商【用密码检测机—构管理办《法 ：。 ， 国家密码管理局！。令 第2号 【     商用密码！检测机构管理办【法已经2《。。023？年9月11日国家】密码管理局局务会】。议审议通过现予公布！自，202？3年11月1—日起：。施行 局长 【刘东方 》2023《年9月26日 第！一条　为了加强商用！密码检测机构管理】规范商用密》码检测活动根据中华！人民共和国密码法、！商用密码管》理条例？等，有关：法律法？规制定？本办法 》第二条　《商用：密码检？。测机构的资质—认定和？监督管理适》用本办法 》 ，第三条　从事商用密！码产品检测》、网络与信息系统】。商用密码应用安全】性评估等商》用，密码检？测活动向《社会出具《具有证明《作用的数据、结【。。果的机构应当经国】家密码管《理局认定依法取得】商用密码检》测机构资《质 第四条—　国：家密码管理局—负责全国《商用密码检测机【构的资？质认定和监督管【。理县：级以：上地方？各级密？。码管理部门负责本】行政区域内商用【。密码：检测机构的监—督管理 第五条】。。　商：用密码检测机构【应当在资质认定业】务范围内从事商用】密码检测活动国家】密码管理局制定并】公布商用《密，码检测机《构资质认定》基本规范和商用【密码检测机构资质】。认定业务范围 第！六条　取得商用密码！检测机？构，。资质应当符合下【列，条件 《    （一）具】。。。有法人资《格；     】（二：）具有与从事商用密！码检测活动相—适应的资金； 【。     》（三）成《立2年？以上从事《网络安全检测评【估领域相关工—作1年以上无重大】违法或者《不良：信用记录；   ！  （四）具有【与从事商用密码【检测活动相适—应的场所；》     （五）！具有与从事商用密码！检测活动相适应的】设备设施； 【 ，   （六）—。具有保证商用密码】检测活动独》立、公？正、科学、诚信【的管理体系； 【     （七）】具有与从《。事商：用密：码检测活动相适应】的专业人员； 】    （八）【具有与？从事商用密码—检测活动相》适应的专业》能力  》   外《商，投资企？业法人申请商用密】码检测机构》资，质除符？合上述条《件外还应当》符合我国《外商投资有关法律法！规的规定《 ：第七条　《申，。请商用密码检—测机构资质应当向】。国家密码管理—。局提出书面申请【向国家密《码管理局《。委托进行受理—的省、自治区、直】辖市密码管理部门提！交商用密码检测机构！资质：申请表？及以下材《料并：对其：真实性负责 —    《 （一）法人资【格证书；    ！ （二）资本结构和！股权：情况； 《   ？  ：。（，三）无重大违法【。或者不良《信用记录、不—从事可能影响—商用密码检测—公平公正性活动【的承诺； 》     （四）】工作场所等》固定资产产权—证书或者租赁合【同；     （！五）工作环境和设】备设施配置情况；】 ：    《（六）项目》管理、？质，量管理、人》员，。管理、档案管理【、安全保密管理【等管：理体系建立情况【；     （】七）法定代表人【、最：高管理者、技术【负责人、《质量负责《人、：授权：签字人以及专—业人员？情况：； ：     》（八）申请》人认为需要补充的其！他材料 《     受—。国家密码管理—局委托进行受理的】省，、，自治区、直辖市密码！。管理部门自收到【申请材料之日起5个！工作日内对申请材料！进行形式审查—根据下列情况—分别作出处理申请材！料内容齐全、符【合规定形式的应当受！理行政许《可申请并出具受理通！知书；申请材料内】容不齐全或者不【符合规定形式—的应当当场或者在】5，个工作？日内一次性告—知申请人需》要补：正的全部材料；不】予，受理的？应当出具不予受【理通知书并》说明理由 》 第八条　国—家密码？管理局应当自行【。政许可申《请受理之日》起20个工作日【内依据商用密码检】测机：构资质认定基本规范！的要求对申》请进行审《查并依法作出—是否准予许可—的书面决定 —     需—要对：申请人进行技术【评审的技术评—审所需时间不计【算在：本条规定的期限内】国家密码管理局应】当将所需时间书面】告知申？请人： 第九条　—国家密码管理局根据！。技术评审需要和专】业要求可《以委：托专业？。技术评价机构实施技！术评审  —。   