电子认证服务使用密码管理办法

第一条 为了规范电子认证服务使用密码行为，保障电子认证服务使用密码安全，根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密码管理条例》等法律、行政法规，制定本办法。

第二条 在中华人民共和国境内的电子认证服务使用密码及其监督管理，适用本办法。

第三条 采用商用密码技术提供电子认证服务，应当依法取得国家密码管理局颁发的《电子认证服务使用密码许可证》。

第四条 国家密码管理局对全国电子认证服务使用密码行为实施监督管理

县级以上地方各级密码管理部门对本行政区域的电子认证服务使用密码行为实施监督管理。

第五条 申请《电子认证服务使用密码许可证》，应当具备下列条件：

（一）具有企业法人资格；

（二）具有与电子认证服务使用密码相适应的运营场所；

（三）具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施；

（四）具有密码或者相关专业知识的专业技术人员和安全管理人员等专业人员；

（五）具有与电子认证服务使用密码相适应的专业能力；

（六）具有与电子认证服务使用密码相适应的管理体系。

第六条 申请《电子认证服务使用密码许可证》，应当向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料：

（一）书面申请表；

（二）企业法人营业执照；

（三）运营场所情况；

（四）电子认证服务系统相关技术材料及相关设备清单，包括建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告，相关软件、硬件清单及其符合国家有关安全标准的情况等；

（五）专业人员情况；

（六）专业能力情况；

（七）电子认证服务使用密码管理体系建立情况，包括电子认证服务系统运行管理、设备管理、人员管理、文档管理、安全保密管理等管理体系建立情况。

第七条 受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内，对申请材料进行形式审查，根据下列情况分别作出处理：申请材料齐全、符合规定形式的，应当受理行政许可申请并出具受理通知书；申请材料不齐全或者不符合规定形式的，应当当场或者在5个工作日内一次告知需要补正的全部内容；不予受理的，应当出具不予受理通知书并说明理由。

第八条 国家密码管理局应当自行政许可申请受理之日起20个工作日内，对行政许可申请进行审查，并依法作出是否许可的决定。准予许可的，颁发《电子认证服务使用密码许可证》，并予以公开；不予许可的，应当出具不予行政许可决定书，说明理由并告知申请人相关权利。

需要对申请人进行技术评审的，技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将技术评审所需时间书面告知申请人。

第九条 国家密码管理局根据行政许可申请审查需要，可以委托专业机构或者组织专家实施技术评审。

技术评审包括电子认证服务系统安全性审查和互联互通测试，运营场所、设备设施、管理体系建设实地查勘等。

专业机构和专家应当独立、公正、科学、诚信地开展技术评审活动，对技术评审结论的真实性、符合性负责，并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督，建立责任追究机制。

第十条 《电子认证服务使用密码许可证》有效期5年，内容包括：获证机构名称、证书编号、有效期限、发证机关和发证日期等。

第十一条 有下列情形之一的，获得《电子认证服务使用密码许可证》的机构应当自变更之日起30日内向国家密码管理局办理变更手续：

（一）机构名称、住所、法定代表人发生变更；

（二）电子认证服务系统等设备设施发生变化，影响或者可能影响电子认证服务使用密码安全；

（三）新建、搬迁电子认证服务系统；

（四）依法需要办理变更的其他事项。

获得《电子认证服务使用密码许可证》的机构发生变更的事项影响其符合许可条件和要求的，国家密码管理局根据申请人的实际情况，采取书面或者现场形式开展审查。需要进行技术评审的，依照本办法第九条规定对其开展技术评审。

第十二条 《电子认证服务使用密码许可证》有效期届满需要延续的，应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况，采取书面或者现场形式进行审查，并在《电子认证服务使用密码许可证》有效期届满前作出是否准予延续的决定。

