图解密评管理办法、密评机构管理办法

商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。为规范商用密码检测活动和商用密码应用安全性评估（简称：“密评”）工作，加强商用密码检测机构管理，根据《密码法》和新修订的《商用密码管理条例》等有关法律法规，国家密码管理局研究制订《商用密码应用安全性评估管理办法》和《商用密码检测机构管理办法》，于2023年9月11日国家密码管理局局务会议审议通过，自2023年11月1日起施行，商用密码应用推广迎来新时代。

落实上位法规条例要求，出台密评管理办法规范密码应用。《密码法》颁布实施后，商用密码应用安全性评估制度依法确立，密评机构纳入商用密码检测机构统一管理，新修订的《商用密码管理条例》也明确了密评相关制度要求。本次《商用密码应用安全性评估管理办法》的制定、发布及后续实施，一方面可以贯彻落实上位法规定，另一方面细化对象范围、责任主体、工作原则、程序内容、实施规范等规定，依法规范商用密码应用安全性评估工作。

密评机构纳入行政审批，促进密评健康有序推进。制定《商用密码检测机构管理办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求，也是落实上位法规定、细化商用密码检测机构管理措施的必然需求；制定机构管理办法是深化行政审批制度改革、优化营商环境的重要举措，可起到优化审批流程、规范审批条件、净化市场环境、优化政务服务等作用；制定机构管理办法是规范商用密码检测机构管理的迫切需要，对商用密码检测机构资质许可、监督管理等提出明确要求，对规范机构市场准入及从业行为、促进商用密码检测活动健康发展具有重要意义。

炼石依据国家密码管理局的公开材料，对《商用密码应用安全性评估管理办法》和《商用密码检测机构管理办法》制定的必要性、基本原则、总体思路、核心要点等内容以图文形式解读。同时，为了让大家清晰地看到两办法修订的具体情况，炼石也提供了“正式稿”与“征求意见稿”的修订对照版，通过学习这些条款的改动，可以更好的理解和探察立法考量。由于作者水平有限，欢迎业界同仁共同探讨完善。

关注炼石的本公众号（或从微信中搜索公众号：炼石网络CipherGateway）并后台回复关键词“炼石就是数据安全079”，即可打包下载《商用密码应用安全性评估管理办法》、《商用密码检测机构管理办法》图解幻灯片及政策原文。

此前炼石已经解读过《商用密码管理条例》和密评相关规范，链接如下，可作为本次解读的一并参考。

速下载 | 200页幻灯片图解新版《商用密码管理条例》

300页幻灯片图解“密评” | 附下载

本次修订比对来源说明：

“正式稿”来源是国家密码管理局：

商用密码应用安全性评估管理办法（国家密码管理局令第3号）https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061109.shtml
商用密码检测机构管理办法（国家密码管理局令第2号）https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061108.shtml

“征求意见稿”来源是国家密码管理局：

国家密码管理局关于《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》公开征求意见的通知http://www.sca.gov.cn/sca/hdjl/2023-06/09/content_1061072.shtml

01 “密评管理办法”正式稿与征求意见稿对比

（蓝色-新增、红色-删除）

商用密码应用安全性评估管理办法

（征求意见稿2023年9月26日国家密码管理局令第3号公布自2023年11月1日起施行）

第一条为了为了规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》、《》、《商用密码管理条例》等有关法律法规，制定本办法。

第二条本办法所称商用密码应用安全性评估，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

第三条国家密码管理局负责管理全国的商用密码应用安全性评估工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码应用安全性评估工作。

国家机关和涉及商用密码工作的单位在其职责范围内负责指导、监督本机关、本单位或者本系统的商用密码应用安全性评估工作。

第四条从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

第五条国家密码管理局支持商用密码应用安全性评估技术、标准、工具、手段创新，完善商用密码应用安全性评估标准体系，鼓励设立商用密码应用安全性评估行业组织，加强行业自律，维护行业秩序。

第六条法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

第七条重要网络与信息系统规划阶段，其运营者应当依照相关法律法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统。