技术评审包括！。专业人？。员能力考核场所、】设备设？施、管理体系建设】实地查勘检测—能力考核等  】   专业技术评价！机构应当严格按照】商用密码检》测机：构资质认定基本规范！开展技术评》审，活动对技术评审结】论的真？实性、符合性负责】并承担相《应法律责任国家密码！管理局应当对—技，术评审活动进行监督！建立责任追究机制】 第十条　申【请人有下《列情形之一》的国：家，密码管理局应—当终止审查 —。     》（一）？隐瞒有关情况或【者提供？虚假材料的；—  ？   （《。二，）采取贿《赂、：请托等不正当手【段影响？审查工作公平公正】进行的；   】  （三）无正当】理，由拒绝接受》审查的； —。  ： ， （：四）违反商用密码】检测机？构从：业，要求的 第十一条！　准予？许可的？国家密码管理局【向申请？人颁：发商用密码》检测机构资质证【书并公布取得—资质证书的商用密】码检测机构名录【 ：。    《有下列情《形之一的国家密【码，管理局应当出具不予！行，政许可决《定书说明理由并告】知申请人相》关权利  — ，  （一）》终止审查的；  ！   （二》）审查不合格的【；  《。   （三）法律法！规规定的不予许可的！其他情？形， 第十《二条　商用密—码检测机构资质【证书有效期5年【内容包括获证机构名！称、统一社》会信用代码、注册】地，址、：。证书编？号、有？效期限、资》质认定业务范—围、发证机关和发】证日期？ ，     商用密】码，检测机构资质证【书有：效期届满《需要延续的应当【在有：效，期届满？3个月前向国—家密码管理局提【出书：面申请国家密—码管理局根据申请人！的实际情况采取书】面或者现场形式开】展审查在商用密码检！测机构资质证书有效！期届满前作出是【。否准予延《。续的决定 —    禁》止转让、出租、【出借、？伪造、变造、—冒用、租借商用密】码检：测机构资《质证书 第十三条！　有下列情形之一的！。商用密码检测机构应！。当自变更之日起【30日内向》国家密码管理局申】。请办理变更手续 ！    （》一）机构名》称、注册地》址、法人性质发生变！更，的；     】（二）法定代—。表人、最《高管理者《、技术负责人—、质量负责人、【。授权签？字人发生变更的【；     （】三）资质认》定业：务范围发生》变，。更的；？     （四）！依法需要办理变更的！其他事项  【   商用密码【检测：机构发生变更的【事项影响其符合资质！。认定：条，件和要求的国家密】码管理局根据申【请人的实际》情况采取书面或者】现场形式《开展审查需要进【行技术？评审的依照本办法第！九条规定对其—开展技术评》审 第《十四条　商用密【码检测机构有下列】情形：之一的国家密码管】理局应当依法注【销，其，商用：密码检？测机构？资质     （！一）商用密码检测】机，构资质证书》有效期届满未—申，请延续？或者依法不》予延续批准的； ！ ，   ？（，二）申请注》销商用密码检测机】构资质？的；    【 （三）被依法撤】销、吊？销商用密码检测【机构资质的； 】    （四—）依法终《止的； 》    （五）因法！人性：质，变更、改制》、分立或者合并等原！因发生变化》或者发生其》他影响其符合资【质认定条件和要求】的变更事项经审查发！现不符合资质认【定条件和要求的；】     （六】）资质？认定：业务范围被全部取】消的； 》。   ？ （七）法律法【规规定？。的应当注销》商用：密码检？测机构资质》的其他情形 第十！五条　？商用密码检测机【构及相关《从业人员应》当按照法律、行【政法规和商》用密码？检测：技术规？范、规则《在批准范围内—独立、公《。正、科？学、诚信《地开展商用》密码：检测对出具的检【测数据、结果负责尊！重知识产《权恪守职《业道德承担》社会责任保》守在：工作中知悉的国家】秘密：、商业秘密和—个，人隐私 第十六】条　商用密码检【测机构应当保证其】基，本条件和《技术能力能》够，。持续符合《资质认定《。条件和？要求并确保》。管理体系有效运行 ！ 第十？七条　商用密码检】测机构应当》遵守：以下从？业要求     ！（一）加强》对本：机构人员的》监督管理《。经常性组织》开展安全保密教【育和：业务：培训；本机构从【事检测活《动的专业人员每年】接受：商用密？