炼石图解《商用密码检测机构管理办法》V1.0

炼石网络2023年11月1日起施行 加强密评机构管理规范商用密码检测活动 制定目的 颠机构概况新闻动态信息公开在线服务互动交流专题专栏 首页>信息公开>政第法规>部门规章 2023年10月7日，国家密码管理局发布商用密码检测机构管理办法（国家密码管理局令第2号），自2023年11月1日起施行，旨在加强商用密码检测机构管理，规范商用密码检测活动。 商用密码检测机构管理办法(国家密码管理局令第2号) 发布日期：2023-10-07来源[字体: 大中小 曼打印 国家密码管理局令 第2号 《商用密码检测机构管理办法》已经2023年9月11日国家密码管理局局务会议审议通过，现予公布，自2023年11月1日起施行。 局 长刘东方2023年9月26日 商用密码检测机构管理办法 第一条为了加强商用密码检测机构管理，规范商用密码检测活动，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。 办法制定是贯彻落实党中央、国务院关于商密管理决策部署的必然要求 2019年10月，《中华人民共和国密码法》正式发布，提出了“商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证”的要求。 随着商用密码产业的持续发展和应用需求的不断提升，商用密码检测需求显著增加，急需出台专门规章进一步规范商用密码检测机构管理工作。 近年来，党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署。 新修订的《条例》第十三条规定：“从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理部门认定，依法取得商用密码检测机构资质。 为严格落实行政审批制度改革要求，有必要制定《办法》，优化审批流程，规范审批条件，为保护市场主体权益，净化市场环境，优化政务服务，规范监管执法提供法治保障和政策支持。 《办法》根据商用密码检测机构管理现实需要，对检测机构资质认定、监督管理等提出明确要求，对于规范检测机构市场准入及丛业行为、促进商用密码检测行业健康发展有重要意义。 为有效贯彻落实上位法规定，按照商用密码依法管理要求，有必要制定《办法》，细化商用密码检测机构管理措施。 《商用密码检测机构管理办法》制定总体思路 《商用密码检测机构管理办法》制定 《商用密码检测机构管理办法》主要内容 《商用密码检测机构管理办法》共29条 1.总体要求 2.资质认定条件和程序 1．规定适用范围，包括商用密码产品检测机构和商用密码应用安全性评估机构的资质认定和监督管理。2．明确监管体制，国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。 1．明确商用密码检测机构资质认定的规范依据。2．规定资质认定的条件要求。3．规定资质认定的程序，包括申请、受理、审查、决定、颁证等环节。4.．规定资质变更、延续、注销等相关要求。 4.监督检查及法律责任 3.从业规范 1．规定了密码管理部门的监督检查职权及结果处理，2．明确了商用密码检测机构的违法情形及法律责任。3．规定了商用密码检测机构监督管理信息公示和管理人员的责任义务。 1．明确了商用密码检测机构及相关从业人员应遵守的行为规范。2．针对检测报告、数据和样品管理、信息报送、检测行为等方面对检测活动提出具体要求。 5.其他事项 炼石整理：《商用密码检测机构管理办法》总览 办法制定将加强机构管理以及规范商密检测活动 申请商用密码检测机构资质应当向国家密码管理局提出书面申请 有效期届满需要延续的应当在有效期届满3个月前提出书面申请 商用密码检测机构资质变更及注销的具体情况表 在批准范围内独立、公正、科学、诚信地开展商用密码检测 原则 商用密码检测机构及相关从业人员应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责，尊重知识产权，恪守职业道德，承担社会责任，保守在工作中知悉的国家秘密、商业秘密和个人隐私。 商用密码检测机构应当保证其基本条件和技术能力能够持续符合资质认定条件和要求，并确保管理体系有效运行。 