重要网络与信息系统的运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。

第八条重要网络与信息系统建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。

重要网络与信息系统运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。

第九条重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。

第十条对商用密码应用方案开展商用密码应用安全性评估，应当包括以下内容：

（一）考量商用密码应用需求的全面性、合理性和针对性，对照相关标准规范选取适用指标的准确性，以及不适用指标论证的充分性；

（二）分析商用密码应用流程和机制是否具备可实施性、商用密码保护措施是否达到相应的商用密码应用要求、相关描述是否详尽；

（三）论证商用密码技术、产品和服务选用的合规性，密钥管理的安全性，以及使用商用密码解决安全风险的科学性；

（四）编制形成商用密码应用安全性评估报告。

第十一条第十一条对建设完成的网络与信息系统开展商用密码应用安全性评估，应当包括以下内容：

（一）对照商用密码应用方案，了解网络与信息系统基本情况，准确划定评估范围；

（二）确定评估指标及评估对象，论证编制商用密码应用安全性评估实施方案；

（三）依据商用密码应用安全性评估实施方案，开展现场评估，做好数据采集和信息汇总，研判商用密码保障系统配置及运行情况；

（四）根据客观凭据逐项对评估指标进行判定，编制形成商用密码应用安全性评估报告。

第十二条第十二条运营者开展商用密码应用安全性评估活动，应当遵守法律法规、标准规范要求，遵循客观实际、科学公正、诚实信用原则，。委托商用密码检测机构开展商用密码应用安全性评估的，不得对评估结果施加不当影响，并需应当提供如下以下支持：

（一）对网络与信息系统的重要数据进行备份；

（二）提供完整有效的网络与信息系统设备清单和网络拓扑；

（三）提供详细的网络与信息系统商用密码应用方案、密码相关管理制度和密码配置、运行、维护记录；

（四）提供商用密码产品管理入口、网络交换设备接入端口等相关信息、数据接入分析条件，并配合进行数据采集；

（五）安排网络与信息系统相关网络管理员、系统管理员、商用密码产品密钥管理员、密码安全审计员、密码操作员等做好配合；

（六）其他需要配合的事项。

第十三条第十三条自行开展商用密码应用安全性评估的网络与信息系统，其运营者应当符合以下要求：

（一）具有与开展商用密码应用安全性评估活动相适应的商用密码检测设备设施；

（二）具有与开展商用密码应用安全性评估活动相适应的专业技术项目管理、质量管理、人员管理、档案管理、安全保密管理等规章制度；

（三）具有与开展商用密码应用安全性评估活动相适应的项目管理、质量管理、专业人员管理、档案管理、安全保密管理等规章制度；

（四）具有与开展商用密码应用安全性评估活动相适应的专业能力。

自行开展商用密码应用安全性评估形成的商用密码应用安全性评估报告，应当符合相关国家标准、行业标准和有关规定的要求，由本单位密码或者网络安全负责人签字确认并加盖本单位公章。

运营者应当对商用密码应用安全性评估原始记录和商用密码应用安全性评估报告应当归档留存，保证其具有可追溯性，。商用密码应用安全性评估原始记录和商用密码应用安全性评估报告的保存期限不得少于6年。

第十四条第十四条重要网络与信息系统的运营者应当在商用密码应用安全性评估报告形成后30日内，将评估报告连同和相关工作情况按照国家有关规定报送国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门备案。

国家密码管理局或者省、自治区、直辖市密码管理部门应当对对商用密码应用安全性评估结果备案材料进行形式审查，。形式审查不未通过的，应当责令相关运营者应当重新提供提交备案材料。

国家密码管理局可以对商用密码应用安全性评估报告。结果进行抽样检查。抽样检查不合格的，相关商用密码检测机构应当配合运营者应当重新开展商用密码应用安全性评估或者重新出具商用密码应用安全性评估报告，不得重复收取费用。

省、自治区、直辖市密码管理部门应当按季度向国家密码管理局报送本地区商用密码应用安全性评估工作开展情况。国家密码管理局按季度抽取备案材料进行技术复核。复核不合格的，应当责令相关运营者重新提供商用密码应用安全性评估报告。相关商用密码检测机构应当暂停承接新的商用密码应用安全性评估业务，配合运营者重新开展商用密码应用安全性评估并履行备案程序，并不得重复收取费用。

