统掌握商用—密码管理政策—和专业知识具备密】码或者网《络安全领域高级技术!职称或者同》等专业水《平 : 第十九条 商【用密码?检测:机构:。应当对检《。测原始记录和检测报!告归:档留存保证其—。具有可追溯》性检测原《始记:录和检测报告—的,保存期限不》得少于6年》     从【事商用密码产品检测!的商用密《码检测机构应当按】照相关标《准规范的要求—对检测样品和—相关数据信》息进行妥善》管理商用密码检测机!构资质?被注销的《应当对检测样品和相!关数据信息进行妥善!处理 第二—十条 商用密—码检测机构》应当于每年1月1】5日前通过所—在地省、自治—区、直?辖市密码管》理部门向国家—密码管理《局报送上一年度工作!报告以?及相关统《计数据包括持续符合!资质认定《条件和要《求、遵守从业规范、!开展检测活动、【实施标准等情况 !第二十?一条 商用密码【检测机构不》得有以下出具虚假】或者失实检测数据】、结果、报告的行为!     —(一)未经检—测直接出《具检测数据、结果】、,报告的; 》     (二)】篡改、编造原始【数,据、记录出具检测】数据、结果、报【告的;   【  (三)伪造检】测报告和《原始记录签名或者非!授权:签字:人签:发检测报告的; !    (四)漏】。检,关键项目、干—扰,检,测过程或者改动关键!项目的检测》方法造成检》测数据、结》果、:报,告失实的;  】   (五)—其他出具虚假或者失!。实检测数据、结果、!报告的行为 第二!十二条 密码—管理部门对》商用密码检测机构】依,法开展监督检—查可以?行,使下列职权 —     (—一,)进入?检测活动场所实施现!场,检查; 《  :   (二)向商】。用密码检测机构、委!托人等有关》单位及人员调查、了!解有关?情况或者验证相【关检:。测活动?; :     (三)】查阅、复制有—关合同、票据、账簿!以,及检测活动中形成】的检测数《。据、:结果、报告等—有关材料  【 ,  国家密码管【理局根据《工作需要可以行【使下列职权》   《  (一《)组织商用密码【检测:机构检测能》力验证?;     (】二)对商用密码检测!机构出具的检测数据!、结果、报》。告等有关《材料进行抽样检查 !     》密码管理部门和有关!部门:及其工作人员不得】要求商用密码科研】、生产?、销售、服》务、进出《口等单位和商用【密码检测、》认证机?构向其披露源代码等!密码相关专有信息并!对其在履行职责中知!悉的商业秘密和【个人隐私《严格保密不得泄【露或:者非法向他》人提供 第二【十三条 《商用密码检测机构】应当:积极配合《密码管理部门的【监督检查按照要【求参加检测能力验】。证和抽样检查并【如实提供相关材料和!信息检测能》力验证或者抽样检】查结果不合格的应当!。开展为期不少—于6个月的整改【整改期间不》得开展?相应业务范围的商】。用密:。码检测活动商用【密码检测机构整改结!束后应当《经国家?密码管理局组—织验收合《。格方可恢《复开:展相应?业务范围的》商用密码检测—活动;经整》改仍不能满足相【应业务范围的—资质认定条件和【。要,求的取消其》相应业务《范围的资质认—定直至注销其商【用密码检测机构资质! 第二《十四条 以欺骗、贿!赂等不正当手段取得!商用:。密码检测机构资质的!国家密?码管理局《应当依法《撤销商用密》码检测?。机构资?。质该机构《。在3年内《不得再次申请商用密!码检测?机构资质  【  : 申请?商用:密码检测《机构资质时隐瞒有关!情,况或者提供虚假【材料的?国家密码管理局【不予受理《或者不予许可该【机构在1《。年内不得再次申请商!。用密码?检测机构资质 【 第:。二十五条《 商用密码检测机】构违反中华人民共】。和,国,密码法、商用—密码:管理条例和本办【法规定有下》。列,情形之一《的由密?。码管理部门责令【。改正或者停止—违法行为《给予:警告没收违法所得;!违法:。所得30万元—。以上的可以并处【违法所得1倍以上3!。倍以下罚《。。款;:没,有违法所得或者违法!所得不足30万元】的可以并处10万】元以上?30万?元,以下罚?款;情?节严重的由国家密】码管理局吊销其商用!密码检测机构资【质    — (一?)超出?。批准范围开展商用密!码,检测的;    ! (二)转让、【出租、?出借、伪造、变造、!冒,用、:租借商用密码检【测,。机构资质《证,书的; 》    (三)本】机构及关联方从【事商用密码》产品生产、销售【(检测工具除外)信!息系统或《者商用密《码,保障系统《集成、运营电子【认证服务电》。子政务电子认证服务!。或者:其他可?。能影响商用密—码检测?公平公正性的活动】。的;: ,   ?  (四)同时聘用!正,在其他商用密码检】测机构从业的—人,员,或者存?在其他恶意竞—争,、扰乱市场秩序【情形的;    ! (:五,)以单独出租设备】设施或者《委派人员等方式承】担业务或者分—包、转包所承担业】务的;   【 , ,(六:。。)推荐或者限定被检!测单位购《买,使用特?。定主:体生产或《者提供的商用—密码产品或者—服,务的;    】 (七)违反法【律、行政法规—和商用密码检测技】。术规:范、规则《要求开展检测活动或!者存在其他影响检测!独立:、,。公,正、:科学:、诚信的行》为的:; :    《 (八)出具的检测!数据:、结果、报告虚【假,或者失实的; 】    (九)【未按照要求如—。实报送年度工作报告!以及相关统计—数据的;   】  :(十)?泄露在工作》中知悉的商业秘密、!。个人隐私的 — 第:二十六条 商用【密码检测机构违反】本办法规《定有下列情形之【一的:由密码?管理部门责令改【正;逾期未改正或】者改正后仍不符合】要求:的处1万元以上10!万,元以下罚《。款 : ,    (一—)未按照要求申请办!。理变更手续》的;    【 ,(二)?未按:照要求开《展安:。全保密教育和业务培!训的;    】 (三)《使,用,不符合国家》密码管?理要求的《设备设?。施,的;     (!四)出?具未经?授权签字人签字确认!的检测报告授权签】字人超出《。其业务能力范围【签,发检测报告或者未】。在检:测报告上加盖机构】。公章或者专用章的;!。   《  (五)未—按照要求《保存:检测:原始记录和检测报告!或者未?按照要求妥善管理】。检测样?。品和相关数据信【息的 第》二,十七条 县》级以上地方各级密】码,管理部门应》当依法公开监督检查!结果将商用密—码,检测机构受到的【行政:处罚等信息纳入国家!企业:信用信息公示—系,统,等平台并定期将年度!商用密码检》测机构监督》检,查结:果等信息逐》级报至国家密码管理!局 第二十八条】 从事商用密码检】测机构监督管理工】作的人员滥用职权】。。、玩忽职守》、徇私舞弊或者泄露!、非法向《他人提?供在:履行:。职责中?知,悉,的商业?。秘密:、个人隐私、举报】人信息的依法—给予处?分 第二》。十九条 本办—法自2023年1】1月:1日起施行 【