商用密码随机抽查办法(征求意见稿)
附件 2 商用密码随机抽查办法 (征求意见稿) 第一条 为加强商用密码监督管理,规范商用密码随机抽查 工作,依据《行政许可法》、《商用密码管理条例》和《国务院办 公厅关于推广随机抽查规范事中事后监管的通知》等法律、法规 和国务院有关文件,制定本办法。 第二条 本办法所称商用密码随机抽查,是指密码管理部门 通过摇号、机选的方式从商用密码市场主体名录库和执法检查人 员名录库中随机抽取检查对象和检查人员,并进行检查的活动。 第三条 国家密码管理局负责建设和更新商用密码市场主体 名录库和商用密码产品名录库,组织和指导全国随机抽查工作开 展。 各省、自治区、直辖市密码管理局负责建设本地区商用密码 检查人员名录库,并根据国家密码管理局的委托组织实施本地区 的随机抽查工作。 第四条 商用密码随机抽查对象主要包括: (一)取得《商用密码产品生产定点单位证书》的单位; (二)取得《商用密码产品销售许可证》的单位; (三)取得《商用密码产品型号证书》的商用密码产品; (四)取得《密码产品和含有密码技术的设备进口许可证》 的单位; (五)取得《商用密码产品出口许可证》的单位; (六)取得《使用境外生产的密码产品准用证》的外商投资 企业; (七)取得《境外组织或个人使用密码产品准用证》的境外 组织或者个人; (八)取得《电子认证服务使用密码许可证》的单位; (九)金融等重要领域的单位采购用于提供给用户的商用密 码产品。 第五条 每年开展商用密码随机抽查工作的方案,以及随机 抽查的事项、范围、比例等内容,由国家密码管理局制定并印发。 第六条 对取得商用密码行政许可资质的单位、组织、个人 以及商用密码产品进行随机抽查,重点是核查其与取得的商用密 码许可资质所列事项及其行政许可存档材料的一致性。 第七条 密码管理部门依法开展随机抽查,被抽查单位、组 织和个人应当予以配合,不得拒绝。 第八条 省级密码管理部门开展随机抽查进行检查时,检查 人员不得少于2人。检查人员应向被抽查单位、组织、个人出示 有效执法证件,并将《商用密码随机抽查被抽查单位须知》交被 抽查单位、组织和个人。 第九条 省级密码管理部门应当按照《商用密码随机抽查事 项清单》所列事项进行核查,并填写《商用密码随机抽查情况表》。 第十条 省级密码管理部门对商用密码产品进行抽查,除按 照本办法第九条的要求核查外,还应当进行现场抽样。 第十一条 省级密码管理部门可以从商用密码生产定点单位、 商用密码销售许可单位抽样,也可以通过与金融等重要领域单位 协商等其他方式获取样品。抽取样品的数量不得超过产品检验的 合理需要。 从商用密码生产定点单位抽样,抽取的样品应为经生产企业 检验合格的成品。 第十二条 省级密码管理部门获取样品后应填写《商用密码 随机抽查抽样单》。抽样单一式三份,国家密码管理部门、省级 密码管理部门和被抽查单位各留存一份。 从商用密码销售许可单位产品抽样或者从金融等重要领域 的单位获取样品,应当填写《商用密码随机抽查产品确认通知书》, 书面向标签标称的生产企业确认被抽样产品有关信息。 第十三条 抽取的样品应按检测用样和备份用样分别包装, 封样必须现场进行。《商用密码随机抽查封样单》经抽样人员、 被抽查单位负责人共同签字确认有效。 第十四条 省级密码管理部门对抽取的样品包装、加封查验 无误后,应在适宜的条件下进行保存,避免损坏,并填写《商用 密码随机抽查产品检测委托书》,委托国家密码管理局指定的检 测机构进行检测。 对于便于运送的样品,由省级密码管理部门协助运送至国家 密码管理局指定的检测机构。 对不便运送的样品,可以由国家密码管理局指定的检测机构 进行现场检测。 第十五条 国家密码管理局指定的检测机构应当在收到《商 用密码随机抽查产品检测委托书》后,确认检测时间,并书面告 知送检的省级密码管理部门。 检测机构应当对照被抽查商用密码产品的行政许可存档材 料进行核查并进行检测。 检测机构完成检测,应向省级密码管理局出具检测报告。 第十六条 省级密码管理部门根据检测报告出具《商用密码 产品随机抽查结果通知单》,并送达被抽查单位。 被抽查单位如对产品检测结果有异议,应当在收到《商用密 码产品随机抽查结果通知单》之日起 10 个工作日内向本省(区、 市)密码管理部门提出书面复检申请。