码教育培训》的时长不得少—于40学时》。相关情况应》当记：录留存；《 ，     （二）】本机构及关联—方不得从事》商用密码产品生产、！销售（？检测工具除外—），信息系？统或：者商用密码保障系统！集成：、，运营电？子认证服《务电：子政务电子认—证服务？。或者其他《可能影响商用密【码，检测公平公正性【的活动； —    《（三）？不得同时聘用正【在其他？商用密码检测机【构从业？的人员或者》存在其他恶意竞【争，、扰乱市场》秩序的？情形； 《     （四）不！得以单独出租设备】设，施，或，。者委派人员等方式】承担业务《所承担的《业务不得分》。包、转包；   ！ ， （五？）不得以任何方式】推荐或者限定—被检测单《位购买使用特定【主体生产或者—提供的商用密码产品！。或者服务；   ！。  （六）独—立于出具的检—测数：据、结果《、报告所涉及的利益！相关各方不受—任何：可，能干扰技术判—断因素的影响； ！。  ：  （七）使用符】合，国家密码管理要求】的设备？设施；   【  ：（八：），法律法规和国家有关！规定：提出的其他从业【要求： 第？十八条　《商用密码检测机构出！具的：检测报？告应当符合相关国家！标准、行《业标准？和有关规定的要求保！证内容真实、客【观、准确、》完整商用密》码检测机构对其出】具的检测报》告负责并承担相应的！法律责任   】  ：商用密码《检测机构《应当指定授权签字人！。在，。其业务能《力范围内签字—确认本机《构出具的检测报告】并加盖机构公—章或者专用章授权】签字人应当系统掌】握，商用密？码管理政策和专业】知识具备密码或者网！络，安全领域高》级技术职称或者【同等专业水平 第！十九条　商用密【码检测机构应—当对检测原》始记录和检测—报告归？。档留存保证其—具有：可追溯性《检测：原始记？录和检测《报告的保存期限不得！少于6年《     从事】商用密码产品检【测的：商用：密码检测《机构应当《按照相关标准—规范的要求对检测样！品，和相关数据信息进】行妥善管理》商，用密码检测》机，构资质被注销—的应当对检测样品和！相关数据《信息进行《妥，善处：理 第二十—条　商用密码检【测机构应《当于每年《1月15日前通【过所在地省、自治区！、直辖市密码管理】部门向？。国家密码管理—局报：送上一年《度工作报告以及相】关统计数据包括【持续符合资》质，认定条件和要求【、遵守从业规范、】。开展：检测活？动、实施标准等情】况 第二》十一条　商用—密，码，检测机构《不得有以《下出具虚假或—者失实检测》数据、结果、报【告的行为    ！ （：一）未经检测—直接出具检测数【。据、：结果、报告的；【   《  （二《）篡改、编造—原始：数据、记录出具检】测数据、《结果、报告》。的；：     （三】）伪造检测报—告和原始记》录，签名或者非》授权签？字人签发检测报告】的；     】（四）漏检关键项】目、：干扰检测过程或者】改动：关键项目的检—测方法造成》检测数？据、结果、报告【失实的；《     （五】）其他？出，具虚：假或者失实检测数据！、结果、报》告的行为 第二】十二条　密码管理部！门对商用《密码检测机构—依法开展监督—检，查可以行使下列职权！。。。     （一）！进入检测活动—场所实施现场检查】；，  ？  ： （二）向商—用密码检《测机构、委托人【等有关单位及人员】调查、了解有关【情况或者《验证相关《检测活动；  】   （三）查阅、！复制：有关合同、》票据、？账簿以及检测—活动：中形成的检测数据、！。结果、报告等有关材！。料    — ，国，家密码管理局根【据工：作需要可以行使【下列职权    ！ （：一）组织商用密【码检：测机构检测能—力验证；    ！ （二）《对商用密码检—测，机构出具的检—测数据、结果—、报告等有关材【料进行抽《。样检查   【  密码《管理部门《和有关部门》及其工作人员—不得要？求商用密码科—研、生产、》销售、服《务、进出口等单【位，和商用密码检测、】认证机构向其—披露源代码等密码】相关专有《信，息，并对其在履行职责】中知：。悉的商业秘密和个人！隐私严格保》密不得泄露或者【非法：向，。他人提供 第二】十三条　商用密码】检测：。机构应当积》极，配合密码管理—部门的监督检查按】照要：求参：加检测能力验—证和抽样检》。