《《商用密码检测机构管理办法商用密码应用安全性评估管理办法征.docx》由会员分享,可在线阅读,更多相关《《商用密码检测机构管理办法商用密码应用安全性评估管理办法征.docx(23页珍藏版)》请在第一文库网上搜索。
1、商用密码检测机构管理办法(征求意见稿)第一条为了加强商用密码检测机构管理,规范商用密码检测活动,根据中华人民共和国密码法、商用密码管理条例等有关法律法规,制定本办法。第二条商用密码检测机构的资质认定和监督管理适用本办法。第三条从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。第四条国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。第五条商用密码检测机构应当在资质认定业务范围内从事商用密码检
2、测活动。国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测业务范围目录。第六条申请商用密码检测机构资质应当符合下列条件:(一)具有法人资格;(二)具有与从事商用密码检测活动相适应的资金条件;(S)成立2年以上,从事网络安全检测评估领域相关工作1年以上,无重大违法或者不良信用记录;(四)申请人及其关联方不从事商用密码产品(检测工具类除外)生产、销售以及信息系统或者商用密码保障系统集成、信息系统或者商用密码保障系统运营、电子认证服务、电子政务电子认证服务或者其他可能影响公平公正性的活动;(五)具有与从事商用密码检测活动相适应的工作环境;(六)具有与从事商用密码检测活动相适应的商
3、用密码检测设备设施;(七)具有保证商用密码检测活动独立、公正、科学、诚信的管理体系;(A)具有与从事商用密码检测活动相适应的专业技术人员和管理人员;(九)具有与从事商用密码检测活动相适应的专业能力。外商投资法人申请商用密码检测机构资质,除符合上述条件外,还应当符合我国外商投资有关法律法规的规定。第七条申请商用密码检测机构资质,应当向国家密码管理局提出书面申请,向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交商用密码检测机构资质申请表及以下证明材料,并对其真实性负责。(一)法人资格证书;(二)资本结构和股权情况;(S)无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公正
4、性活动的承诺;(四)工作场所等固定资产产权证书或者租赁合同;(五)工作环境和设备设施配置情况;(六)法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业技术人员情况;(七)项目管理、质量管理、人员管理、档案管理、安全保密管理等管理体系建立情况;(A)申请人认为需要补充的其他材料。受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,内容齐全、符合规定形式的,应当以国家密码管理局名义出具受理通知书,并于5个工作日内将申请材料送国家密码管理局;对内容不齐全或者不符合规定形式的,应当当场或者5个工作日内一次性告知申请人需要
5、补正的全部材料;对不予受理的,应当以国家密码管理局名义出具不予受理通知书并说明理由,并于5个工作日内将不予受理通知书送国家密码管理局。第八条国家密码管理局应当自受理申请之日起20个工作日内,依据商用密码检测机构资质认定基本规范的要求,对申请进行审查,并依法作出是否准予许可的书面决定。需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。第九条国家密码管理局根据技术评审需要和专业要求,可以自行或者委托专业技术评价机构实施技术评审。技术评审包括专业技术人员能力考核,工作环境、设备设施、管理体系建设实地查勘,检测能力验证等。专业技术评价机构
6、应当严格按照商用密码检测机构资质认定基本规范开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。第十条申请人有下列情形之一的,国家密码管理局应当终止审查:(一)隐瞒有关情况或者提供虚假材料的;(二)采取贿赂、请托等不正当手段,影响审查工作公平公正进行的;(S)无正当理由拒绝接受审查的。第十一条准予许可的,国家密码管理局向申请人颁发商用密码检测机构资质证书。有下列情形之一的,国家密码管理局应当出具不予行政许可决定书,说明理由并告知申请人相关权利:(一)审查不合格的;(二)终止审查的;(三)法律法规规定的不予许可的其
7、他情形。第十二条商用密码检测机构资质证书内容包括发证机关、获证机构名称和注册地址、资质认定业务范围、有效期限、证书编号,有效期5年。商用密码检测机构资质证书有效期届满需要延续的,应当在届满3个月前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查,在商用密码检测机构资质证书有效期届满前作出是否准予延续的决定。禁止转让、出租、出借、伪造、变造、冒用、租借商用密码检测机构资质证书。第十三条有下列情形之一的,商用密码检测机构应当向国家密码管理局申请办理变更手续:(一)机构名称、注册地址、法人性质发生变更的;(二)法定代表人、最高管理者、技术负责人、质量负责
8、人、授权签字人发生变更的;(S)资质认定业务范围发生变更的;(四)依法需要办理变更的其他事项。商用密码检测机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查,需要技术评审的,依照本办法第九条规定对其开展技术评审。第十四条商用密码检测机构有下列情形之一的,国家密码管理局应当依法注销其资质:(一)资质证书有效期届满,未申请延续或者依法不予延续批准的;(二)申请注销资质证书的;(S)被依法撤销、吊销资质证书的;(四)依法终止的;(五)因法人性质变更、改制、分立或者合并等原因发生变化,或者发生其他影响其符合资质认定条件和要求的变更事项,经