第十五条第十五条运营者发现密码相关重大安全事件、重大密码安全隐患或者特殊紧急情况的，应当及时向国家密码管理局或者网络与信息系统所在地省、自治区、直辖市密码管理部门报告，必要时并启动应急处置方案并，必要时开展商用密码应用安全性评估。

第十六条第十六条县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位可以根据工作需要，对本地区、本机关、本单位或者本系统的重要网络与信息系统商用密码应用安全性评估情况开展专项检查。

第十七条第十七条重要网络与信息系统的运营者违反《中华人民共和国密码法》、《》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）未按要求开展重要网络与信息系统规划阶段，未对商用密码应用方案进行商用密码应用安全性评估的；

（二）重要网络与信息系统未建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；

（三）重要网络与信息系统运行前，未开展商用密码应用安全性评估的；

（四）重要网络与信息系统运行前，未通过商用密码应用安全性评估且未进行改造的；

（三）不符合要求自行五）重要网络与信息系统建成运行后，未定期开展商用密码应用安全性评估或者的；

（六）重要网络与信息系统建成运行后，未通过定期开展的商用密码应用安全性评估实施且未进行改造的；

（七）违反相关法律法规、标准规范要求开展商用密码应用安全性评估的；

（四）未为八）不符合相关要求自行开展商用密码应用安全性评估活动提供必要支持，的。

第十八条重要网络与信息系统的运营者违反本办法规定，有下列情形之一的，由密码管理部门责令改正；逾期未改正或者对改正后仍不符合要求的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款：

（一）对商用密码应用安全性评估结果施加不当影响的；

（五二）未为商用密码应用安全性评估活动提供必要支持的；

（三）未按照要求进行商用密码应用安全性评估结果备案的。

第十八条第十九条从事商用密码应用安全性评估监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。

第二十条本办法施行前正在建设的重要网络与信息系统，其运营者应当加强商用密码应用方案编制论证，建设完善商用密码保障系统，并按照本办法第八条规定开展商用密码应用安全性评估。

本办法施行前已经投入运行的重要网络与信息系统，其运营者应当按照本办法第九条规定开展商用密码应用安全性评估。

第十九条第二十一条本办法自××××年××月××2023年11月1日起施行。

图解密评管理办法

02 “机构管理办法”正式稿与征求意见稿对比

（蓝色-新增、红色-删除）

商用密码检测机构管理办法

（征求意见稿2023年9月26日国家密码管理局令第2号公布自2023年11月1日起施行）

第一条为了加强商用密码检测机构管理，规范商用密码检测活动，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。

第二条商用密码检测机构的资质认定和监督管理适用本办法。

第三条从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

第四条国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。

第五条商用密码检测机构应当在资质认定业务范围内从事商用密码检测活动。国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测机构资质认定业务范围目录。

第六条申请取得商用密码检测机构资质，应当符合下列条件：

（一）具有法人资格；

（二）具有与从事商用密码检测活动相适应的资金条件；

（三）成立2年以上，从事网络安全检测评估领域相关工作1年以上，无重大违法或者不良信用记录；

（四）申请人及其关联方不从事商用密码产品（检测工具类除外）生产、销售以及信息系统或者商用密码保障系统集成、信息系统或者商用密码保障系统运营、电子认证服务、电子政务电子认证服务或者其他可能影响公平公正性的活动；

（五）具有与从事商用密码检测活动相适应的工作环境场所；

（六五）具有与从事商用密码检测活动相适应的商用密码检测设备设施；

（七六）具有保证商用密码检测活动独立、公正、科学、诚信的管理体系；

（八七）具有与从事商用密码检测活动相适应的专业技术人员和管理人员;；

（九八）具有与从事商用密码检测活动相适应的专业能力。

外商投资企业法人申请商用密码检测机构资质，除符合上述条件外，还应当符合我国外商投资有关法律法规的规定。

第七条申请商用密码检测机构资质，应当向国家密码管理局提出书面申请，向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交《商用密码检测机构资质申请表》及以下证明材料，并对其真实性负责。：

