国务院总理李强日前签署国务院令,公布修订后的《商用密码管理条例》(以下简称《条例》),自2023年7月1日起施行。《条例》明确推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。明确商用密码检测、认证机构资质审批条件、程序及从业规范。明确涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务应当检测认证合格。
节选如下:
第三章 检测认证
第十二条 国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。
第十三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。
第十四条 取得商用密码检测机构资质,应当符合下列条件:
(一)具有法人资格;
(二)具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力;
(三)具有保证商用密码检测活动有效运行的管理体系。
第十五条 申请商用密码检测机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第十四条规定条件的材料。
国家密码管理部门应当自受理申请之日起20个工作日内,对申请进行审查,并依法作出是否准予认定的决定。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。
第十六条 商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。
商用密码检测技术规范、规则由国家密码管理部门制定并公布。
第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。
第十八条 从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。
申请商用密码认证机构资质,应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。
国务院市场监督管理部门在审查商用密码认证机构资质申请时,应当征求国家密码管理部门的意见。
第十九条 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码认证,对出具的认证结论负责。
商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。
第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。
第二十一条 商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。