逾期未提出异议的,视为 接受检测结果。复检时使用原始抽查的备份样品,并经复检申请 人和本省(区、市)密码管理部门确认。 对需要复检并具备检测条件的,省级密码管理部门应当对留 存的备份用样组织复检,并于检测工作完成后 10 日内作出书面 答复。复检结论为最终结论。 第十七条 检测结果为合格的产品应当在检测结果异议期满 后及时退还被抽查单位。 经检测合格的产品因检测造成破坏或者损耗而无法退还的, 由国家密码管理局按照产品当时市场价格给予补偿,被补偿单位 应提供有效发票。 第十八条商用密码产品随机抽查初次检测费用,由国家密码 管理局承担。被抽查单位申请复检的,复检结果与初次结果判定 一致的,复检费用由复检申请人承担;判定结果不一致的,复检 费用由国家密码管理部门承担。 第十九条 省级密码管理部门完成本地区随机抽查工作后, 应对随机抽查情况进行归档汇总,并将汇总结果统一报送国家密 码管理局。 第二十条 国家密码管理局应当适时向社会公布商用密码随 机抽查情况和抽查结果。 对经抽查发现的违法信息,应当按照《行政处罚法》、《商用 密码管理条例》和《商用密码行政处罚实施办法(试行)》开展 调查并依法处理。 第二十一条 本办法由国家密码管理局负责解释。 第二十二条 本办法自 2016 年 X 月 X 日起施行。 附件 1: 商用密码随机抽查被抽查单位须知 一、商用密码随机抽查根据《行政许可法》、《商用密码管理 条例》等有关法律法规组织实施。 二、省级密码管理部门到被抽查单位进行现场检查、随机抽 取样品,被抽查单位应当予以配合,如实反映情况,并提供相应 材料。 三、省级密码管理部门应将抽查结果及时告知被抽查单位。 四、被抽查单位对随机抽查结果有异议的,应当自收到《商 用密码产品随机抽查结果通知单》之日起 10 日内,向省级密码 管理部门提出书面复检申请,并预先垫付复检费用。逾期未提出 异议的,视为认同检测结果。 五、省级密码管理部门根据商用密码产品复检结果作出最终 结论。复检结果与初次结果判定一致的,复检费用由复检申请人 承担;判定结果不一致的,复检费用由原检测机构承担。
沿此虚线剪下,作为收到本《须知》的回执--------------------
回 执 《商用密码随机抽查被抽查单位须知》已收悉。 被抽查单位代表人:(签字或盖章) 年月日 附件 2: 商用密码随机抽查情况表(生产定点单位) (随抽生)第 号 被抽查单位 名称 法定代表人 通信地址 邮编 联系人 电话 序号 抽查事项 抽查结果 备注 1 研发、生产商用密码产品的单位是否 持有有效的《商用密码产品生产定点 单位证书》; 是□ 否□ 2 《商用密码产品生产定点单位证书》 是否真实、有效; 是□ 否□ 3 名称、注册地址、法人代表、股本结 构、技术研发生产环境、人员等在生 产定点单位资质有效期内是否发生 重大变化; 是□ 否□ 4 是否仍具有与生产商用密码产品相 适应的技术力量以及确保商用密码 产品质量的设备、生产工艺和质量保 证体系; 是□ 否□ 5 是否在符合安全、保密要求的环境中 进行商用密码产品的生产; 是□ 否□ 6 销售、运输、保管商用密码产品是否 采取相应的安全措施; 是□ 否□ 7 从事商用密码产品生产的单位和人 员,是否制定有完善的保密制度并承 担相关保密义务。 是□ 否□
抽查人员:
年 月 日
附件 3: 商用密码随机抽查情况表(销售许可单位) (随抽销)第 号 被抽查单位 名称 法定代表人 通信地址 邮编 联系人 电话 序号 抽查事项 抽查结果 备注 1 销售商用密码产品的企业是否持 有有效的《商用密码产品销售许可 证》; 是□ 否□ 2 商用密码产品销售许可单位实际 情况与申请许可证时报送的材料 是否一致; 是□ 否□ 3 商用密码产品销售许可单位是否 如实登记用户信息并按时上报备 案; 是□ 否□ 4 销售、运输、保管商用密码产品是 否采取了相应的安全措施; 是□ 否□ 5 从事商用密码产品销售的单位和 人员,是否承担了对所接触和掌握 的商用密码技术的保密义务。 是□ 否□
抽查人员:
年 月 日