第十三条 获得《电子认证服务使用密码许可证》的机构应当按照国家有关密码管理要求履行电子认证服务使用密码安全管理义务，保证其电子认证服务使用密码持续符合要求。

第十四条 电子认证服务系统所需密钥服务由国家密码管理局或者省、自治区、直辖市密码管理部门规划的密钥管理系统提供。

第十五条 获得《电子认证服务使用密码许可证》的机构应当落实电子认证服务系统运行维护制度，明确关键岗位和岗位责任，制定操作规范，加强巡检和运行维护，提高监测预警和应急处置能力，及时消除电子认证服务系统运行安全隐患，保证电子认证服务系统安全可靠运行。

第十六条 获得《电子认证服务使用密码许可证》的机构应当自行或者委托专业机构每年至少进行一次电子认证服务使用密码合规性评估，对评估中发现的问题及时进行整改，并向住所地省、自治区、直辖市密码管理部门报送电子认证服务使用密码合规性评估报告。

第十七条 获得《电子认证服务使用密码许可证》的机构应当制定电子认证服务使用密码安全教育培训计划，每年组织开展电子认证服务使用密码安全知识和岗位技能培训，相关专业技术人员和安全管理人员每年教育培训时间不得少于20个小时。

第十八条 密码管理部门依法对电子认证服务使用密码情况进行监督检查，可以采取书面检查、现场检查、网络监测等方式。

第十九条 密码管理部门依法实施监督检查时，可以进入电子认证服务活动场所实施现场检查，调查、了解有关情况，查阅、复制有关资料，并可以委托专业机构或者组织专家开展有关检测鉴定工作。

获得《电子认证服务使用密码许可证》的机构应当予以配合，并如实提供相关材料和技术支持。

第二十条 密码管理部门开展监督检查，不得影响电子认证服务系统的正常运行，不得收取任何费用，不得泄露或者非法向他人提供在履行职责中知悉的商业秘密和个人隐私。

第二十一条 获得《电子认证服务使用密码许可证》的机构违反本办法有关规定，有下列情形之一的，由密码管理部门责令限期改正；逾期未改正的，给予警告、通报批评；情节严重的，处1万元以上10万元以下罚款：

（一）未按照本办法第十一条第一款规定办理变更手续；

（二）电子认证服务系统所需密钥服务未由国家密码管理局或者省、自治区、直辖市密码管理部门规划的密钥管理系统提供；

（三）未按照本办法第十五条规定履行电子认证服务系统运行维护相关义务；

（四）未按照要求进行电子认证服务使用密码合规性评估，或者未对评估中发现的问题及时进行整改；

（五）未按照要求开展电子认证服务使用密码安全知识和岗位技能培训。

第二十二条 从事电子认证服务使用密码监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。

第二十三条 《电子认证服务使用密码许可证》依法被吊销、撤销、注销的，由国家密码管理局将有关情况通报国务院工业和信息化主管部门。

第二十四条 法律、行政法规和国家有关规定对电子政务电子认证服务使用密码管理另有规定的，从其规定。

第二十五条 本办法自2026年7月1日起施行。2009年10月28日国家密码管理局公告第17号公布，根据2017年12月1日《国家密码管理局关于废止和修改部分管理规定的决定》修正的《电子认证服务密码管理办法》同时废止。

《电子认证服务使用密码管理办法》解读

根据《中华人民共和国密码法》（以下简称《密码法》）、《中华人民共和国电子签名法》（以下简称《电子签名法》）和《商用密码管理条例》等法律法规，国家密码管理局研究修订发布了《电子认证服务使用密码管理办法》（国家密码管理局令第6号）（以下简称《办法》），现就《办法》的有关内容解读如下。

一、修订的必要性

2005年3月31日，国家密码管理局发布《电子认证服务密码管理办法》。2009年10月28日，国家密码管理局对2005年公布的《电子认证服务密码管理办法》进行了修订。2017年12月1日，根据《国家密码管理局关于废止和修改部分管理规定的决定》，国家密码管理局对《电子认证服务密码管理办法》进行了修正。

