商用密码检测机构管理办法（2023年）

第一条 为了加强商用密码检测机构管理，规范商用密码检测活动，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。 第二条 商用密码检测机构的资质认定和监督管理适用本办法。 第三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定，依法取得商用密… 第四条 国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。 第五条 商用密码检测机构应当在资质认定业务范围内从事商用密码检测活动。国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测机构资质认定业务范围。 第六条 取得商用密码检测机构资质，应当符合下列条件： 第七条 申请商用密码检测机构资质，应当向国家密码管理局提出书面申请，向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交《商用密码检测机构资质申请表》及以下… 第八条 国家密码管理局应当自行政许可申请受理之日起20个工作日内，依据商用密码检测机构资质认定基本规范的要求，对申请进行审查，并依法作出是否准予许可的书面决定。 第九条 国家密码管理局根据技术评审需要和专业要求，可以委托专业技术评价机构实施技术评审。 第十条 申请人有下列情形之一的，国家密码管理局应当终止审查： 第十一条 准予许可的，国家密码管理局向申请人颁发《商用密码检测机构资质证书》，并公布取得资质证书的商用密码检测机构名录。 第十二条 《商用密码检测机构资质证书》有效期5年，内容包括：获证机构名称、统一社会信用代码、注册地址、证书编号、有效期限、资质认定业务范围、发证机关和发证日期。 第十三条 有下列情形之一的，商用密码检测机构应当自变更之日起30日内向国家密码管理局申请办理变更手续： 第十四条 商用密码检测机构有下列情形之一的，国家密码管理局应当依法注销其商用密码检测机构资质： 第十五条 商用密码检测机构及相关从业人员应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负… 第十六条 商用密码检测机构应当保证其基本条件和技术能力能够持续符合资质认定条件和要求，并确保管理体系有效运行。 第十七条 商用密码检测机构应当遵守以下从业要求： 第十八条 商用密码检测机构出具的检测报告，应当符合相关国家标准、行业标准和有关规定的要求，保证内容真实、客观、准确、完整。商用密码检测机构对其出具的检测报告负责，并承担相… 第十九条 商用密码检测机构应当对检测原始记录和检测报告归档留存，保证其具有可追溯性。检测原始记录和检测报告的保存期限不得少于6年。 第二十条 商用密码检测机构应当于每年1月15日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据，包括持续符合资质认定条件和要… 第二十一条 商用密码检测机构不得有以下出具虚假或者失实检测数据、结果、报告的行为： 第二十二条 密码管理部门对商用密码检测机构依法开展监督检查，可以行使下列职权： 第二十三条 商用密码检测机构应当积极配合密码管理部门的监督检查，按照要求参加检测能力验证和抽样检查，并如实提供相关材料和信息。检测能力验证或者抽样检查结果不合格的，应当开展… 第二十四条 以欺骗、贿赂等不正当手段取得商用密码检测机构资质的，国家密码管理局应当依法撤销商用密码检测机构资质。该机构在3年内不得再次申请商用密码检测机构资质。 第二十五条 商用密码检测机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得… 第二十六条 商用密码检测机构违反本办法规定，有下列情形之一的，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款： 第二十七条 县级以上地方各级密码管理部门应当依法公开监督检查结果，将商用密码检测机构受到的行政处罚等信息纳入国家企业信用信息公示系统等平台，并定期将年度商用密码检测机构监督… 第二十八条 从事商用密码检测机构监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。 第二十九条 本办法自2023年11月1日起施行。