国家密码管理局令(第2号) 商用密码检测机构管理办法(2023年33号)
国家密码管理局令
第 2 号
《商用密码检测机构管理办法》已经2023年9月11日国家密码管理局局务会议审议通过,现予公布,自2023年11月1日起施行。
局 长 刘东方
2023年9月26日
商用密码检测机构管理办法
第一条 为了加强商用密码检测机构管理,规范商用密码检测活动,根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规,制定本办法。
第二条 商用密码检测机构的资质认定和监督管理适用本办法。
第三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
第四条 国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。
第五条 商用密码检测机构应当在资质认定业务范围内从事商用密码检测活动。国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测机构资质认定业务范围。
第六条 取得商用密码检测机构资质,应当符合下列条件:
(一)具有法人资格;
(二)具有与从事商用密码检测活动相适应的资金;
(三)成立2年以上,从事网络安全检测评估领域相关工作1年以上,无重大违法或者不良信用记录;
(四)具有与从事商用密码检测活动相适应的场所;
(五)具有与从事商用密码检测活动相适应的设备设施;
(六)具有保证商用密码检测活动独立、公正、科学、诚信的管理体系;
(七)具有与从事商用密码检测活动相适应的专业人员;
(八)具有与从事商用密码检测活动相适应的专业能力。
外商投资企业法人申请商用密码检测机构资质,除符合上述条件外,还应当符合我国外商投资有关法律法规的规定。
第七条 申请商用密码检测机构资质,应当向国家密码管理局提出书面申请,向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交《商用密码检测机构资质申请表》及以下材料,并对其真实性负责:
(一)法人资格证书;
(二)资本结构和股权情况;
(三)无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公正性活动的承诺;
(四)工作场所等固定资产产权证书或者租赁合同;
(五)工作环境和设备设施配置情况;
(六)项目管理、质量管理、人员管理、档案管理、安全保密管理等管理体系建立情况;
(七)法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业人员情况;
(八)申请人认为需要补充的其他材料。
受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料内容齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料内容不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次性告知申请人需要补正的全部材料;不予受理的,应当出具不予受理通知书并说明理由。
第八条 国家密码管理局应当自行政许可申请受理之日起20个工作日内,依据商用密码检测机构资质认定基本规范的要求,对申请进行审查,并依法作出是否准予许可的书面决定。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。
第九条 国家密码管理局根据技术评审需要和专业要求,可以委托专业技术评价机构实施技术评审。
技术评审包括专业人员能力考核,场所、设备设施、管理体系建设实地查勘,检测能力考核等。
专业技术评价机构应当严格按照商用密码检测机构资质认定基本规范开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。
第十条 申请人有下列情形之一的,国家密码管理局应当终止审查:
(一)隐瞒有关情况或者提供虚假材料的;
(二)采取贿赂、请托等不正当手段,影响审查工作公平公正进行的;
(三)无正当理由拒绝接受审查的;
(四)违反商用密码检测机构从业要求的。
第十一条 准予许可的,国家密码管理局向申请人颁发《商用密码检测机构资质证书》,并公布取得资质证书的商用密码检测机构名录。
有下列情形之一的,国家密码管理局应当出具不予行政许可决定书,说明理由并告知申请人相关权利:
(一)终止审查的;
(二)审查不合格的;
(三)法律法规规定的不予许可的其他情形。
第十二条 《商用密码检测机构资质证书》有效期5年,内容包括:获证机构名称、统一社会信用代码、注册地址、证书编号、有效期限、资质认定业务范围、发证机关和发证日期。
《商用密码检测机构资质证书》有效期届满需要延续的,应当在有效期届满3个月前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查,在《商用密码检测机构资质证书》有效期届满前作出是否准予延续的决定。
禁止转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质证书》。
第十三条 有下列情形之一的,商用密码检测机构应当自变更之日起30日内向国家密码管理局申请办理变更手续:
(一)机构名称、注册地址、法人性质发生变更的;
(二)法定代表人、最高管理者、技术负责人、质量负责人、授权签字人发生变更的;
(三)资质认定业务范围发生变更的;
(四)依法需要办理变更的其他事项。
商用密码检测机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第九条规定对其开展技术评审。
第十四条 商用密码检测机构有下列情形之一的,国家密码管理局应当依法注销其商用密码检测机构资质:
(一)《商用密码检测机构资质证书》有效期届满,未申请延续或者依法不予延续批准的;
(二)申请注销商用密码检测机构资质的;
(三)被依法撤销、吊销商用密码检测机构资质的;
(四)依法终止的;
(五)因法人性质变更、改制、分立或者合并等原因发生变化,或者发生其他影响其符合资质认定条件和要求的变更事项,经审查发现不符合资质认定条件和要求的;
(六)资质认定业务范围被全部取消的;
(七)法律法规规定的应当注销商用密码检测机构资质的其他情形。
第十五条 商用密码检测机构及相关从业人员应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,尊重知识产权,恪守职业道德,承担社会责任,保守在工作中知悉的国家秘密、商业秘密和个人隐私。
