商用密码检测机构管理办法（征求意见稿） 2023年6月9日 第一条 为了加强商用密码检测机构管理， 规范商用密码检测活动， 根据 《中 华人民共和国密码法 》 、 《商用密码管理条例》等有关法律法规，制定本办法。 第二条 商用密码检测机构的资质认定和监督管理适用本办法。 第三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估 等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国 家密码管理局认定，依法取得商用密码检测机构资质。 第四条 国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。 县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管 理。 第五条 商用密码检测机构应当在资质认定业务范围内从事商用密码检测活 动。 国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码 检测业务范围目录。 第六条 申请商用密码检测机构资质应当符合下列条件： （一）具有法人资格； （二）具有与从事商用密码检测活动相适应的资金条件； （三）成立 2年以上，从事网络安全检测评估领域相关工作 1年以上，无重 大违法或者不良信用记录； （四）申请人及其关联方不从事商用密码产品（检测工具类除外）生产、销 售以及信息系统或者商用密码保障系统集成、 信息系统或者商用密码保障系统运 营、 电子认证服务、 电子政务电子认证服务或者其他可能影响公平公正性的活动； （五）具有与从事商用密码检测活动相适应的工作环境； （六）具有与从事商用密码检测活动相适应的商用密码检测设备设施； （七）具有保证商用密码检测活动独立、公正、科学、诚信的管理体系； （八）具有与从事商用密码检测活动相适应的专业技术人员和管理人员 ; （九）具有与从事商用密码检测活动相适应的专业能力。 外商投资法人申请商用密码检测机构资质，除符合上述条件外，还应当符合 我国外商投资有关法律法规的规定。 第七条 申请商用密码检测机构资质， 应当向国家密码管理局提出书面申请， 向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交《商用 密码检测机构资质申请表》及以下证明材料，并对其真实性负责。 （一）法人资格证书； （二）资本结构和股权情况； （三）无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公 正性活动的承诺； （四）工作场所等固定资产产权证书或者租赁合同； （五）工作环境和设备设施配置情况； （六）法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以 及专业技术人员情况； （七）项 目管理、质量管理、人员管理、档案管理、安全保密管理等管理体 系建立情况； （八）申请人认为需要补充的其他材料。 受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到 申请材料之日起 5个工作日内，对申请材料进行形式审查，内容齐全、符合规定 形式的，应当以国家密码管理局名义出具受理通知书，并于 5个工作日内将申请 材料送国家密码管理局；对内容不齐全或者不符合规定形式的，应当当场或者 5 个工作日内一次性告知申请人需要补正的全部材料；对不予受理的，应当以国家 密码管理局名义出具不予受理通知书并说明理由， 并于 5个工作日内将不予受理 通知书送国家密码管理局。 第八条 国家密码管理局应当自受理申请之日起 20个工作日内， 依据商用密 码检测机构资质认定基本规范的要求，对申请进行审查，并依法作出是否准予许 可的书面决定。 需要对申请人进行技术评审的， 技术评审所需时间不计算在本条规定的期限 内。国家密码管理局应当将所需时间书面告知申请人。 第九条 国家密码管理局根据技术评审需要和专业要求，可以自行或者委托 专业技术评价机构实施技术评审。 技术评审包括专业技术人员能力考核，工作环境、设备设施、管理体系建设 实地查勘，检测能力验证等。 专业技术评 价机构应当严格按照商用密码检测机构资质认定基本规范开展 技术评审活动，对技术评审结论的真实性、符合性负责，并承担相应法律责任。 国家密码管理局应当对技术评审活动进行监督，建立责任追究机制。 第十条 申请人有下列情形之一的，国家密码管理局应当终止审查： （一）隐瞒有关情况或者提供虚假材料的； （二）采取贿赂、请托等不正当手段，影响审查工作公平公正进行的； （三）无正当理由拒绝接受审查的。 第十一条 准予许可的，国家密码管理局向申请人颁发《商用密码检测机构 资质证书》 。 