9、审查发现不符合资质认定条件和要求的;(六)法律法规规定的应当注销资质的其他情形。第十五条商用密码检测机构及相关从业人员应当按照法律法规、标准规范等要求开展检测活动,遵循客观独立、科学公正、诚实信用原则,尊重知识产权,恪守职业道德,承担社会责任,保守在工作中知悉的国家秘密、商业秘密和个人隐私。第十六条商用密码检测机构应当保证其基本条件和技术能力能够持续符合资质认定条件和要求,并确保管理体系有效运行。商用密码检测机构应当参加国家密码管理局定期开展的检测能力验证。检测能力验证结果不合格的,应当开展为期不少于6个月的整改,整改期间不得开展相应业务范围的商用密码检测活动。经整改仍不能满足资质认定条件和要
10、求的,由国家密码管理局取消其相应的资质认定业务范围直至吊销资质证书。第十七条商用密码检测机构应当遵守以下从业要求:(一)加强对本机构人员的监督管理,经常性组织开展安全保密教育和业务培训;本机构从事检测活动的专业技术人员每年接受商用密码教育培训的时长不得少于40学时,相关情况应当记录留存;(二)独立于出具的检测数据、结果所涉及的利益相关各方,不受任何可能干扰技术判断因素的影响,不得同时聘用正在其他商用密码检测机构从业的人员;(S)不得以单独出租设备设施或者委派人员等方式承担业务,所承担的业务不得分包和转包;(四)不得以任何方式推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服
11、务;(五)使用符合国家密码管理要求的设备设施;(六)法律法规和国家有关规定提出的其他从业要求。第十八条商用密码检测机构出具的检测报告,应当符合相关国家标准、行业标准和有关规定的要求,保证内容真实、客观、准确、完整。商用密码检测机构对其出具的检测报告负责,并承担相应的法律责任。商用密码检测机构应当指定授权签字人签字确认本机构出具的检测报告,并加盖机构公章或者专用章。非授权签字人不得签发检测报告。授权签字人应当系统掌握商用密码管理政策和专业知识,具备密码或者网络安全领域高级技术职称或者同等专业水平。第十九条商用密码检测机构应当对检测原始记录和检测报告归档留存,保证其具有可追溯性。原始记录和检测报告
12、的保存期限不得少于6年。从事商用密码产品检测的商用密码检测机构应当按照相关标准规范的要求,对检测样品和相关数据信息进行妥善管理。资质证书被注销的,应当对检测样品和相关数据信息进行妥善处理。第二十条商用密码检测机构应当于每年1月15日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据,包括持续符合资质认定条件和要求、遵守从业规范、开展检测活动、标准实施等情况。第二十一条商用密码检测机构不得有以下出具虚假检测数据、结果的行为:(一)未经检测,直接出具检测数据、结果的;(二)篡改、编造原始数据、记录,出具检测数据、结果的;(三)伪造检测报告和原始记录签名,
13、或者非授权签字人签发检测报告的;(四)漏检关键项目、干扰检测过程或者改动关键项目的检测方法,造成检测数据、结果不真实的;(五)其他出具虚假检测数据、结果的行为。第二十二条商用密码检测机构开展业务不受地域、行业、领域的限制。任何单位或者个人不得对商用密码检测机构承接业务作出不合理限制。第二十三条密码管理部门对商用密码检测机构依法开展监督检查,可以行使下列职权:(一)进入检测活动场所实施现场检查;(二)向商用密码检测机构、委托人等有关单位及人员询问、调查有关情况或者验证相关检测活动;(三)查阅、复制有关合同、票据、账簿以及检测活动中形成的检测数据、结果、检测报告等有关资料;(四)抽取备案的商用密码
14、应用安全性评估报告进行技术复核。商用密码检测机构应当积极配合密码管理部门的监督检查,如实提供相关材料和信息。第二十四条以欺骗、贿赂等不正当手段取得商用密码检测机构资质的,国家密码管理局应当依法撤销商用密码检测机构资质。该机构在3年内不得再次申请商用密码检测机构资质。申请商用密码检测机构资质时提供虚假材料或者隐瞒有关情况的,国家密码管理局应当不予受理或者不予许可。该机构在1年内不得再次申请商用密码检测机构资质。第二十五条商用密码检测机构违反中华人民共和国密码法、商用密码管理条例和本办法规定,有下列情形之一的,由密码管理部门责令限期整改;逾期未改正或者改正后仍不符合要求的,处1万元以上10万元以下
15、罚款:(一)未按要求申请办理变更手续的;(二)未按要求开展安全保密教育和业务培训的;(S)推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务的;(四)未在检测报告上加盖机构公章或者专用章,或者未经授权签字人签发检测报告,或者授权签字人超出其技术能力范围签发检测报告的;(五)未按要求保存检测原始记录和检测报告,或者未按照要求妥善管理检测样品和相关数据信息的;(六)未按要求报送年度工作报告和相关统计数据的。第二十六条商用密码检测机构违反中华人民共和国密码法、商用密码管理条例和本办法规定,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,由国家密码管理局吊销其商用密码检测机构资质:(一)转让、出租、出借、伪造、变造、冒用、租借商用密码检测机构资质证书的;(二)同时聘用正在其他商用密码检测机构从业的人员或者存在其他恶意竞争、扰乱市场秩序情形的;(S)以单独出租设备设施或者委派人员等方式承担业务,或者分包、转包所承担业务的;(四)未按照法律法规、标准规范要求开展检测活动或者存在其他违反客观独立、科学公正、诚实信用原则情形的;(五)出具虚假检测