商用密码应用安全性评估管理办法（2023年） 第十三条

第十三条 自行开展商用密码应用安全性评估的网络与信息系统，其运营者应当符合以下要求：

具有与开展商用密码应用安全性评估活动相适应的设备设施；

具有与开展商用密码应用安全性评估活动相适应的项目管理、质量管理、人员管理、档案管理、安全保密管理等规章制度；

具有与开展商用密码应用安全性评估活动相适应的专业人员；

具有与开展商用密码应用安全性评估活动相适应的专业能力。

自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告，应当符合相关国家标准、行业标准和有关规定的要求，由本单位密码或者网络安全负责人签字确认并加盖本单位公章。

运营者应当对商用密码应用安全性评估原始记录和商用密码应用安全性评估报告归档留存，保证其具有可追溯性。商用密码应用安全性评估原始记录和商用密码应用安全性评估报告的保存期限不得少于6年。