国家密码管理局规章 商用密码检测机构管理办法 （2023 年 9 月 26 日国家密码管理局令第 2 号公布 自 2023 年 11 月 1 日起施行） 第一条 为了加强商用密码检测机构管理，规范商用密码检 测活动，根据《中华人民共和国密码法》、 《商用密码管理条例》 等有关法律法规，制定本办法。 第二条 商用密码检测机构的资质认定和监督管理适用本 办法。 第三条 从事商用密码产品检测、网络与信息系统商用密码 应用安全性评估等商用密码检测活动，向社会出具具有证明作用 的数据、结果的机构，应当经国家密码管理局认定，依法取得商 用密码检测机构资质。 第四条 国家密码管理局负责全国商用密码检测机构的资 质认定和监督管理。县级以上地方各级密码管理部门负责本行政 区域内商用密码检测机构的监督管理。 第五条 商用密码检测机构应当在资质认定业务范围内从 - 1 国家密码管理局发布 国家密码管理局规章 事商用密码检测活动。国家密码管理局制定并公布商用密码检测 机构资质认定基本规范和商用密码检测机构资质认定业务范围。 第六条 取得商用密码检测机构资质，应当符合下列条件： （一）具有法人资格； （二）具有与从事商用密码检测活动相适应的资金； （三）成立 2 年以上，从事网络安全检测评估领域相关工作 1 年以上，无重大违法或者不良信用记录； （四）具有与从事商用密码检测活动相适应的场所； （五）具有与从事商用密码检测活动相适应的设备设施； （六）具有保证商用密码检测活动独立、公正、科学、诚信 的管理体系； （七）具有与从事商用密码检测活动相适应的专业人员； （八）具有与从事商用密码检测活动相适应的专业能力。 外商投资企业法人申请商用密码检测机构资质，除符合上述 条件外，还应当符合我国外商投资有关法律法规的规定。 第七条 申请商用密码检测机构资质，应当向国家密码管理 局提出书面申请，向国家密码管理局委托进行受理的省、自治区、 直辖市密码管理部门提交《商用密码检测机构资质申请表》及以 下材料，并对其真实性负责： - 2 国家密码管理局发布 国家密码管理局规章 （一）法人资格证书； （二）资本结构和股权情况； （三）无重大违法或者不良信用记录、不从事可能影响商用 密码检测公平公正性活动的承诺； （四）工作场所等固定资产产权证书或者租赁合同； （五）工作环境和设备设施配置情况； （六）项目管理、质量管理、人员管理、档案管理、安全保 密管理等管理体系建立情况； （七）法定代表人、最高管理者、技术负责人、质量负责人、 授权签字人以及专业人员情况； （八）申请人认为需要补充的其他材料。 受国家密码管理局委托进行受理的省、自治区、直辖市密码 管理部门自收到申请材料之日起 5 个工作日内，对申请材料进行 形式审查，根据下列情况分别作出处理：申请材料内容齐全、符 合规定形式的，应当受理行政许可申请并出具受理通知书；申请 材料内容不齐全或者不符合规定形式的，应当当场或者在 5 个工 作日内一次性告知申请人需要补正的全部材料；不予受理的，应 当出具不予受理通知书并说明理由。 第八条 国家密码管理局应当自行政许可申请受理之日起 - 3 国家密码管理局发布 国家密码管理局规章 20 个工作日内，依据商用密码检测机构资质认定基本规范的要 求，对申请进行审查，并依法作出是否准予许可的书面决定。 需要对申请人进行技术评审的，技术评审所需时间不计算在 本条规定的期限内。国家密码管理局应当将所需时间书面告知申 请人。 第九条 国家密码管理局根据技术评审需要和专业要求，可 以委托专业技术评价机构实施技术评审。 技术评审包括专业人员能力考核，场所、设备设施、管理体 系建设实地查勘，检测能力考核等。 专业技术评价机构应当严格按照商用密码检测机构资质认 定基本规范开展技术评审活动，对技术评审结论的真实性、符合 性负责，并承担相应法律责任。国家密码管理局应当对技术评审 活动进行监督，建立责任追究机制。 第十条 申请人有下列情形之一的，国家密码管理局应当终 止审查： （一）隐瞒有关情况或者提供虚假材料的； （二）采取贿赂、请托等不正当手段，影响审查工作公平公 正进行的； （三）无正当理由拒绝接受审查的； - 4 国家密码管理局发布 国家密码管理局规章 （四）违反商用密码检测机构从业要求的。 第十一条 准予许可的，国家密码管理局向申请人颁发《商 用密码检测机构资质证书》，并公布取得资质证书的商用密码检 测机构名录。 有下列情形之一的，国家密码管理局应当出具不予行政许可 决定书，说明理由并告知申请人相关权利： （一）终止审查的； （二）审查不合格的； （三）法律法规规定的不予许可的其他情形。 第十二条 《商用密码检测机构资质证书》有效期 5 年，内 容包括：获证机构名称、统一社会信用代码、注册地址、证书编 号、有效期限、资质认定业务范围、发证机关和发证日期。 《商用密码检测机构资质证书》有效期届满需要延续的，应 当在有效期届满 3 个月前向国家密码管理局提出书面申请。国家 密码管理局根据申请人的实际情况，采取书面或者现场形式开展 审查，在《商用密码检测机构资质证书》有效期届满前作出是否 准予延续的决定。 禁止转让、出租、出借、伪造、变造、冒用、租借《商用密 码检测机构资质证书》。 - 5 国家密码管理局发布 国家密码管理局规章 第十三条 有下列情形之一的，商用密码检测机构应当自变 更之日起 30 日内向国家密码管理局申请办理变更手续： （一）机构名称、注册地址、法人性质发生变更的； （二）法定代表人、最高管理者、技术负责人、质量负责人、 授权签字人发生变更的； （三）资质认定业务范围发生变更的； （四）依法需要办理变更的其他事项。 商用密码检测机构发生变更的事项影响其符合资质认定条 件和要求的，国家密码管理局根据申请人的实际情况，采取书面 或者现场形式开展审查。需要进行技术评审的，依照本办法第九 条规定对其开展技术评审。 第十四条 商用密码检测机构有下列情形之一的，国家密码 管理局应当依法注销其商用密码检测机构资质： （一）《商用密码检测机构资质证书》有效期届满，未申请 延续或者依法不予延续批准的； （二）申请注销商用密码检测机构资质的； （三）被依法撤销、吊销商用密码检测机构资质的； （四）依法终止的； （五）因法人性质变更、改制、分立或者合并等原因发生变 - 6 国家密码管理局发布 国家密码管理局规章 化，或者发生其他影响其符合资质认定条件和要求的变更事项， 经审查发现不符合资质认定条件和要求的； （六）资质认定业务范围被全部取消的； （七）法律法规规定的应当注销商用密码检测机构资质的其 他情形。 第十五条 商用密码检测机构及相关从业人员应当按照法 律、行政法规和商用密码检测技术规范、规则，在批准范围内独 立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、 结果负责，尊重知识产权，恪守职业道德，承担社会责任，保守 在工作中知悉的国家秘密、商业秘密和个人隐私。 第十六条 商用密码检测机构应当保证其基本条件和技术 能力能够持续符合资质认定条件和要求，并确保管理体系有效运 行。 第十七条 商用密码检测机构应当遵守以下从业要求： （一）加强对本机构人员的监督管理，经常性组织开展安全 保密教育和业务培训；本机构从事检测活动的专业人员每年接受 商用密码教育培训的时长不得少于 40 学时，相关情况应当记录 留存； （二）本机构及关联方不得从事商用密码产品生产、销售（检 - 7 国家密码管理局发布 国家密码管理局规章 测工具除外），信息系统或者商用密码保障系统集成、运营，电 子认证服务，电子政务电子认证服务，或者其他可能影响商用密 码检测公平公正性的活动； （三）不得同时聘用正在其他商用密码检测机构从业的人 员，或者存在其他恶意竞争、扰乱市场秩序的情形； （四）不得以单独出租设备设施或者委派人员等方式承担业 务，所承担的业务不得分包、转包； （五）不得以任何方式推荐或者限定被检测单位购买使用特 定主体生产或者提供的商用密码产品或者服务； （六）独立于出具的检测数据、结果、报告所涉及的利益相 关各方，不受任何可能干扰技术判断因素的影响； （七）使用符合国家密码管理要求的设备设施； （八）法律法规和国家有关规定提出的其他从业要求。 第十八条 商用密码检测机构出具的检测报告，应当符合相 关国家标准、行业标准和有关规定的要求，保证内容真实、客观、 准确、完整。商用密码检测机构对其出具的检测报告负责，并承 担相应的法律责任。 商用密码检测机构应当指定授权签字人在其业务能力范围 内签字确认本机构出具的检测报告，并加盖机构公章或者专用 - 8 国家密码管理局发布 国家密码管理局规章 章。授权签字人应当系统掌握商用密码管理政策和专业知识，具 备密码或者网络安全领域高级技术职称或者同等专业水平。 第十九条 商用密码检测机构应当对检测原始记录和检测 报告归档留存，保证其具有可追溯性。检测原始记录和检测报告 的保存期限不得少于 6 年。 从事商用密码产品检测的商用密码检测机构应当按照相关 标准规范的要求，对检测样品和相关数据信息进行妥善管理。商 用密码检测机构资质被注销的，应当对检测样品和相关数据信息 进行妥善处理。 第二十条 商用密码检测机构应当于每年 1 月 15 日前通过 所在地省、自治区、直辖市密码管理部门向国家密码管理局报送 上一年度工作报告以及相关统计数据，包括持续符合资质认定条 件和要求、遵守从业规范、开展检测活动、实施标准等情况。 第二十一条 商用密码检测机构不得有以下出具虚假或者 失实检测数据、结果、报告的行为： （一）未经检测，直接出具检测数据、结果、报告的； （二）篡改、编造原始数据、记录，出具检测数据、结果、 报告的； （三）伪造检测报告和原始记录签名，或者非授权签字人签 - 9 国家密码管理局发布 国家密码管理局规章 发检测报告的； （四）漏检关键项目、干扰检测过程或者改动关键项目的检 测方法，造成检测数据、结果、报告失实的； （五）其他出具虚假或者失实检测数据、结果、报告的行为。 第二十二条 密码管理部门对商用密码检测机构依法开展 监督检查，可以行使下列职权： （一）进入检测活动场所实施现场检查； （二）向商用密码检测机构、委托人等有关单位及人员调查、 了解有关情况或者验证相关检测活动； （三）查阅、复制有关合同、票据、账簿以及检测活动中形 成的检测数据、结果、报告等有关材料。 国家密码管理局根据工作需要，可以行使下列职权： （一）组织商用密码检测机构检测能力验证； （二）对商用密码检测机构出具的检测数据、结果、报告等 有关材料进行抽样检查。 密码管理部门和有关部门及其工作人员不