（一）法人资格证书；

（二）资本结构和股权情况；

（三）无重大违法或者不良信用记录、不从事可能影响商用密码检测公平公正性活动的承诺；

（四）工作场所等固定资产产权证书或者租赁合同；

（五）工作环境和设备设施配置情况；

（六）法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业技术人员情况；

（七）项目管理、质量管理、人员管理、档案管理、安全保密管理等管理体系建立情况；

（七）法定代表人、最高管理者、技术负责人、质量负责人、授权签字人以及专业人员情况；

（八）申请人认为需要补充的其他材料。

受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内，对申请材料进行形式审查，根据下列情况分别作出处理：申请材料内容齐全、符合规定形式的，应当以国家密码管理局名义受理行政许可申请并出具受理通知书，并于5个工作日内将；申请材料送国家密码管理局；对内容不齐全或者不符合规定形式的，应当当场或者在5个工作日内一次性告知申请人需要补正的全部材料；对不予受理的，应当以国家密码管理局名义出具不予受理通知书并说明理由，并于5个工作日内将不予受理通知书送国家密码管理局。

第八条国家密码管理局应当自行政许可申请受理申请之日起20个工作日内，依据商用密码检测机构资质认定基本规范的要求，对申请进行审查，并依法作出是否准予许可的书面决定。

需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。

第九条国家密码管理局根据技术评审需要和专业要求，可以自行或者委托专业技术评价机构实施技术评审。

技术评审包括专业技术人员能力考核，工作环境场所、设备设施、管理体系建设实地查勘，检测能力验证考核等。

专业技术评价机构应当严格按照商用密码检测机构资质认定基本规范开展技术评审活动，对技术评审结论的真实性、符合性负责，并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督，建立责任追究机制。

第十条申请人有下列情形之一的，国家密码管理局应当终止审查：

（一）隐瞒有关情况或者提供虚假材料的；

（二）采取贿赂、请托等不正当手段，影响审查工作公平公正进行的；

（三）无正当理由拒绝接受审查的；

（四）违反商用密码检测机构从业要求的。

第十一条准予许可的，国家密码管理局向申请人颁发《商用密码检测机构资质证书》。》，并公布取得资质证书的商用密码检测机构名录。

有下列情形之一的，国家密码管理局应当出具不予行政许可决定书，说明理由并告知申请人相关权利：

（一）终止审查不合格的；

（二）终止审查不合格的；

（三）法律法规规定的不予许可的其他情形。

第十二条《商用密码检测机构资质证书》有效期5年，内容包括发证机关、：获证机构名称和、统一社会信用代码、注册地址、、证书编号、有效期限、资质认定业务范围、有效期限、证书编号，有效期5年发证机关和发证日期。

《商用密码检测机构资质证书》有效期届满需要延续的，应当在有效期届满3个月前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况，采取书面或者现场形式开展审查，在《商用密码检测机构资质证书》有效期届满前作出是否准予延续的决定。。

禁止转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质证书》。

第十三条有下列情形之一的，商用密码检测机构应当自变更之日起30日内向国家密码管理局申请办理变更手续：

（一）机构名称、注册地址、法人性质发生变更的；

（二）法定代表人、最高管理者、技术负责人、质量负责人、授权签字人发生变更的；

（三）资质认定业务范围发生变更的；

（四）依法需要办理变更的其他事项。

商用密码检测机构发生变更的事项影响其符合资质认定条件和要求的，国家密码管理局根据申请人的实际情况，采取书面或者现场形式开展审查，。需要进行技术评审的，依照本办法第九条规定对其开展技术评审。

