图解商用密码检测机构管理办法（征求意见稿）

炼石 SMCipherGateway 图解 n商用密码检测机构管理办法 （征求意见稿） 办法制定是贯彻落实党中央、[国务院关干商密管理决策部署的必然要求 《商用密码检测机构管理办法（征求意见稿）》制定 必然要求重要举措迫切需求 炼石 CipherGateway 部署的必然要求 是贯彻落实党中央、国务是深化行政审批制度改革是规范商用密码检测机构院关于商用密码管理决策优化营商环境的重要举措管理的迫切需要 2019年10月，《中华人民共和国密码法》 正式发布，提出了“商用密码检测、认证机构应当依法取得相关资质，并依照法律、行 近年来，党中央、国务院围绕深化行政审批 制度改革、优化营商环境作出了一系列重大 随着商用密码产业的持续发展和应用需求的 不断提升，商用密码检测需求显著增加，急 政法规的规定和商用密码检测认证技术规范、需出台法规规章进一步规范检测机构管理工 规则开展商用密码检测认证”的要求。 最新修订公布的《商用密码管理条例》进- 步明确了商用密码检测机构资质认定相关要 求。 决策部署。 为严格落实行政审批制度改革要求，有必要制定《办法》，优化审批流程，规范审批条 件，为保护市场主体权益，净化市场环境， 作。 《办法》根据商用密码检测机构管理现实需要，对商用密码检测机构资质许可、监督管 理等提出明确要求，对规范机构市场准入及 落实上位法规定，按照商用密码依法管理要 优化政务服务，规范监管执法提供法制保障从业行为、促进商用密码检测活动健康发展 求，有必要制定《办法》，细化商用密码检 测机构管理措施。 和政策支持。 具有重要意义。 办法制定坚持依法管理、客观公正等原则 炼石 CipherGateway 《商用密码检测机构管理办法（征求意见稿）》制定 制定原则 坚持依法管理原则坚持客观公正原则坚持保障安全和创新发展相统一原则 严格依据《密码法》《条例》及相 始终坚持客观公正的原则，设计商 按照既满足商用密码检测安全需要， 关法律法规中商用密码检测相关管又鼓励机构创新发展、做大做强的 理要求，制定商用密码检测机构管 用密码检测机构管理体系，规范商 用密码检测机构检测活动 导向，科学设置机构准入条件和监 理各项措施督管理措施 炼石整理：商用密码检测机构管理办法（征）总览 炼石 CipherGateway 商用密码检测机构管理办法(征求意见稿） 立法目的二、资质认定条件和程序三、从业规范 1.立法目的2.适用范围 6.认定条件7-11.认定程序15.检测活动规范16.检测能力验证 3.检测机构认定4.监督管理12.资质证书13.资质变更 17.检测机构从业要求18.检测报告要求 19.检测信息管理要求 20.工作报告及数据报 送 5.检测机构义务14.资质注销21.禁止虚假检测行为22.禁止不合理限制 四、监督检查五、法律责任六、施行时间 24.不正当手段法 律责任 25.26.违规处罚 23.监督检查29.施行日期 27.监督检查结果28.监管人员违规 公开处罚 办法制定将加强机构管理以及规范商密检测活动 炼石 CipherGateway 1.立法目的 2.资质认定条件和程 《办法》的制定目的和适用范围 制定目的适用范围 适用主体：商用密码检测机构 序一加强二规范 加强商用密码检测规范商用密码检测资质认定监督管理 机构管理活动 3.从业规范 4.监督检查 检测机构的认定、管理和义务 机构认定机构管理机构义务 5.法律责任 6.施行时间 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定，依法 取得商用密码检测机构资质。 国家密码管理局负责全国商用密码检测机 构的资质认定和监督管理。 县级以上地方各级密码管理部门负责本行 政区域内商用密码检测机构的监督管理。 国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测业 务范围目录。 