商用密碼檢測機構管理辦法

《商用密碼檢測機構管理辦法》已經2023年9月11日國家密碼管理局局務會議審議通過，現予公布，自2023年11月1日起施行。

局 長 劉東方

2023年9月26日

第一條　為了加強商用密碼檢測機構管理，規範商用密碼檢測活動，根據《中華人民共和國密碼法》、《商用密碼管理條例》等有關法律法規，制定本辦法。

第二條　商用密碼檢測機構的資質認定和監督管理適用本辦法。

第三條　從事商用密碼產品檢測、網路與信息系統商用密碼套用安全性評估等商用密碼檢測活動，向社會出具具有證明作用的數據、結果的機構，應當經國家密碼管理局認定，依法取得商用密碼檢測機構資質。

第四條　國家密碼管理局負責全國商用密碼檢測機構的資質認定和監督管理。縣級以上地方各級密碼管理部門負責本行政區域內商用密碼檢測機構的監督管理。

第五條　商用密碼檢測機構應當在資質認定業務範圍內從事商用密碼檢測活動。國家密碼管理局制定並公布商用密碼檢測機構資質認定基本規範和商用密碼檢測機構資質認定業務範圍。

第六條　取得商用密碼檢測機構資質，應當符合下列條件：

（一）具有法人資格；

（二）具有與從事商用密碼檢測活動相適應的資金；

（三）成立2年以上，從事網路安全檢測評估領域相關工作1年以上，無重大違法或者不良信用記錄；

（四）具有與從事商用密碼檢測活動相適應的場所；

（五）具有與從事商用密碼檢測活動相適應的設備設施；

（六）具有保證商用密碼檢測活動獨立、公正、科學、誠信的管理體系；

（七）具有與從事商用密碼檢測活動相適應的專業人員；

（八）具有與從事商用密碼檢測活動相適應的專業能力。

外商投資企業法人申請商用密碼檢測機構資質，除符合上述條件外，還應當符合我國外商投資有關法律法規的規定。

第七條　申請商用密碼檢測機構資質，應當向國家密碼管理局提出書面申請，向國家密碼管理局委託進行受理的省、自治區、直轄市密碼管理部門提交《商用密碼檢測機構資質申請表》及以下材料，並對其真實性負責：

（一）法人資格證書；

（二）資本結構和股權情況；

（三）無重大違法或者不良信用記錄、不從事可能影響商用密碼檢測公平公正性活動的承諾；

（四）工作場所等固定資產產權證書或者租賃契約；

（五）工作環境和設備設施配置情況；

（六）項目管理、質量管理、人員管理、檔案管理、安全保密管理等管理體系建立情況；

（七）法定代表人、最高管理者、技術負責人、質量負責人、授權簽字人以及專業人員情況；

（八）申請人認為需要補充的其他材料。

受國家密碼管理局委託進行受理的省、自治區、直轄市密碼管理部門自收到申請材料之日起5個工作日內，對申請材料進行形式審查，根據下列情況分別作出處理：申請材料內容齊全、符合規定形式的，應當受理行政許可申請並出具受理通知書；申請材料內容不齊全或者不符合規定形式的，應噹噹場或者在5個工作日內一次性告知申請人需要補正的全部材料；不予受理的，應當出具不予受理通知書並說明理由。

第八條　國家密碼管理局應當自行政許可申請受理之日起20個工作日內，依據商用密碼檢測機構資質認定基本規範的要求，對申請進行審查，並依法作出是否準予許可的書面決定。

需要對申請人進行技術評審的，技術評審所需時間不計算在本條規定的期限內。國家密碼管理局應當將所需時間書面告知申請人。

第九條　國家密碼管理局根據技術評審需要和專業要求，可以委託專業技術評價機構實施技術評審。

技術評審包括專業人員能力考核，場所、設備設施、管理體系建設實地查勘，檢測能力考核等。

專業技術評價機構應當嚴格按照商用密碼檢測機構資質認定基本規範開展技術評審活動，對技術評審結論的真實性、符合性負責，並承擔相應法律責任。國家密碼管理局應當對技術評審活動進行監督，建立責任追究機制。

第十條　申請人有下列情形之一的，國家密碼管理局應當終止審查：

（一）隱瞞有關情況或者提供虛假材料的；

（二）採取賄賂、請託等不正當手段，影響審查工作公平公正進行的；

（三）無正當理由拒絕接受審查的；

（四）違反商用密碼檢測機構從業要求的。

第十一條　準予許可的，國家密碼管理局向申請人頒發《商用密碼檢測機構資質證書》，並公布取得資質證書的商用密碼檢測機構名錄。

有下列情形之一的，國家密碼管理局應當出具不予行政許可決定書，說明理由並告知申請人相關權利：

（一）終止審查的；

（二）審查不合格的；

（三）法律法規規定的不予許可的其他情形。

第十二條　《商用密碼檢測機構資質證書》有效期5年，內容包括：獲證機構名稱、統一社會信用代碼、註冊地址、證書編號、有效期限、資質認定業務範圍、發證機關和發證日期。

《商用密碼檢測機構資質證書》有效期屆滿需要延續的，應當在有效期屆滿3個月前向國家密碼管理局提出書面申請。國家密碼管理局根據申請人的實際情況，採取書面或者現場形式開展審查，在《商用密碼檢測機構資質證書》有效期屆滿前作出是否準予延續的決定。