第十四条商用密码检测机构有下列情形之一的，国家密码管理局应当依法注销其商用密码检测机构资质：

（一）《商用密码检测机构资质证书》有效期届满，未申请延续或者依法不予延续批准的；

（二）申请注销商用密码检测机构资质证书的；

（三）被依法撤销、吊销商用密码检测机构资质证书的；

（四）依法终止的；

（五）因法人性质变更、改制、分立或者合并等原因发生变化，或者发生其他影响其符合资质认定条件和要求的变更事项，经审查发现不符合资质认定条件和要求的；

（六）资质认定业务范围被全部取消的；

（七）法律法规规定的应当注销商用密码检测机构资质的其他情形。

第十五条商用密码检测机构及相关从业人员应当按照法律法规、标准规范等要求开展、行政法规和商用密码检测活动，遵循客观技术规范、规则，在批准范围内独立、科学公正、诚实信用原则，科学、诚信地开展商用密码检测，对出具的检测数据、结果负责，尊重知识产权，恪守职业道德，承担社会责任，保守在工作中知悉的国家秘密、商业秘密和个人隐私。

第十六条商用密码检测机构应当保证其基本条件和技术能力能够持续符合资质认定条件和要求，并确保管理体系有效运行。

商用密码检测机构应当参加国家密码管理局定期开展的检测能力验证。检测能力验证结果不合格的，应当开展为期不少于6个月的整改，整改期间不得开展相应业务范围的商用密码检测活动。经整改仍不能满足资质认定条件和要求的，由国家密码管理局取消其相应的资质认定业务范围直至吊销资质证书。

第十七条商用密码检测机构应当遵守以下从业要求：

（一）加强对本机构人员的监督管理，经常性组织开展安全保密教育和业务培训；本机构从事检测活动的专业技术人员每年接受商用密码教育培训的时长不得少于40学时，相关情况应当记录留存；

（二）独立于出具的本机构及关联方不得从事商用密码产品生产、销售（检测数据、结果所涉及的利益相关各方，不受任何工具除外），信息系统或者商用密码保障系统集成、运营，电子认证服务，电子政务电子认证服务，或者其他可能干扰技术判断因素的影响，影响商用密码检测公平公正性的活动；

（三）不得同时聘用正在其他商用密码检测机构从业的人员，或者存在其他恶意竞争、扰乱市场秩序的情形；

（三四）不得以单独出租设备设施或者委派人员等方式承担业务，所承担的业务不得分包和、转包；

（四五）不得以任何方式推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务；

（五）六）独立于出具的检测数据、结果、报告所涉及的利益相关各方，不受任何可能干扰技术判断因素的影响；

（七）使用符合国家密码管理要求的设备设施；

（六八）法律法规和国家有关规定提出的其他从业要求。

第十八条商用密码检测机构出具的检测报告，应当符合相关国家标准、行业标准和有关规定的要求，保证内容真实、客观、准确、完整。商用密码检测机构对其出具的检测报告负责，并承担相应的法律责任。

商用密码检测机构应当指定授权签字人在其业务能力范围内签字确认本机构出具的检测报告，并加盖机构公章或者专用章。非授权签字人不得签发检测报告。授权签字人应当系统掌握商用密码管理政策和专业知识，具备密码或者网络安全领域高级技术职称或者同等专业水平。

第十九条商用密码检测机构应当对检测原始记录和检测报告归档留存，保证其具有可追溯性。检测原始记录和检测报告的保存期限不得少于6年。

从事商用密码产品检测的商用密码检测机构应当按照相关标准规范的要求，对检测样品和相关数据信息进行妥善管理。商用密码检测机构资质证书被注销的，应当对检测样品和相关数据信息进行妥善处理。

第二十条商用密码检测机构应当于每年1月15日前通过所在地省、自治区、直辖市密码管理部门向国家密码管理局报送上一年度工作报告以及相关统计数据，包括持续符合资质认定条件和要求、遵守从业规范、开展检测活动、实施标准实施等情况。

