炼石图解《商用密码检测机构管理办法》V1.0

SM 图解国家密码管理局 炼石 CipherGateway n《商用密码检测机构管理办法》 炼石网络2023年11月1日起施行 加强密评机构管理规范商用密码检测活动 制定目的 国家密码管理局 WWW.SCA.GOV.CN 热门控：商用密码电子认证电子签名 颠机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>信息公开>政第法规>部门规章 商用密码检测机构管理办法 2023年10月7日，国家密码管理局发 (国家密码管理局令第2号)布商用密码检测机构管理办法（国 发布日期：2023-10-07来源 [字体:大中小曼打印家密码管理局令第2号），自2023年 国家密码管理局令 第2号 11月1日起施行，旨在加强商用密码 《商用密码检测机构管理办法》已经2023年9月11日国家密码管理局局务会议审议通过，现检测机构管理，规范商用密码检测 予公布，自2023年11月1日起施行。 局长刘东方 2023年9月26日 活动。 商用密码检测机构管理办法 第一条为了加强商用密码检测机构管理，规范商用密码检测活动，根据《中华人民共和国密码 法》、《商用密码管理条例》等有关法律法规，制定本办法。 办法制定是贯彻落实党中央、国务院关于商密管理决策部署的必然要求 炼石 CipherGateway 《商用密码检测机构管理办法》制定 必然要求重要举措迫切需求 管理的迫切需要 是贯彻落实党中央、国务是深化行政审批制度改革、是规范商用密码检测机构院关于商用密码管理决策优化营商环境的重要举措 部署的必然要求 2019年10月，《中华人民共和国密码法》正式发布， 提出了“商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证”的要求。 新修订的《条例》第十三条规定：“从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质。 近年来，党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署。 为严格落实行政审批制度改革要求，有必要制定《办法》，优化审批流程，规范审批条件，为保护市场主体权益，净化市场环境，优化政务服务，规范监管执法提供法治保障 和政策支持。 随着商用密码产业的持续发展和应用需求的不断提升，商用密码检测需求显著增加，急需出台专门规章进一步规范商用密码检测机构管理工作。 《办法》根据商用密码检测机构管理现实需要，对检测机构资质认定、监督管理等提出明确要求，对于规范检测机构市场准入及丛业行为、促进商用密码检测行业健康发展 为有效贯彻落实上位法规定，按照商用密码依法有重要意义。 管理要求，有必要制定《办法》，细化商用密码 检测机构管理措施。 《商用密码检测机构管理办法》制定总体思路 炼石 CipherGateway 《商用密码检测机构管理办法》制定 坚持依法管理坚持公平公正坚持保障安全和创新发展相统： 严格依据《密码法》、《条例》及按照既满足商用密码检测安全需要 相关法律法规中商用密码检测相关 系统设计商用密码检测机构管理体 细化明确商用密码检测活动要 又鼓励商用密码检测机构创新发展， 管理要求，制定商用密码检测机构做大做强的导向，科学设置检测机 求，严格规范检测机构丛业行为。 管理各项措施。构准入条件和监督管理措施。 《商用密码检测机构管理办法》主要内容 《商用密码检测机构管理办法》共29条 1.总体要求2.资质认定条件和程序 1.规定适用范围，包括商用密码产品检测机构和商用密码应用1．明确商用密码检测机构资质认定的规范依据。安全性评估机构的资质认定和监督管理。2．规定资质认定的条件要求。 2.明确监管体制，国家密码管理局负责全国商用密码检测机构3．规定资质认定的程序，包括申请、受理、审查、决定、 的资质认定和监督管理。县级以上地方各级密码管理部门负颁证等环节。 责本行政区域内商用密码检测机构的监督管理。4.．规定资质变更、延续、注销等相关要求。 3.从业规范4.监督检查及法律责任 炼石 CipherGateway 1．明确了商用密码检测机构及相关从业人员应遵守的行为规范。 2．针对检测报告、数据和样品管理、信息报送、检测行为等方 面对检测活动提出具体要求。 1．规定了密码管理部门的监督检查职权及结果处理， 2．明确了商用密码检测机构的违法情形及法律责任。 3．规定了商用密码检测机构监督管理信息公示和管理人员的责 任义务。 5.其他事项 规定了本办法的施行时间。 炼石整理：《商用密码检测机构管理办法》总览 炼石 CipherGateway 商用密码检测机构管理办法 立法目的二、资质认定条件和程序三、从业规范 1.立法目的2.适用范围 6.认定条件7-11.认定程序 15.检测基本要求16.符合资质认定 17.检测机构从业要求18.检测报告要求 3.检测机构认定4.监督管理12.资质证书13.资质变更 19.检测信息管理要求 20.工作报告及数据报 送 5.检测机构义务14.资质注销21.禁止虚假检测 四、监督检查五、法律责任六、施行时间 24.不正当手段法25.26.违法情形及法 22.监督检查职权范围律责任律责任 23.监督检查结果处理 27.监督管理信息28.监管人员违规 公示处罚 29.施行日期 办法制定将加强机构管理以及规范商密检测活动 炼石 CipherGateway 《办法》的制定目的和适用范围 1.立法目的 2.资质认定条件和程 序 3.从业规范 制定目的适用范围 适用主体：商用密码检测机构 一加强二规范 加强商用密码检测规范商用密码检测资质认定监督管理 机构管理活动 检测机构的认定、管理和义务 4.监督检查 机构认定机构管理机构义务 5.法律责任 6.施行时间 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。 