禁止轉讓、出租、出借、偽造、變造、冒用、租借《商用密碼檢測機構資質證書》。

第十三條　有下列情形之一的，商用密碼檢測機構應當自變更之日起30日內向國家密碼管理局申請辦理變更手續：

（一）機構名稱、註冊地址、法人性質發生變更的；

（二）法定代表人、最高管理者、技術負責人、質量負責人、授權簽字人發生變更的；

（三）資質認定業務範圍發生變更的；

（四）依法需要辦理變更的其他事項。

商用密碼檢測機構發生變更的事項影響其符合資質認定條件和要求的，國家密碼管理局根據申請人的實際情況，採取書面或者現場形式開展審查。需要進行技術評審的，依照本辦法第九條規定對其開展技術評審。

第十四條　商用密碼檢測機構有下列情形之一的，國家密碼管理局應當依法註銷其商用密碼檢測機構資質：

（一）《商用密碼檢測機構資質證書》有效期屆滿，未申請延續或者依法不予延續批准的；

（二）申請註銷商用密碼檢測機構資質的；

（三）被依法撤銷、吊銷商用密碼檢測機構資質的；

（四）依法終止的；

（五）因法人性質變更、改制、分立或者合併等原因發生變化，或者發生其他影響其符合資質認定條件和要求的變更事項，經審查發現不符合資質認定條件和要求的；

（六）資質認定業務範圍被全部取消的；

（七）法律法規規定的應當註銷商用密碼檢測機構資質的其他情形。

第十五條　商用密碼檢測機構及相關從業人員應當按照法律、行政法規和商用密碼檢測技術規範、規則，在批准範圍內獨立、公正、科學、誠信地開展商用密碼檢測，對出具的檢測數據、結果負責，尊重智慧財產權，恪守職業道德，承擔社會責任，保守在工作中知悉的國家秘密、商業秘密和個人隱私。

第十六條　商用密碼檢測機構應當保證其基本條件和技術能力能夠持續符合資質認定條件和要求，並確保管理體系有效運行。

第十七條　商用密碼檢測機構應當遵守以下從業要求：

（一）加強對本機構人員的監督管理，經常性組織開展安全保密教育和業務培訓；本機構從事檢測活動的專業人員每年接受商用密碼教育培訓的時長不得少於40學時，相關情況應當記錄留存；

（二）本機構及關聯方不得從事商用密碼產品生產、銷售（檢測工具除外），信息系統或者商用密碼保障系統集成、運營，電子認證服務，電子政務電子認證服務，或者其他可能影響商用密碼檢測公平公正性的活動；

（三）不得同時聘用正在其他商用密碼檢測機構從業的人員，或者存在其他惡意競爭、擾亂市場秩序的情形；

（四）不得以單獨出租設備設施或者委派人員等方式承擔業務，所承擔的業務不得分包、轉包；

（五）不得以任何方式推薦或者限定被檢測單位購買使用特定主體生產或者提供的商用密碼產品或者服務；

（六）獨立於出具的檢測數據、結果、報告所涉及的利益相關各方，不受任何可能幹擾技術判斷因素的影響；

（七）使用符合國家密碼管理要求的設備設施；

（八）法律法規和國家有關規定提出的其他從業要求。

第十八條　商用密碼檢測機構出具的檢測報告，應當符合相關國家標準、行業標準和有關規定的要求，保證內容真實、客觀、準確、完整。商用密碼檢測機構對其出具的檢測報告負責，並承擔相應的法律責任。

商用密碼檢測機構應當指定授權簽字人在其業務能力範圍內簽字確認本機構出具的檢測報告，並加蓋機構公章或者專用章。授權簽字人應當系統掌握商用密碼管理政策和專業知識，具備密碼或者網路安全領域高級技術職稱或者同等專業水平。

第十九條　商用密碼檢測機構應當對檢測原始記錄和檢測報告歸檔留存，保證其具有可追溯性。檢測原始記錄和檢測報告的保存期限不得少於6年。

從事商用密碼產品檢測的商用密碼檢測機構應當按照相關標準規範的要求，對檢測樣品和相關數據信息進行妥善管理。商用密碼檢測機構資質被註銷的，應當對檢測樣品和相關數據信息進行妥善處理。

第二十條　商用密碼檢測機構應當於每年1月15日前通過所在地省、自治區、直轄市密碼管理部門向國家密碼管理局報送上一年度工作報告以及相關統計數據，包括持續符合資質認定條件和要求、遵守從業規範、開展檢測活動、實施標準等情況。

