國家密碼管理局令

第 6 號

《電子認證服務使用密碼管理辦法》已經2026年4月13日國家密碼管理局局務會議審議通過，現予公布，自2026年7月1日起施行。

局 長 張英方

2026 年5月30日

電子認證服務使用密碼管理辦法

第一條 為了規范電子認證服務使用密碼行為，保障電子認證服務使用密碼安全，根據《中華人民共和國電子簽名法》、《中華人民共和國密碼法》和《商用密碼管理條例》等法律、行政法規，制定本辦法。

第二條 在中華人民共和國境內的電子認證服務使用密碼及其監督管理，適用本辦法。

第三條 采用商用密碼技術提供電子認證服務，應當依法取得國家密碼管理局頒發的《電子認證服務使用密碼許可證》。

第四條 國家密碼管理局對全國電子認證服務使用密碼行為實施監督管理。

縣級以上地方各級密碼管理部門對本行政區域的電子認證服務使用密碼行為實施監督管理。

第五條 申請《電子認證服務使用密碼許可證》，應當具備下列條件：

（一）具有企業法人資格；

（二）具有與電子認證服務使用密碼相適應的運營場所；

（三）具有在境內設置、符合國家有關密碼標準的電子認證服務系統等設備設施；

（四）具有密碼或者相關專業知識的專業技術人員和安全管理人員等專業人員；

（五）具有與電子認證服務使用密碼相適應的專業能力；

（六）具有與電子認證服務使用密碼相適應的管理體系。

第六條 申請《電子認證服務使用密碼許可證》，應當向國家密碼管理局委托進行受理的省、自治區、直轄市密碼管理部門提交下列材料：

（一）書面申請表；

（二）企業法人營業執照；

（三）運營場所情況；

（四）電子認證服務系統相關技術材料及相關設備清單，包括建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規范、標準符合性自評估報告，相關軟件、硬件清單及其符合國家有關安全標準的情況等；

（五）專業人員情況；

（六）專業能力情況；

（七）電子認證服務使用密碼管理體系建立情況，包括電子認證服務系統運行管理、設備管理、人員管理、文檔管理、安全保密管理等管理體系建立情況。

第七條 受國家密碼管理局委托進行受理的省、自治區、直轄市密碼管理部門自收到申請材料之日起5個工作日內，對申請材料進行形式審查，根據下列情況分別作出處理：申請材料齊全、符合規定形式的，應當受理行政許可申請并出具受理通知書；申請材料不齊全或者不符合規定形式的，應當當場或者在5個工作日內一次告知需要補正的全部內容；不予受理的，應當出具不予受理通知書并說明理由。

第八條 國家密碼管理局應當自行政許可申請受理之日起20個工作日內，對行政許可申請進行審查，并依法作出是否許可的決定。準予許可的，頒發《電子認證服務使用密碼許可證》，并予以公開；不予許可的，應當出具不予行政許可決定書，說明理由并告知申請人相關權利。

需要對申請人進行技術評審的，技術評審所需時間不計算在本條規定的期限內。國家密碼管理局應當將技術評審所需時間書面告知申請人。

第九條 國家密碼管理局根據行政許可申請審查需要，可以委托專業機構或者組織專家實施技術評審。

技術評審包括電子認證服務系統安全性審查和互聯互通測試，運營場所、設備設施、管理體系建設實地查勘等。

專業機構和專家應當獨立、公正、科學、誠信地開展技術評審活動，對技術評審結論的真實性、符合性負責，并承擔相應法律責任。國家密碼管理局應當對技術評審活動進行監督，建立責任追究機制。

第十條 《電子認證服務使用密碼許可證》有效期5年，內容包括：獲證機構名稱、證書編號、有效期限、發證機關和發證日期等。

第十一條 有下列情形之一的，獲得《電子認證服務使用密碼許可證》的機構應當自變更之日起30日內向國家密碼管理局辦理變更手續：

（一）機構名稱、住所、法定代表人發生變更；

（二）電子認證服務系統等設備設施發生變化，影響或者可能影響電子認證服務使用密碼安全；

（三）新建、搬遷電子認證服務系統；

（四）依法需要辦理變更的其他事項。

獲得《電子認證服務使用密碼許可證》的機構發生變更的事項影響其符合許可條件和要求的，國家密碼管理局根據申請人的實際情況，采取書面或者現場形式開展審查。需要進行技術評審的，依照本辦法第九條規定對其開展技術評審。