第二十一条商用密码检测机构不得有以下出具虚假或者失实检测数据、结果、报告的行为：

（一）未经检测，直接出具检测数据、结果、报告的；

（二）篡改、编造原始数据、记录，出具检测数据、结果、报告的；

（三）伪造检测报告和原始记录签名，或者非授权签字人签发检测报告的；

（四）漏检关键项目、干扰检测过程或者改动关键项目的检测方法，造成检测数据、结果不真实、报告失实的；

（五）其他出具虚假或者失实检测数据、结果、报告的行为。

第二十二条 商用密码检测机构开展业务不受地域、行业、领域的限制。任何单位或者个人不得对商用密码检测机构承接业务作出不合理限制。

第二十三条二条密码管理部门对商用密码检测机构依法开展监督检查，可以行使下列职权：

（一）进入检测活动场所实施现场检查；

（二）向商用密码检测机构、委托人等有关单位及人员询问、调查、了解有关情况或者验证相关检测活动；

（三）查阅、复制有关合同、票据、账簿以及检测活动中形成的检测数据、结果、检测报告等有关资料材料。

国家密码管理局根据工作需要，可以行使下列职权：

（一）组织商用密码检测机构检测能力验证；

（四）抽取备案的二）对商用密码应用安全性评估检测机构出具的检测数据、结果、报告等有关材料进行技术复核抽样检查。

密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人提供。

第二十三条商用密码检测机构应当积极配合密码管理部门的监督检查，按照要求参加检测能力验证和抽样检查，并如实提供相关材料和信息。检测能力验证或者抽样检查结果不合格的，应当开展为期不少于6个月的整改，整改期间不得开展相应业务范围的商用密码检测活动。商用密码检测机构整改结束后，应当经国家密码管理局组织验收合格，方可恢复开展相应业务范围的商用密码检测活动；经整改仍不能满足相应业务范围的资质认定条件和要求的，取消其相应业务范围的资质认定，直至注销其商用密码检测机构资质。

第二十四条以欺骗、贿赂等不正当手段取得商用密码检测机构资质的，国家密码管理局应当依法撤销商用密码检测机构资质。该机构在3年内不得再次申请商用密码检测机构资质。

申请商用密码检测机构资质时提供虚假材料或者隐瞒有关情况或者提供虚假材料的，国家密码管理局应当不予受理或者不予许可。该机构在1年内不得再次申请商用密码检测机构资质。

第二十五条商用密码检测机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令限期整改；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款：

（一）未按要求申请办理变更手续的；

（二）未按要求开展安全保密教育和业务培训的；

（三）推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务的；

（四）未在检测报告上加盖机构公章或者专用章，或者未经授权签字人签发检测报告，或者授权签字人超出其技术能力范围签发检测报告的；

（五）未按要求保存检测原始记录和检测报告，或者未按照要求妥善管理检测样品和相关数据信息的；

（六）未按要求报送年度工作报告和相关统计数据的。

第二十六条商用密码检测机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法规定，有下列情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不足30万元的，可以并处10万元以上30万元以下罚款；情节严重的，由国家密码管理局吊销其商用密码检测机构资质：

（一）超出批准范围开展商用密码检测的；

（二）转让、出租、出借、伪造、变造、冒用、租借《商用密码检测机构资质证书》的；

（二三）本机构及关联方从事商用密码产品生产、销售（检测工具除外），信息系统或者商用密码保障系统集成、运营，电子认证服务，电子政务电子认证服务，或者其他可能影响商用密码检测公平公正性的活动的；

（四）同时聘用正在其他商用密码检测机构从业的人员或者存在其他恶意竞争、扰乱市场秩序情形的；

（三五）以单独出租设备设施或者委派人员等方式承担业务，或者分包、转包所承担业务的；

（四）未按照六）推荐或者限定被检测单位购买使用特定主体生产或者提供的商用密码产品或者服务的；

（七）违反法律、行政法规、标准规范和商用密码检测技术规范、规则要求开展检测活动或者存在其他违反客观影响检测独立、科学公正、诚实信用原则情形科学、诚信的行为的；

（五八）出具虚假的检测数据、结果、报告虚假或者失实的；

（六九）未按照要求如实报送年度工作报告以及相关统计数据的；

（十）泄露在工作中知悉的商业秘密、个人隐私的。

第二十七条六条商用密码检测机构违反本办法规定，有下列情形之一的，由密码管理部门责令改正；逾期未改正或者改正后仍不符合要求的，处1万元以上10万元以下罚款：

（一）未按照要求申请办理变更手续的；