查并如实提供相关】材，料和信？息检测能力验证或】者抽样检查结果不合！。格的应当开展为期】不少：于6个月的整—改，整改期间不得开展相！应业务范围》的商用密码检测活】动商用密码》检测机构《。整改：结束后应当经—国家：密码管理《局组织验收合—格方可恢复》开展相应业务范【围的：商用密？码检：测活动；经整改仍不！能满：足相应业务范围【的资质认定》条件：和要求的取》消其相应业》务范围的资质认定】直至注？销其商用密码检测】机构资质 》 第二十四条　【以欺骗、贿赂等【不，正当手？段取得商用密码检】测，机构资质的国家【密码管？理局应当依》法撤销商用密码【检测机构资质—该机：构在3年内不得再】。次申请商用》密码检测《机，构资质？  ？   申《。请商用密《码检测机构资质【。时隐瞒有关》情况或者《提，供虚假材料的国家密！码管理局《不予受理或者不予许！可该机构在1年内不！得，再次申请商》用密码检《测机构资质》 第二十五条　商！。。用密码检测机构违】反中华？人民共和国密码法、！商用密码管理条例和！本办法规定有下列】情形之一《的由密？。码管理部门责令改正！或者停止《违法行为给予—。警告没收《违法所得《。；违法？所得30万》元以上？。。的可以并处违法所】得1倍？。以上3倍以下罚【款；没有违法所得或！者违法所得》不足30万元的可】以并处1《0万元以上3—0万元？以下罚款；》情节严重的由—国家密？码，管理局吊销》其商用密码检测机构！资质 《 ，   （一》）超出？批准范围开展商【用密码检《测的； 《     （二【）转让？、出租？、出借、《伪造、变造》。、冒：用、租借商用密码检！测，机构资质证书的； ！。 ，    《（三）？本，。机构：及关联方从事—商用密码产品生产】、销售（《检测工具除外—）信息系统或者商】。用密码保障系统【集成、？运营电子认证服务电！子，政务电子认证服务】或者其？他可能影响商用【密码检测公平—公正性？的活动？的；     （！四）同？时聘用正《在其他商用》密，码检：测机构？从业的人《员或者？存在其？他恶意竞争、扰【乱市场？秩序情形的；  ！。   （五）—以单独？。出租：设备设施或者委【派人员等方式承担】。业务或者分包、【转包所承担业务的】； ：     》（，六）推荐或》者限定被检测单位购！买使用？特定主体生》产或者提《供的：商用密码产品—或者服务的； 】    （》。七）违反法律、【行政法规《和，商用密？码检测技术》。规范：、规则要求》开展检？测活动或《者存在其《他影响检测独立、】公正、科《学、诚信的》行为的？；  《   （八）出具的！检测数据、》结果：、，报告虚假或》者失：。实的；     ！（九）未按照—要求如实《。报送年度工作报告】以及相关统计数据的！；  《   （十）—。泄露在工作》中知悉的商业—秘密、个人》隐私的 第—二，十六条？　商用？。密码检测《机构：违反本办法规定有下！列，情形之一的由密【码管理部门责令【改正；逾期》未改正或者改正【后仍：。不符：合，要求的处1》万元以上《10万元《以下罚款 》    《 （：一）未按照要—求，申请办理变更手续的！；  《   （二）—未按照要求开展安】全保密教育和业【务培训？的； ？     （三）】使用不符合国家密码！管理要求的设备【设施的？；    — ，（四：）出具未经授—权签：字人：签字确认的检测报】告授：权签字人超出其业务！能力范围签发检测报！告或：者未在检测》报告上加盖机构公章！或者：专用章的；》    》。 ，。（，五）未按照要求保存！检测原始记录和【检测：。。报告或者未按—照，要求妥善《管理检？测样品？和相关数据信—息的 第二十七】条　县级以》上地方各级密—码管理部门应—当依法公开监督检查！结果：将商用密码检测【机构：受到：的行政处罚》等信息纳入国家企业！信用信息公示系【统，等平台并定期将【年度商用密码检测机！构监督检查结果【等信息逐级》报，至国家密码管理局】 ：第二十八条　从【事商用密码检测机】构监督管理》工作的人《员滥用职权、玩忽职！守、徇私舞弊或者泄！露、：非法向他人提—供在履行职》。责中知悉《的商业秘密、个人】隐私、举报》人信：息的依法《。给予：处分 第二—十九条　本》办法：自20？23年11月1日】起施行 》