有下列情形之一的，国家密码管理局应当出具不予行 政许可决定书，说明理 由并告知申请人相关权利： （一）审查不合格的； （二）终止审查的； （三）法律法规规定的不予许可的其他情形。 第十二条 《商用密码检测机构资质证书》内容包括发证机关、获证机构名 称和注册地址、资质认定业务范围、有效期限、证书编号，有效期 5年。 《商用密码检测机构资质证书》有效期届满需要延续的，应当在届满 3个月 前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况，采 取书面或者现场形式开展审查，在《商用密码检测机构资质证书》有效期届满前 作出是否准予延续的决定。 禁止转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质 证书》 。 第十三条 有下列情形之一的，商用密码检测机构应当向国家密码管理局申 请办理变更手续： （一）机构名称、注册地址、法人性质发生变更的； （二）法定代表人、最高管理者、技术负责人、质量负责人、授权签字人发 生变更的； （三）资质认定业务范围发生变更的； （四）依法需要办理变更的其他事项。 商用密码检测机构发生变更的事项影响其符合资质认定条件和要求的， 国家 密码管理局根据申请人的实际情况，采取书面或者现场形式开展审查，需要技术 评审的，依照本办法第九条规定对其开展技术评审。 第十四条 商用密码检测机构有下列情形之一的，国家密码管理局应当依法 注销其资质： （一）资质证书有效期届满，未申请延续或者依法不予延续批准的； （二）申请注销资质证书的； （三）被依法撤销、吊销资质证书的； （四）依法终止的； （五）因法人性质变更、改 制、分立或者合并等原因发生变化，或者发生其 他影响其符合资质认定条件和要求的变更事项， 经审查发现不符合资质认定条件 和要求的； （六）法律法规规定的应当注销资质的其他情形。 第十五条 商用密码检测机构及相关从业人员应当按照法律法规、标准规范 等要求开展检测活动， 遵循客观独立、 科学公正、 诚实信用原则， 尊重知识产权， 恪守职业道德，承担社会责任，保守在工作中知悉的国家秘密、商业秘密和个人 隐私。 第十六条 商用密码检测机构应当保证其基本条件和技术能力能够持续符合 资质认定条件和要求，并确保管理体系有效运行。 商用密码检测机 构应当参加国家密码管理局定期开展的检测能力验证。 检测 能力验证结果不合格的，应当开展为期不少于 6个月的整改，整改期间不得开展 相应业务范围的商用密码检测活动。经整改仍不能满足资质认定条件和要求的， 由国家密码管理局取消其相应的资质认定业务范围直至吊销资质证书。 第十七条 商用密码检测机构应当遵守以下从业要求： （一）加强对本机构人员的监督管理，经常性组织开展安全保密教育和业务 培训； 本机构从事检测活动的专业技术人员每年接受商用密码教育培训的时长不 得少于 40学时，相关情况应当记录留存； （二）独立于出具的检测数据、结 果所涉及的利益相关各方，不受任何可能 干扰技术判断因素的影响， 不得同时聘用正在其他商用密码检测机构从业的人员； （三）不得以单独出租设备设施或者委派人员等方式承担业务，所承担的业 务不得分包和转包； （四） 不得以任何方式推荐或者限定被检测单位购买使用特定主体生产或者 提供的商用密码产品或者服务； （五）使用符合国家密码管理要求的设备设施； （六）法律法规和国家有关规定提出的其他从业要求。 第十八条 商用密码检测机构出具的检测报告，应当符合相关国家标准、行 业标准和有关规定的要求，保证内容真实、客观、准确、完整。商用 密码检测机 构对其出具的检测报告负责，并承担相应的法律责任。 商用密码检测机构应当指定授权签字人签字确认本机构出具的检测报告， 并 加盖机构公章或者专用章。非授权签字人不得签发检测报告。授权签字人应当系 统掌握商用密码管理政策和专业知识， 具备密码或者网络安全领域高级技术职称 或者同等专业水平。 第十九条 商用密码检测机构应当对检测原始记录和检测报告归档留存，保 证其具有可追溯性。原始记录和检测报告的保存期限不得少于 6年。 从事商用密码产品检测的商用密码检测机构应当按照相关标准规范的要求， 对检测样品和相关数据信息进行妥善 管理。资质证书被注销的，应当对检测样品 和相关数据信息进行妥善处理。 第二十条 商用密码检测机构应当于每年 1月15日前通过所在地省、自治 区、 直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计 数据，包括持续符合资质认定条件和要求、遵守从业规范、开展检测活动、标准 实施等情况。 第二十一条 商用密码检测机构不得有以下出具虚假检测数据、 结果的行为： （一）未经检测，直接出具检测数据、结果的； （二）篡改、编造原始数据、记录，出具检测数据、