国家密码管理局令
第 6 号
《电子认证服务使用密码管理办法》已经2026年4月13日国家密码管理局局务会议审议通过,现予公布,自2026年7月1日起施行。
局 长 张英方
2026 年5 月 30日
电子认证服务使用密码管理办法
第一条 为了规范电子认证服务使用密码行为,保障电子认证服务使用密码安全,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密码管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内的电子认证服务使用密码及其监督管理,适用本办法。
第三条 采用商用密码技术提供电子认证服务,应当依法取得国家密码管理局颁发的《电子认证服务使用密码许可证》。
第四条 国家密码管理局对全国电子认证服务使用密码行为实施监督管理。
县级以上地方各级密码管理部门对本行政区域的电子认证服务使用密码行为实施监督管理。
第五条 申请《电子认证服务使用密码许可证》,应当具备下列条件:
(一)具有企业法人资格;
(二)具有与电子认证服务使用密码相适应的运营场所;
(三)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;
(四)具有密码或者相关专业知识的专业技术人员和安全管理人员等专业人员;
(五)具有与电子认证服务使用密码相适应的专业能力;
(六)具有与电子认证服务使用密码相适应的管理体系。
第六条 申请《电子认证服务使用密码许可证》,应当向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料:
(一)书面申请表;
(二)企业法人营业执照;
(三)运营场所情况;
(四)电子认证服务系统相关技术材料及相关设备清单,包括建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告,相关软件、硬件清单及其符合国家有关安全标准的情况等;
(五)专业人员情况;
(六)专业能力情况;
(七)电子认证服务使用密码管理体系建立情况,包括电子认证服务系统运行管理、设备管理、人员管理、文档管理、安全保密管理等管理体系建立情况。
第七条 受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。
第八条 国家密码管理局应当自行政许可申请受理之日起20个工作日内,对行政许可申请进行审查,并依法作出是否许可的决定。准予许可的,颁发《电子认证服务使用密码许可证》,并予以公开;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将技术评审所需时间书面告知申请人。
第九条 国家密码管理局根据行政许可申请审查需要,可以委托专业机构或者组织专家实施技术评审。
技术评审包括电子认证服务系统安全性审查和互联互通测试,运营场所、设备设施、管理体系建设实地查勘等。
专业机构和专家应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。
第十条 《电子认证服务使用密码许可证》有效期5年,内容包括:获证机构名称、证书编号、有效期限、发证机关和发证日期等。
第十一条 有下列情形之一的,获得《电子认证服务使用密码许可证》的机构应当自变更之日起30日内向国家密码管理局办理变更手续:
(一)机构名称、住所、法定代表人发生变更;
(二)电子认证服务系统等设备设施发生变化,影响或者可能影响电子认证服务使用密码安全;
(三)新建、搬迁电子认证服务系统;
(四)依法需要办理变更的其他事项。
获得《电子认证服务使用密码许可证》的机构发生变更的事项影响其符合许可条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第九条规定对其开展技术评审。
第十二条 《电子认证服务使用密码许可证》有效期届满需要延续的,应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式进行审查,并在《电子认证服务使用密码许可证》有效期届满前作出是否准予延续的决定。
第十三条 获得《电子认证服务使用密码许可证》的机构应当按照国家有关密码管理要求履行电子认证服务使用密码安全管理义务,保证其电子认证服务使用密码持续符合要求。
第十四条 电子认证服务系统所需密钥服务由国家密码管理局或者省、自治区、直辖市密码管理部门规划的密钥管理系统提供。
第十五条 获得《电子认证服务使用密码许可证》的机构应当落实电子认证服务系统运行维护制度,明确关键岗位和岗位责任,制定操作规范,加强巡检和运行维护,提高监测预警和应急处置能力,及时消除电子认证服务系统运行安全隐患,保证电子认证服务系统安全可靠运行。
第十六条 获得《电子认证服务使用密码许可证》的机构应当自行或者委托专业机构每年至少进行一次电子认证服务使用密码合规性评估,对评估中发现的问题及时进行整改,并向住所地省、自治区、直辖市密码管理部门报送电子认证服务使用密码合规性评估报告。
第十七条 获得《电子认证服务使用密码许可证》的机构应当制定电子认证服务使用密码安全教育培训计划,每年组织开展电子认证服务使用密码安全知识和岗位技能培训,相关专业技术人员和安全管理人员每年教育培训时间不得少于20个小时。
第十八条 密码管理部门依法对电子认证服务使用密码情况进行监督检查,可以采取书面检查、现场检查、网络监测等方式。
第十九条 密码管理部门依法实施监督检查时,可以进入电子认证服务活动场所实施现场检查,调查、了解有关情况,查阅、复制有关资料,并可以委托专业机构或者组织专家开展有关检测鉴定工作。
获得《电子认证服务使用密码许可证》的机构应当予以配合,并如实提供相关材料和技术支持。
第二十条 密码管理部门开展监督检查,不得影响电子认证服务系统的正常运行,不得收取任何费用,不得泄露或者非法向他人提供在履行职责中知悉的商业秘密和个人隐私。
第二十一条 获得《电子认证服务使用密码许可证》的机构违反本办法有关规定,有下列情形之一的,由密码管理部门责令限期改正;逾期未改正的,给予警告、通报批评;情节严重的,处1万元以上10万元以下罚款:
(一)未按照本办法第十一条第一款规定办理变更手续;
(二)电子认证服务系统所需密钥服务未由国家密码管理局或者省、自治区、直辖市密码管理部门规划的密钥管理系统提供;
(三)未按照本办法第十五条规定履行电子认证服务系统运行维护相关义务;
(四)未按照要求进行电子认证服务使用密码合规性评估,或者未对评估中发现的问题及时进行整改;
(五)未按照要求开展电子认证服务使用密码安全知识和岗位技能培训。
第二十二条 从事电子认证服务使用密码监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
第二十三条 《电子认证服务使用密码许可证》依法被吊销、撤销、注销的,由国家密码管理局将有关情况通报国务院工业和信息化主管部门。
第二十四条 法律、行政法规和国家有关规定对电子政务电子认证服务使用密码管理另有规定的,从其规定。
第二十五条 本办法自2026年7月1日起施行。2009年10月28日国家密码管理局公告第17号公布,根据2017年12月1日《国家密码管理局关于废止和修改部分管理规定的决定》修正的《电子认证服务密码管理办法》同时废止。