商用密码检测机构应当在资质认定 业务范围内从事商用密码检测活动。 资质申请需在人力、物力、技术、管理等维度满足要求 炼石 CipherGateway 1.立法目的 2.资质认定条件和程 序 电请商用密码检测机构资质应当符合下列条件 (一)具有法人资格 (二)具有与从事商用密码检测活动相适应的资金条件 (三)成立2年以上，从事网络安全检测评估领域相关工作1年以上，无重大违法或者不良信用记录 申请人及其关联方不从事商用密码产品（检测工具类除外）生产、销售以及信息系统或者商用密码 3.从业规范 (四) 保障系统集成、信息系统或者商用密码保障系统运营、电子认证服务、电子政务电子认证服务或者 其他可能影响公平公正性的活动 (五)具有与从事商用密码检测活动相适应的工作环境 4.监督检查(Y)具有与从事商用密码检测活动相适应的商用密码检测设备设施 (七)具有保证商用密码检测活动独立、公正、科学、诚信的管理体系 5.法律责任(八)具有与从事商用密码检测活动相适应的专业技术人员和管理人员 (九)具有与从事商用密码检测活动相适应的专业能力 6.施行时间特殊情况：外商投资法人申请商用密码检测机构资质，除符合上述条件外，还应当符合我国外商投资有关法律法规 的规定 申请商用密码检测机构资质应当向国家密码管理局提出书面申请 炼石 CipherGateway 1.立法目的 2.资质认定条件和程 资质申请申请审查技术评审审查结果 开始资应当自受理申请之日起20个工作日内，需要对申请人进行技术评审的，技术质申请依据商用密码检测机构资质认定基本评审所需时间不计算在规定的期限内规范的要求，对申请进行审查，并依(20个工作日）。国家密码管理局应 法作出是否准予许可的书面决定。当将所需时间书面告知申请人。 序申请主体 2.应当当场或者5个工作日内一次性告知申请人需要补正的全部材料 提出书 提交《商用密码检测机构资质 注：具体证明材料 面申请 申请表》及证明材料，并对其详见下页幻灯片 3.从业规范真实性负责 国家密码管理局 4.监督检查 委托 3.应当以国家密码管理局名义出具不予受理通知书并说明理由， 并于5个工作日内将不予受理通知书送国家密码管理局 1.应当以国家密码管理局名义出具受理通知书，并于5个工作 日内将申请材料送国家密码管理局1.内容齐3.不予受理2.内容不齐全 全、符合或者不符合规 规定形式定形式 的 5.法律责任省、自治区、直辖 进行形式审查三种 市密码管理部门收到申请材料之日审查情况 起5个工作日内 6.施行时间 资质申请时需要提交的证明材料列表 炼石 CipherGateway 资质申请申请审查技术评审审查结果 1.立法目的资质申请时需要提 交的证明材料列表 2.资质认定条件和程 证明材料 序(一)法人资格证书 (二)资本结构和股权情况 3.从业规范 4.监督检查 5.法律责任 (三)无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公正性活动的承诺 (四)工作场所等固定资产产权证书或者租赁合同 (五)工作环境和设备设施配置情况 法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业技术人员 (六)情况 (七)项目管理、质量管理、人员管理、档案管理、安全保密管理等管理体系建立情况 6.施行时间(八)申请人认为需要补充的其他材料 国家密码管理局可以自白行或者委托专业技术评价机构实施技术评审 炼石 CipherGateway 1.立法目的 2.资质认定条件和程 资质申请申请审查技术评审审查结果 国家密码管理局最终审查结果 评审根据技术评审需要和专 序 3.从业规范 流程业要求 可以自行或者委托专业技术评价机构实施技术评审 技术评审包括专业技术人员能力考核， 审查国家密码管理局向申请人颁发 结果准予许可《商用密码检测机构资质证书》 国家密码管理局应当出具不予 行政许可决定书，说明理由并 不予许可告知申请人相关权利 评审工作环境、设备设施、管理体系建设 4.