国家密码管理局负责全国商用密码检测机 构的资质认定和监督管理。 县级以上地方各级密码管理部门负责本行 政区域内商用密码检测机构的监督管理。 国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测机构资质认定业务范围。 商用密码检测机构应当在资质认定 业务范围内从事商用密码检测活动。 资质甲请需在人力、物力、技术、管理等维度满足要求 炼石 CipherGateway 1.立法目的 取得商用密码检测机构资质，应当符合下列条件 (一)具有法人资格 序 2.资质认定条件和程(二)具有与从事商用密码检测活动相适应的资金 (三)成立2年以上，从事网络安全检测评估领域相关工作1年以上，无重大违法或者不良信用记录 (四) 3.从业规范具有与从事商用密码检测活动相适应的场所 (五)具有与从事商用密码检测活动相适应的设备设施 4.监督检查 5.法律责任 ()具有保证商用密码检测活动独立、公正、科学、诚信的管理体系 (七)具有与从事商用密码检测活动相适应的专业人员 (八)具有与从事商用密码检测活动相适应的专业能力 特殊情况：外商投资企业法人申请商用密码检测机构资质，除符合上述条件外，还应当符合我国外商投资有关法律 6.施行时间法规的规定 申请商用密码检测机构资质应当向国家密码管理局提出书面申请 炼石 CipherGateway 1.立法目的 资质申请申请审查技术评审审查结果 开始资 应当自行政许可申请受理之日起20个工 需要对申请人进行技术评审的，技术 质申请 作日内，依据商用密码检测机构资质认 定基本规范的要求，对申请进行审查， 并依法作出是否准予许可的书面决定。 评审所需时间不计算在规定的期限内。国家密码管理局应当将所需时间书面 告知申请人。 2.资质认定条件和程 序申请主体 2．应当当场或者在5个工作日内一次性告知申请人需要补正的全部材料 提出书 提交《商用密码检测机构资质 注：具体证明材料 面申请 申请表》及相关材料，并对其详见下页幻灯片 3.从业规范真实性负责 国家密码管理局 3.应当出具不予受理通知书并说明理由 应当受理行政许可申请并出具受理通知书 1.申请材3.不予受理2.电请材料内 4.监督检查 委托 料内容齐容不齐全或者 全、符合不符合规定形 规定形式式的 的 5.法律责任省、自治区、直辖 进行形式审查三种 市密码管理部门收到申请材料之日审查情况 起5个工作日内 6.施行时间 资质申请时需要提交的相关材料列表 炼石 CipherGateway 资质申请申请审查技术评审审查结果 1.立法目的资质申请时需要提 交的相关材料列表 2.资质认定条件和程 相关材料 序(一)法人资格证书 (二)资本结构和股权情况 3.从业规范 4.监督检查 5.法律责任 (三)无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公正性活动的承诺 (四)工作场所等固定资产产权证书或者租赁合同 (五)工作环境和设备设施配置情况 (六)项目管理、质量管理、人员管理、档案管理、安全保密管理等管理体系建立情况 (七)法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业人员情况 6.施行时间 (八) 申请人认为需要补充的其他材料 国家密码管理局可以委托专业技术评价机构实施技术评审 炼石 CipherGateway 1.立法目的 2.资质认定条件和程 资质申请申请审查技术评审审查结果 国家密码管理局最终审查结果 评审根据技术评审需要和专国家密码管理局向申请人颁发 序流程 业要求 可以委托专业技术评价机构实施技 审查 结果准予许可 《商用密码检测机构资质证书》，并公布取得资质证书的 商用密码检测机构名录 3.从业规范 术评审国家密码管理局应当出不予 行政许可决定书，说明理由并 评审 技术评审包括专业人员能力考核，场 所、设备设施、管理体系建设实地查 不予许可告知申请人相关权利 不予许可的三种情形 4.监督检查 内容勘，检测能力考核等 终止审查审查丕合格 法律法规规定的不予许可的其他情形 5.法律责任 专业技术评价机构应当严格按照商用密码检测 评审机构资质认定基本规范开展技术评审活动，对 国家密码管理局应当终止审查的三种情形 (一)隐瞒有关情况或者提供虚假材料的 要求技术评审结论的真实性、符合性负责，并承担(二)采取赂、请托等不正当手段，影响审查工作公平公正进行的 6.施行时间 相应法律责任。国家密码管理局应当对技术(三) 无正当理由拒绝接受审查的 评审活动进行监督，建立责任追究机制(四)违反商用密码检测机构从业要求的 有效期届满需要延续的应当在有效期届满3个月前提出书面申请 炼石 CipherGateway 证书内容证书有效期禁止情形 1.立法目的有效期5年，有效 期满需要重新申请， 证书内容列表具体流程如下：证书禁止情形 2.资质认定序条件和程 3.从业规范 (一)(二) (三) 获证机构名称统一社会信用代 码 注册地址 申请人 有效期届满需要延续的， 前向国家密码管理局提出书面申请 国家密码管理局 (一)(二)(三) 转让 出租 出借 4.监督检查 5.法律责任 (四)(五) (六) (七) 证书编号有效期限 资质认定业务范 围 发证机关 根据申请人的实际情况， 开展审查 开展审查 在《商用密码检测机构前作出是否准予延续的 (四) (五)(六)(七) 伪造变造冒用 租借 6.施行时间 (八) 发证日期 应当在有效期届满3个月 采取书面或者现场形式 资质证书》有效期届满 决定 商用密码检测机构资质变更及注销的具体情况表 炼石 CipherGateway 1.立法目的 资质变更资质注销 有下列情形之一的，商用密码检测机构应当自变更之日起30日 内向国家密码管理局申请办理变更手续： 商用密码检测机构有下列情形之一的，国家密码管理局应当依 法注销其商用密码检测机构资质： 序 2.资质认