明确八项商用密码检测机构从业要求 检测基本要求 机构从业要求 安全保密教育和业务培训 不得从事影响检测公平公正活动 不得恶意竞争 承担业务要求 不得同时聘用正在其他商用密码检测机构从业的人员，或者在在其他恶意竞争、扰乱市场秩序的情形; 本机构及关联方不得从事商用密码产品生产、销售（检测工具除外），信息系统或者商用密码保障系统集成、运营，电子认证服务，电子政务电子认证服务，或者甚他可能影响商用密码检测公平公正性的活动; 加强对本机构人员的监督管理，经常性组织开展安全保密教育和业务培训；本机构从事检测活动的专业人员每年接受商用密码教育培训的时长不得少于40学时，相关情况应当记录留存; 不得以单独出租设备设施或者委派人员等方式承担业务，所承担的业务不得分包、转包; 禁止推荐/限定特定主体产品服务 设备设施要求 独立于利益相关各方 其他要求 独立于出具的检测数据、结果、报告所涉及的利益相关各方，不受任何可能干扰技术判断因素的影响; 使用符合国家密码管理要求的设备设施; 不得以任何方式推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务； 法律法规和国家有关规定提出的其他从业要求。 明确检测报告要求及工作报告报送规范 保证其具有可追溯性检测原始记录和检测报告的保存期限不得少于6年 从事商用密码产品检测的商用密码检测机构应当按照相关标准规范的要求，对检测样品和相关数据信息进行妥善管理商用密码检测机构资质被注销的，应当对检测样品和相关数据信息进行妥善处理 通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送具体包括持续符合资质认定条件和要求、遵守丛业规范、开展检测活动、实施标准等情况 商用密码检测机构不得出具虚假或者失实检测数据、结果、报告 商用密码检测机构不得有以下出具虚假或者失实检测数据、结果、报告的行为： 【未检测】未经检测，直接出具检测数据、结果、报告的；【篡改编造】篡改、编造原始数据、记录，出具检测数据、结果、报告的【伪造或非授权签发】伪造检测报告和原始记录签名，或者非授权签字人签发检测报告的；【漏检、干扰或改动】漏检关键项目、干扰检测过程或者改动关键项目的检测方法，造成检测数据、结果、报告失实的;【其他】其他出具虚假或者失实检测数据、结果、报告的行为。 国家密码管理局、密码管理部门开展监督检查职权及结果处理 国家密码管理局 商用密码检测机构应当积极配合密码管理部门的监督检查，按照要求参加检测能力验证和抽样检查，并如实提供相关材料和信息。 【检测能力验证/抽样检查结果不合格】应当开展为期不少于6个月的整改，整改期间不得开展相应业务范围的商用密码检测活动。 国家密码管理局根据工作需要，可以行使下列职权： 【检测能力验证】组织商用密码检测机构检测能力验证; 【整改合格】商用密码检测机构整改结束后，应当经国家密码管理局组织验收合格，方可恢复开展相应业务范围的商用密码检测活动； 【检测材料抽样检查】对商用密码检测机构出具的检测数据、结果、报告等有关材料进行抽样检查。 【整改仍不满足要求】经整改仍不能满足相应业务范围的资质认定条件和要求的，取消其相应业务范围的资质认定，直至注销其商用密码检测机构资质。 监管落实商用密码检测机构法律责任2 *本办法自2023年11月1日起施行。 公司介绍：炼石就是数据安全 炼石是以“免改造”为创新特色的数据安全产品厂商，自研可灵活挂载多种安全能力的免改造平台，帮政企客户打造领先的数据安全保护体系。 客户交付：1平台、2价值、3阶段、4指标、5能力 场景化数据安全建设 产品矩阵：免改造的全面数据保护，支持灵活部署 免改造增强数据安全 无需改动目标应用系统的代码，即可为各行业应用系统增强数据加密、脱敏、审计保护能力 高性能国密保障效率 具备PCT国际专利保护的高性能国密技术，在单颗InteICPU上实现SM4加解密速度突破140Gbps 适应复杂应用架构 有效兼容各行业的广泛应用架构，如JAVA、C等主流开发语言、兼容开放协议的关系型数据库和非关系型数据库、兼容Linux/信创os/Windows等 集中式管控分布式保护 引入批量应用系统的“集中式管控，分布式保护”体系，自上到下的全层级部署管控 服务体系：4通用服务+2专项咨询 专项咨询 炼石免改造数据安全