第十二條 《電子認證服務使用密碼許可證》有效期屆滿需要延續的，應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局根據申請人的實際情況，采取書面或者現場形式進行審查，并在《電子認證服務使用密碼許可證》有效期屆滿前作出是否準予延續的決定。

第十三條 獲得《電子認證服務使用密碼許可證》的機構應當按照國家有關密碼管理要求履行電子認證服務使用密碼安全管理義務，保證其電子認證服務使用密碼持續符合要求。

第十四條 電子認證服務系統所需密鑰服務由國家密碼管理局或者省、自治區、直轄市密碼管理部門規劃的密鑰管理系統提供。

第十五條 獲得《電子認證服務使用密碼許可證》的機構應當落實電子認證服務系統運行維護制度，明確關鍵崗位和崗位責任，制定操作規范，加強巡檢和運行維護，提高監測預警和應急處置能力，及時消除電子認證服務系統運行安全隱患，保證電子認證服務系統安全可靠運行。

第十六條 獲得《電子認證服務使用密碼許可證》的機構應當自行或者委托專業機構每年至少進行一次電子認證服務使用密碼合規性評估，對評估中發現的問題及時進行整改，并向住所地省、自治區、直轄市密碼管理部門報送電子認證服務使用密碼合規性評估報告。

第十七條 獲得《電子認證服務使用密碼許可證》的機構應當制定電子認證服務使用密碼安全教育培訓計劃，每年組織開展電子認證服務使用密碼安全知識和崗位技能培訓，相關專業技術人員和安全管理人員每年教育培訓時間不得少于20個小時。

第十八條 密碼管理部門依法對電子認證服務使用密碼情況進行監督檢查，可以采取書面檢查、現場檢查、網絡監測等方式。

第十九條 密碼管理部門依法實施監督檢查時，可以進入電子認證服務活動場所實施現場檢查，調查、了解有關情況，查閱、復制有關資料，并可以委托專業機構或者組織專家開展有關檢測鑒定工作。

獲得《電子認證服務使用密碼許可證》的機構應當予以配合，并如實提供相關材料和技術支持。

第二十條 密碼管理部門開展監督檢查，不得影響電子認證服務系統的正常運行，不得收取任何費用，不得泄露或者非法向他人提供在履行職責中知悉的商業秘密和個人隱私。

第二十一條 獲得《電子認證服務使用密碼許可證》的機構違反本辦法有關規定，有下列情形之一的，由密碼管理部門責令限期改正；逾期未改正的，給予警告、通報批評；情節嚴重的，處1萬元以上10萬元以下罰款：

（一）未按照本辦法第十一條第一款規定辦理變更手續；

（二）電子認證服務系統所需密鑰服務未由國家密碼管理局或者省、自治區、直轄市密碼管理部門規劃的密鑰管理系統提供；

（三）未按照本辦法第十五條規定履行電子認證服務系統運行維護相關義務；

（四）未按照要求進行電子認證服務使用密碼合規性評估，或者未對評估中發現的問題及時進行整改；

（五）未按照要求開展電子認證服務使用密碼安全知識和崗位技能培訓。

第二十二條 從事電子認證服務使用密碼監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的，依法給予處分。

第二十三條 《電子認證服務使用密碼許可證》依法被吊銷、撤銷、注銷的，由國家密碼管理局將有關情況通報國務院工業和信息化主管部門。

第二十四條 法律、行政法規和國家有關規定對電子政務電子認證服務使用密碼管理另有規定的，從其規定。

第二十五條 本辦法自2026年7月1日起施行。2009年10月28日國家密碼管理局公告第17號公布，根據2017年12月1日《國家密碼管理局關于廢止和修改部分管理規定的決定》修正的《電子認證服務密碼管理辦法》同時廢止。

附件：

《電子認證服務使用密碼管理辦法》（文字版）.doc

《電子認證服務使用密碼管理辦法》（PDF版）.pdf

來源：國家密碼管理局

編輯：鄧毛毛

監審：張效婧

終審：吳 濤

關注我們 了解更多

發布網信政務信息

解讀網信政策法規