附件 4: 商用密码随机抽查情况表(商用密码产品) (随抽产)第 号 被抽查产品 产品名称 生 产 \ 销 售 单 位 通信地址 邮编 联系人 电话 序号 抽查事项 抽查结果 备注 1 生产、销售的商用密码产品是否是 国家密码管理机构认可的产品,是 否持有有效的《商用密码产品型号 证书》; 是□ 否□ 2 生产、销售的国家密码管理机构认 可的商用密码产品标识是否规范、 清晰; 是□ 否□ 3 产品宣传手册、说明书、产品铭牌 等是否按照产品方案的要求标注产 品型号,标准内容; 是□ 否□ 4 生产、销售的国家密码管理机构认 可的商用密码产品在使用过程中是 否达到设计要求,其密码算法、主 要部件、密钥体系和安全防护机制 是否与批准的产品方案保持一致; 是□ 否□ 5 生产、销售的国家密码管理机构认 可的商用密码产品存放是否合规、 制度是否健全、登记手续是否完备。 是□ 否□
抽查人员:
年 月 日
附件 5: 商用密码产品随机抽查抽样单
(随抽样)第 号
样品名称 证书编号 商 标 抽样数量 标 识 有 无 抽样场所 被抽查单位 名 称 通信地址 邮编 法定代表人 联系人 电 话 抽查单位 单位名称 通讯地址 邮 编 联系人 电话 被抽查单位负责人签字: 被抽查单位(公章)
年 月 日
抽查人员签字: 抽查单位(公章) 年 月 日 备注:抽样单一式三份,国家密码管理部门、省级密码管理部门和被抽查单位各 留存一份。 附件 6: 商用密码随机抽查封样单(样式)
一、竖式封样单 被 抽 检 单 位 负 责 人 : 商 用 密 码 随 机 抽 查 封 样 单 年 月 日 封 抽 样 人 员 签 字 : 二、横式封样单 注: 1.本文书尺寸大小、封样单材料由省级密码管理部门根据样品具体情况自定, 但须确保字迹能够清晰辨认,且不易浸水损毁。 2.横式和竖式封样单完全等效,可根据具体情况使用,使用时必须经双方签 字认可。 3.为确保样品的真实性,省级密码管理部门可自行采取漆封、特殊材料、拍 照等其他附加的防拆封措施。 商用密码随机抽查 封样单 被抽检单位负责人签字:
抽样人员签字: 年 月 日封
附件 7: 商用密码随机抽查产品确认通知书 (被抽样产品标称生产单位): 根据国家密码管理局统一安排,我局对(商用密码销售 许可单位名称或者金融等重要领域单位名称)进行随机抽查。 经随机抽样,(被抽取的商用密码产品名称)标称为你单位 生产,请予确认,并于 10 个工作日内给予回复。逾期不回 复的,视为确认为你单位生产的产品。
XXX 省(区、市)密码管理局
年月日 附件 8: 商用密码产品随机抽查检测委托书
(随抽检委)第 号
商用密码检测中心: 根据国家密码管理局统一安排,我局委托你中心对随机 抽取的产品进行检测。完成检测后,请及时将检测结果及检 测报告反馈我局。 联系人:联系方式: 附件:送检产品及商用密码产品随机抽查抽样单
XXX 省(区、市)密码管理(盖章)
年月日
沿此虚线剪下,作为收到本《须知》的回执------------------
回 执 《商用密码产品随机抽查检测委托书》已收悉。我中 心将于年月日前将检测报告反馈你局。 接收人:联系方式: 商用密码检测中心(盖章) 年月日 备注:《商用密码产品随机抽查检测委托书》及检测报告需抄送国家密码管理局 附件 9: 商用密码产品随机抽查结果通知单
(产随抽通)第 号
(被抽查单位名称): 我局于年月日至年月日对你单位生产\销售的产品开展 了商用密码随机抽查。经检测,该产品与《商用密码产品型 号证书》申报材料为(不)一致。检测报告附后。 你单位如对检测结果有异议,可在收到此通知单的 10 个工作日内向我局提出复检申请,逾期将视同其认可此检测 结果。复检费用由你单位垫付,复检结果与初检结果判定一 致的,复检费用由你单位承担;复检结果与初检结果不一致 的,复检费用将由(检测机构名称)承担,你单位垫付的费 用将全部退还。 如有其他问题,请与我局联系。 联系人: 联系电话:
XXX 省(区、市)密码管理局
年 月 日 附件 10: 商用密码产品随机抽查结果通知单(复检)
(产随抽通复)第 号
(被抽查单位名称): 根据你单位申请,我局组织对你单位生产\销售的 (异议产品名称)产品进行了复检。经检测,该产品与《商 用密码产品型号证书》申报材料(不)一致。复检报告附后。 联 系 人: 联系电话:
XXX 省(区、市)密码管理局
年 月 日