第二十一條　商用密碼檢測機構不得有以下出具虛假或者失實檢測數據、結果、報告的行為：

（一）未經檢測，直接出具檢測數據、結果、報告的；

（二）篡改、編造原始數據、記錄，出具檢測數據、結果、報告的；

（三）偽造檢測報告和原始記錄簽名，或者非授權簽字人簽發檢測報告的；

（四）漏檢關鍵項目、干擾檢測過程或者改動關鍵項目的檢測方法，造成檢測數據、結果、報告失實的；

（五）其他出具虛假或者失實檢測數據、結果、報告的行為。

第二十二條　密碼管理部門對商用密碼檢測機構依法開展監督檢查，可以行使下列職權：

（一）進入檢測活動場所實施現場檢查；

（二）向商用密碼檢測機構、委託人等有關單位及人員調查、了解有關情況或者驗證相關檢測活動；

（三）查閱、複製有關契約、票據、賬簿以及檢測活動中形成的檢測數據、結果、報告等有關材料。

國家密碼管理局根據工作需要，可以行使下列職權：

（一）組織商用密碼檢測機構檢測能力驗證；

（二）對商用密碼檢測機構出具的檢測數據、結果、報告等有關材料進行抽樣檢查。

密碼管理部門和有關部門及其工作人員不得要求商用密碼科研、生產、銷售、服務、進出口等單位和商用密碼檢測、認證機構向其披露原始碼等密碼相關專有信息，並對其在履行職責中知悉的商業秘密和個人隱私嚴格保密，不得泄露或者非法向他人提供。

第二十三條　商用密碼檢測機構應當積極配合密碼管理部門的監督檢查，按照要求參加檢測能力驗證和抽樣檢查，並如實提供相關材料和信息。檢測能力驗證或者抽樣檢查結果不合格的，應當開展為期不少於6個月的整改，整改期間不得開展相應業務範圍的商用密碼檢測活動。商用密碼檢測機構整改結束後，應當經國家密碼管理局組織驗收合格，方可恢復開展相應業務範圍的商用密碼檢測活動；經整改仍不能滿足相應業務範圍的資質認定條件和要求的，取消其相應業務範圍的資質認定，直至註銷其商用密碼檢測機構資質。

第二十四條　以欺騙、賄賂等不正當手段取得商用密碼檢測機構資質的，國家密碼管理局應當依法撤銷商用密碼檢測機構資質。該機構在3年內不得再次申請商用密碼檢測機構資質。

申請商用密碼檢測機構資質時隱瞞有關情況或者提供虛假材料的，國家密碼管理局不予受理或者不予許可。該機構在1年內不得再次申請商用密碼檢測機構資質。

第二十五條　商用密碼檢測機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法規定，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款；情節嚴重的，由國家密碼管理局吊銷其商用密碼檢測機構資質：

（一）超出批准範圍開展商用密碼檢測的；

（二）轉讓、出租、出借、偽造、變造、冒用、租借《商用密碼檢測機構資質證書》的；

（三）本機構及關聯方從事商用密碼產品生產、銷售（檢測工具除外），信息系統或者商用密碼保障系統集成、運營，電子認證服務，電子政務電子認證服務，或者其他可能影響商用密碼檢測公平公正性的活動的；

（四）同時聘用正在其他商用密碼檢測機構從業的人員或者存在其他惡意競爭、擾亂市場秩序情形的；

（五）以單獨出租設備設施或者委派人員等方式承擔業務，或者分包、轉包所承擔業務的；

（六）推薦或者限定被檢測單位購買使用特定主體生產或者提供的商用密碼產品或者服務的；

（七）違反法律、行政法規和商用密碼檢測技術規範、規則要求開展檢測活動或者存在其他影響檢測獨立、公正、科學、誠信的行為的；

（八）出具的檢測數據、結果、報告虛假或者失實的；

（九）未按照要求如實報送年度工作報告以及相關統計數據的；

（十）泄露在工作中知悉的商業秘密、個人隱私的。

第二十六條　商用密碼檢測機構違反本辦法規定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正後仍不符合要求的，處1萬元以上10萬元以下罰款：

（一）未按照要求申請辦理變更手續的；

（二）未按照要求開展安全保密教育和業務培訓的；

（三）使用不符合國家密碼管理要求的設備設施的；

（四）出具未經授權簽字人簽字確認的檢測報告，授權簽字人超出其業務能力範圍簽發檢測報告，或者未在檢測報告上加蓋機構公章或者專用章的；

（五）未按照要求保存檢測原始記錄和檢測報告，或者未按照要求妥善管理檢測樣品和相關數據信息的。

第二十七條　縣級以上地方各級密碼管理部門應當依法公開監督檢查結果，將商用密碼檢測機構受到的行政處罰等信息納入國家企業信用信息公示系統等平台，並定期將年度商用密碼檢測機構監督檢查結果等信息逐級報至國家密碼管理局。

第二十八條　從事商用密碼檢測機構監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的，依法給予處分。

第二十九條　本辦法自2023年11月1日起施行。