商用密码应用安全性测评机构管理办法（试行） 国家密码管理局 2017年9月27日印发 第一章 总则 第一条 为加强商用密码应用安全性测评机构管理，规范测评行为，提高测 评技术能力和服务水平，依据密码法律法规和《商用密码应用安全性评估管理办 法（试行） 》等规定，制定本办法。 第二条 在中华人民共和国境内对商用密码应用安全性测评机构的监督管理， 适用本办法；对测评机构、测评人员及其测评活动的管理与规范，适用本办法。 第三条 商用密码应用安全性测评机构（以下简称测评机构） ，是指具备本办 法规定的基本条件，通过审核评定，在商用密码应用安全性评估体系中从事测评 服务的机构。 第四条 测评机构遴选应遵循满足需求、统筹规划、合理布局、动态管理的 方针，按照“依法合规、公正公开、客观独立”的原则有序开展。 第五条 国家密码管理局负责测评机构的申请受理、 能力评审和监督检查等。 第二章 设立与评定 第六条 申请成为测评机构的单位（以下简称申请单位）应具备以下基本条 件： （一）在中华人民共和国境内注册，由国家投资、法人投资或公民投资成立 的企事业单位； （二）产权关系明晰，注册资金 500万元以上； （三）成立年限在 2年以上，从事信息系统安全相关工作 1年以上，无违法 记录； （四）具备与从事系统测评相适应的独立、集中、可控的工作环境，测评工 作场地应不少于 200平方米； （五）具备必要的检测设施、设备，使用的设施设备应满足实施商用密码应 用安全性评估工作的要求； （六）具备完善的人员结构，包括专业技术人员和管理人员，通过“商用密 码应用安全性测评人员考核”的测评人员数量不少于 10人； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理、培训教 育、客户管理和投诉处理等规章制度； （八） 本单位及直接控股的母公司或子公司不从事商用密码产品生产、 销售、 集成以及运营等可能影响测评结果公正性的活动（测评工具类除外） ； （九）法律法规要求的其他条件。 第七条 申请时，申请单位应当提交以下材料： （一） 《商用密码应用安全性测评机构申请表》 ； （二）从事与商用密码相关工作情况的说明； （三）开展测评工作所需的软硬件及其他服务保障设施配备情况； （四）管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）申请单位认为有必要提交的其他材料。 第八条 国家密码管理 局设立申请材料初审工作组，对申请材料进行初审， 出具初审结论。初审结果按程序报批后，告知申请单位。通过初审的申请单位， 应在 60 个工作日内参加培训、考核和能力评审。 第九条 测评人员培训、考核工作由国家密码管理局委托的机构承担，申请 单位应当确保本单位测评人员全程参加。考核通过后，测评人员方可参加商用密 码应用安全性评估工作。 第十条 国家密码管理局设立测评机构能力评审专家组，负责申请单位的能 力评审工作，根据《商用密码应用安全性测评机构能力评审实施细则》等要求， 开展材料核查、现场评审和综合评议。 第十一条 能力评审工作结束后，国家密码管理局组织召开综合评定会，研 究形成综合评定结论，确定测评机构名单，并印发试点地区和部门。 第十二条 下列事项发生变更时，测评机构应在 10 个工作日内向国家密码 管理局报告。 （一）测评机构名称、地址、主要负责人发生变更的； （二）测评机构法人、股权结构发生变更的； （三）其他重大事项发生变更的。 第十三条 测评机构应加强对本机构测评人员的监督管理，定期组织开展安 全保密教育和业务培训。 第三章 责任和义务 第十四条 测评机构不得从事影响测评结果公正性的相关活动。 第十五条 测评机构应严格按照商用密码应用安全性评估相关标准规范，公 正、独立地开展测评工作，依据模板出具测评报告，确保测评质量，全面、客观 地反映被测信息系统的密码应用安全性状况。 第四章 监督检查 第十六条 测评项目实施过程中，测评机构应接受国家密码管理局的监督管 理。 第十七条 测评机构应当在年底编制商用密码应用安全性评估工作报告，并 报送国家密码管理局。 第十八条 国家密码管理局、测评机构所属省部密码管理局对测评机构负有 监督检查职责，根据需要开展测评机 构检查工作。 第五章 法律责任 第十九条 测评机构有下列情形之一的， 国家密码管理局应责令其限期整改； 情形严重的，予以通报。 （一）未按照有关标准规范开展测评或未按规定出具测评报告的； （二）严重妨碍被测评信息系统正常运行，危害被测评信息系统安全的； （三）未妥善保管、非授权占有或使用商用密码应用安全性评估相关资料及 数据文件的； （四）分包或转包测评项目，以及有其他扰乱测评市场秩序行为的； （五）限定被测评单位购买、使用指定信息安全和密码相关产品的； （六）测评人员未通过培训考核，但从事商用密码应用安全性评估 工作的； （七）未按本办法规定提交材料、报告情况或弄虚作假的； （八）其他违反商用密码应用安全性评估工作有关规定的行为。 第二十条 测评机构有下列情形之一的，国家密码管理局应取消其商用密码 应用安全性测评机构试点资格。 （一）因单位股权、人员等情况发生变动，不符合商用密码应用安全性测评 机构基本条件的； （二）故意泄露被测评单位工作秘密、重要信息系统数据信息的； （三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未 如实出具测评报告的； （四）自愿退出测评机构目录的。 第二十一条 测评人员有下列行为 之一的，责令测评机构督促其限期改正： 情节严重的，责令测评机构暂停其参与测评工作；情形特别严重的，应在商用密 码应用安全性测评人员名单中移除，并对其所在测评机构进行通报。 （一）未经允许擅自使用或泄露、出售商用密码应用安全性评估工作中收集 的数据信息、资料或测评报告的； （二）测评行为失误或不当，影响重要领域网络与信息系统安全或造成运营 使用单位利益损失的； （三）其他违反商用密码应用安全性评估工作有关规定的行为。 第二十二条 测评机构及其测评人员违反本办法的相关规定，给被测评信息 系统运营使用单位造成严重危害和损失的，由相关部门依照有关法律、法规予以 处理。 第二十三条 任何单位和个人如发现测评机构、测评人员有违法、违规行为 的，可向国家密码管理局举报、投诉。 第六章 附则 第二十四条 本办法由国家密码管理局负责解释。 第二十五条 本办法自发布之日起实施。