第十六条 商用密码检测机构应当保证其基本条件和技术能力能够持续符合资质认定条件和要求,并确保管理体系有效运行。
第十七条 商用密码检测机构应当遵守以下从业要求:
(一)加强对本机构人员的监督管理,经常性组织开展安全保密教育和业务培训;本机构从事检测活动的专业人员每年接受商用密码教育培训的时长不得少于40学时,相关情况应当记录留存;
(二)本机构及关联方不得从事商用密码产品生产、销售(检测工具除外),信息系统或者商用密码保障系统集成、运营,电子认证服务,电子政务电子认证服务,或者其他可能影响商用密码检测公平公正性的活动;
(三)不得同时聘用正在其他商用密码检测机构从业的人员,或者存在其他恶意竞争、扰乱市场秩序的情形;
(四)不得以单独出租设备设施或者委派人员等方式承担业务,所承担的业务不得分包、转包;
(五)不得以任何方式推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务;
(六)独立于出具的检测数据、结果、报告所涉及的利益相关各方,不受任何可能干扰技术判断因素的影响;
(七)使用符合国家密码管理要求的设备设施;
(八)法律法规和国家有关规定提出的其他从业要求。
第十八条 商用密码检测机构出具的检测报告,应当符合相关国家标准、行业标准和有关规定的要求,保证内容真实、客观、准确、完整。商用密码检测机构对其出具的检测报告负责,并承担相应的法律责任。
商用密码检测机构应当指定授权签字人在其业务能力范围内签字确认本机构出具的检测报告,并加盖机构公章或者专用章。授权签字人应当系统掌握商用密码管理政策和专业知识,具备密码或者网络安全领域高级技术职称或者同等专业水平。
第十九条 商用密码检测机构应当对检测原始记录和检测报告归档留存,保证其具有可追溯性。检测原始记录和检测报告的保存期限不得少于6年。
从事商用密码产品检测的商用密码检测机构应当按照相关标准规范的要求,对检测样品和相关数据信息进行妥善管理。商用密码检测机构资质被注销的,应当对检测样品和相关数据信息进行妥善处理。
第二十条 商用密码检测机构应当于每年1月15日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据,包括持续符合资质认定条件和要求、遵守从业规范、开展检测活动、实施标准等情况。
第二十一条 商用密码检测机构不得有以下出具虚假或者失实检测数据、结果、报告的行为:
(一)未经检测,直接出具检测数据、结果、报告的;
(二)篡改、编造原始数据、记录,出具检测数据、结果、报告的;
(三)伪造检测报告和原始记录签名,或者非授权签字人签发检测报告的;
(四)漏检关键项目、干扰检测过程或者改动关键项目的检测方法,造成检测数据、结果、报告失实的;
(五)其他出具虚假或者失实检测数据、结果、报告的行为。
第二十二条 密码管理部门对商用密码检测机构依法开展监督检查,可以行使下列职权:
(一)进入检测活动场所实施现场检查;
(二)向商用密码检测机构、委托人等有关单位及人员调查、了解有关情况或者验证相关检测活动;
(三)查阅、复制有关合同、票据、账簿以及检测活动中形成的检测数据、结果、报告等有关材料。
国家密码管理局根据工作需要,可以行使下列职权:
(一)组织商用密码检测机构检测能力验证;
(二)对商用密码检测机构出具的检测数据、结果、报告等有关材料进行抽样检查。
密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
第二十三条 商用密码检测机构应当积极配合密码管理部门的监督检查,按照要求参加检测能力验证和抽样检查,并如实提供相关材料和信息。检测能力验证或者抽样检查结果不合格的,应当开展为期不少于6个月的整改,整改期间不得开展相应业务范围的商用密码检测活动。商用密码检测机构整改结束后,应当经国家密码管理局组织验收合格,方可恢复开展相应业务范围的商用密码检测活动;经整改仍不能满足相应业务范围的资质认定条件和要求的,取消其相应业务范围的资质认定,直至注销其商用密码检测机构资质。
第二十四条 以欺骗、贿赂等不正当手段取得商用密码检测机构资质的,国家密码管理局应当依法撤销商用密码检测机构资质。该机构在3年内不得再次申请商用密码检测机构资质。
申请商用密码检测机构资质时隐瞒有关情况或者提供虚假材料的,国家密码管理局不予受理或者不予许可。该机构在1年内不得再次申请商用密码检测机构资质。
第二十五条 商用密码检测机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,由国家密码管理局吊销其商用密码检测机构资质:
(一)超出批准范围开展商用密码检测的;
(二)转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质证书》的;
(三)本机构及关联方从事商用密码产品生产、销售(检测工具除外),信息系统或者商用密码保障系统集成、运营,电子认证服务,电子政务电子认证服务,或者其他可能影响商用密码检测公平公正性的活动的;
(四)同时聘用正在其他商用密码检测机构从业的人员或者存在其他恶意竞争、扰乱市场秩序情形的;
(五)以单独出租设备设施或者委派人员等方式承担业务,或者分包、转包所承担业务的;
(六)推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务的;
(七)违反法律、行政法规和商用密码检测技术规范、规则要求开展检测活动或者存在其他影响检测独立、公正、科学、诚信的行为的;
(八)出具的检测数据、结果、报告虚假或者失实的;
(九)未按照要求如实报送年度工作报告以及相关统计数据的;
(十)泄露在工作中知悉的商业秘密、个人隐私的。
第二十六条 商用密码检测机构违反本办法规定,有下列情形之一的,由密码管理部门责令改正;逾期未改正或者改正后仍不符合要求的,处1万元以上10万元以下罚款:
(一)未按照要求申请办理变更手续的;
(二)未按照要求开展安全保密教育和业务培训的;
(三)使用不符合国家密码管理要求的设备设施的;
(四)出具未经授权签字人签字确认的检测报告,授权签字人超出其业务能力范围签发检测报告,或者未在检测报告上加盖机构公章或者专用章的;
(五)未按照要求保存检测原始记录和检测报告,或者未按照要求妥善管理检测样品和相关数据信息的。
第二十七条 县级以上地方各级密码管理部门应当依法公开监督检查结果,将商用密码检测机构受到的行政处罚等信息纳入国家企业信用信息公示系统等平台,并定期将年度商用密码检测机构监督检查结果等信息逐级报至国家密码管理局。
第二十八条 从事商用密码检测机构监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
第二十九条 本办法自2023年11月1日起施行。