监督检查 内容实地查勘，检测能力验证等 审查不合格终止审查 不予许可的三种情形 法律法规规定的不予许可的其他情形 5.法律责任专业技术评价机构应当严格按照商用密码检测国家密码管理局应当终止审查的三种情形 评审机构资质认定基本规范开展技术评审活动，对(一)隐瞒有关情况或者提供虚假材料的 要求技术评审结论的真实性、符合性负责，并承担 相应法律责任。国家密码管理局应当对技术 (二)采取贿赂、请托等不正当手段，影响审查工作公平公正进行的 6.施行时间评审活动进行监督，建立责任追究机制(三)无正当理由拒绝接受审查的 有效期届满需要延续的应当在届满3个月前提出书面申请 炼石 CipherGateway 证书内容证书有效期禁止情形 1.立法目的有效期5年，有效 期满需要重新申请， 证书内容列表 2.资质认定条件和程申请人 具体流程如下： 证书禁止情形 序(一) 发证机关 有效期届满需要延续的， 应当在届满3个月前向国 (一)转让 3.从业规范 (二) 获证机构名称 家密码管理局提出书面(二)出租 申请 伪造(四) (三)注册地址国家密码管理局 (三)出借 4.监督检查(四) 资质认定业务范围 根据申请人的实际情况，采取书面或者现场形式开展审查 (五)有效期限开展审查 (五)变造 4.法律责任(六)冒用 (六) 证书编号在《商用密码检测机构 资质证书》有效期届满 决定 前作出是否准予延续的(七)租借 6.施行时间 商用密码检测机构资质变更及注销的具体情况表 炼石 CipherGateway 1.立法目的 资质变更资质注销 有下列情形之一的，商用密码检测机构应当向国家密码管理局 商用密码检测机构有下列情形之一的，国家密码管理局应当依 2.资质认定条件和程 申请办理变更手续：法注销其资质： 序资质证书有效期届满，未申请延续或者依法不 (一) 机构名称、注册地址、法人性质发生变更的 (一)予延续批准的 3.从业规范(二)申请注销资质证书的 法定代表人、最高管理者、技术负责人、质量 (二)负责人、授权签字人发生变更的 4.监督检查 (三)资质认定业务范围发生变更的 (三)被依法撤销、吊销资质证书的 (四)依法终止的 5.法律责任(四)依法需要办理变更的其他事项 因法人性质变更、改制、分立或者合并等原因发生变化，或者发生其他影响其符合资质认定 (五)条件和要求的变更事项，经审查发现不符合资 注：商用密码检测机构发生变更的事项影响其符合资质认定条质认定条件和要求的 件和要求的，国家密码管理局根据申请人的实际情况，采取书 6.施行时间面或者现场形式开展审查，需要技术评审的，依照本办法第九(六)法律法规规定的应当注销资质的其他情形 条规定对其开展技术评审 应当参加国家密码管理局定期开展的检测能力验证 炼石 CipherGateway 商用密码检测机构及相关从业人员应当按照法律法规、标准规范等要求开展检测活动，遵循客观独立、科学公正、诚实信 1.立法目的用原则，尊重知识产权，恪守职业道德，承担社会责任，保守在工作中知悉的国家秘密、商业秘密和个人隐私。 检测能力验证机构从业要求检测报告要求工作报告报送 2.资质认定条件和程 序 3.从业规范 目的方式结果 保证商用密码检测机构应当参加国家密码 不合格：检测能力验证结果不合格 4.监督检查 基本条件和技术能力能管理局定期开展的的，应当开展为期不少于6个月的整 够持续符合资质认定条检测能力验证改，整改期间不得开展相应业务范围 件和要求的商用密码检测活动 5.法律责任 6.施行时间 商用密码检测机构 确保管理体系有效运行整改后还不合格：经整改仍不能 满足资质认定条件和要求的，由国家密码管理局取消其相应的资质认定业 务范围直至吊销资质证书。 明确六项商用密码检测机构从业要求 炼石 CipherGateway 1.立法目的 检测能力验证机构从业要求检测报告要求工作报告报送 2.资质认定条件和程 序 3.从业规范 4.监督检查 安全保密教育和业务培训独立于利益相关方承担业务要求 加强对