2023年4月27日，国务院公布修订后的《商用密码管理条例》（国务院令第760号），对电子认证服务使用密码许可制度作了进一步细化和完善。为适应新时代商用密码事业发展需求，规范电子认证服务使用密码行为，保障电子认证服务使用密码安全，亟需对《电子认证服务密码管理办法》进行修订。

（一）修订发布《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。《电子签名法》第十七条规定，提供电子认证服务，应当“具有国家密码管理机构同意使用密码的证明文件”。2023年修订的《商用密码管理条例》第二十二条规定：“采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。”为有效贯彻落实上位法规定，按照商用密码依法管理要求，有必要修订《电子认证服务密码管理办法》，细化电子认证服务使用密码管理要求。

（二）修订发布《办法》是深化行政审批制度改革、优化营商环境的重要举措。近年来，党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署，为严格落实行政审批制度改革要求，有必要修订《电子认证服务密码管理办法》，明确审批条件，优化审批流程，规范行政管理部门行为。同时，也为管理部门依法审批、依法监管提供了法治保障和政策支持。

（三）修订发布《办法》是规范电子认证服务使用密码行为的迫切需要。随着电子认证服务的广泛应用，部分单位存在盲目追求业务创新，忽视密码使用合规的行为，严重影响电子认证服务安全和行业秩序。《办法》坚持问题导向，根据管理实践，对电子认证服务使用密码提出明确管理要求，依法规范电子认证服务使用密码行为，对保障电子认证服务使用密码安全、护航电子认证服务高质量发展具有重要意义。

二、总体思路

（一）坚持依法管理。深入贯彻落实《电子签名法》、《密码法》和新修订的《商用密码管理条例》有关要求，明确密码管理部门职责权限，细化完善电子认证服务使用密码条件和批准程序，严格依法行政。

（二）坚持问题导向。准确把握新情况新问题，深入科学论证，有针对性地完善制度措施，强化规范管理，明确电子认证服务使用密码要求。

（三）创新监管机制。落实行政审批制度改革要求，科学设置准入条件和监督管理措施。加强事中事后监管，强化主管部门监管职能，保障电子认证服务使用密码安全。

三、修订的主要内容

《办法》共25条，主要修订内容如下：

（一）关于适用范围

《办法》明确，在中华人民共和国境内的电子认证服务使用密码及其监督管理，适用本办法（第二条）。

（二）关于管理体制

根据新修订的《商用密码管理条例》有关规定，《办法》明确国家密码管理局和地方各级密码管理部门对电子认证服务使用密码行为实施监督管理（第四条）。

（三）关于许可证办理

《办法》增设了电子认证服务使用密码许可证办理条件（第五条），规范了许可证办理的申请材料和申请受理程序（第六条、第七条），完善了审查审批程序、技术评审措施和许可证件内容（第八条至第十条），明确了许可事项变更和期满延续办理要求（第十一条、第十二条）。

（四）关于运行规范

根据国家有关加强事中事后监管要求和实际监管需求，《办法》对获得《电子认证服务使用密码许可证》的机构提出了安全管理、密钥服务、运行维护、合规性评估和人员培训等规范管理要求，以保障电子认证服务系统安全可靠运行和密码使用安全（第十三条至第十七条）。

（五）关于监督管理和法律责任

《办法》进一步明确了密码管理部门监管职责、监督检查方式、监督检查措施及相关实施要求（第十八条至第二十条），明确了违反有关要求所应承担的法律责任（第二十一条），以及对从事电子认证服务使用密码监督管理工作人员的监管责任（第二十二条）。

此外，《办法》还明确了与国务院工业和信息化主管部门在电子认证服务许可管理上的衔接（第二十三条），与法律、行政法规和国家有关规定等制度的衔接（第二十四条），以及本办法的施行时间（第二十五条）。