2026-06-05

电子认证服务使用密码管理办法(国家密码管理局令第6号)发布!

2026 年 6 月 3 日,国家密码管理局依托《中华人民共和国密码法》《中华人民共和国电子签名法》《商用密码管理条例》等法律法规,修订出台的《电子认证服务使用密码管理办法》(国家密码管理局令第6号)(以下简称《办法》)在官方网站对外公布,该规章自 2026 年 7 月 1 日起正式实施。

图片


《办法》共 25 条,主要从适用范围、管理体制、许可证办理及运行规范等方面进行了系统修订。首先,明确了在中华人民共和国境内电子认证服务使用密码及其监督管理适用本办法,并由国家及地方各级密码管理部门负责实施监管。在许可证办理方面,增设了办理条件,规范了申请、受理、审查及技术评审等程序,并对许可证的变更、延续等事项提出了明确要求。


其次,《办法》强化了事中事后监管,要求持证机构落实安全管理、密钥服务、运行维护、合规性评估及人员培训等规范,以保障电子认证服务系统的安全可靠运行。同时,进一步明确了密码管理部门的监督检查职责、方式与措施,以及违规行为应承担的法律责任。此外,《办法》还就与工业和信息化主管部门的许可管理衔接、与其他法律法规的关系及施行时间等作出了规定。


亚数TrustAsia 作为具备全项合规资质的电子认证服务机构(先后获得国密局《电子认证服务使用密码许可证》、工信部《电子认证服务许可证》、国密局《电子政务电子认证服务机构资质证书》),拥有自主可控根证书体系与全栈商用密码技术能力,深耕可信数字认证领域多年,紧跟政策迭代持续完善内部合规管控体系。




图片




《办法》发布后,公司将全面落实各项新规要求,筑牢商用密码合规防线,践行可信认证主体使命,携手全行业助推电子认证业务规范化、高质量发展。


以下为《办法》全文:


国家密码管理局令

第 6 号


《电子认证服务使用密码管理办法》已经2026年4月13日国家密码管理局局务会议审议通过,现予公布,自2026年7月1日起施行。


局  长 张英方

    2026年5月30日


电子认证服务使用密码管理办法


第一条 为了规范电子认证服务使用密码行为,保障电子认证服务使用密码安全,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密码管理条例》等法律、行政法规,制定本办法。


第二条 在中华人民共和国境内的电子认证服务使用密码及其监督管理,适用本办法。


第三条 采用商用密码技术提供电子认证服务,应当依法取得国家密码管理局颁发的《电子认证服务使用密码许可证》。


第四条 国家密码管理局对全国电子认证服务使用密码行为实施监督管理。


县级以上地方各级密码管理部门对本行政区域的电子认证服务使用密码行为实施监督管理。


第五条 申请《电子认证服务使用密码许可证》,应当具备下列条件:

(一)具有企业法人资格;

(二)具有与电子认证服务使用密码相适应的运营场所;

(三)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;

(四)具有密码或者相关专业知识的专业技术人员和安全管理人员等专业人员;

(五)具有与电子认证服务使用密码相适应的专业能力;

(六)具有与电子认证服务使用密码相适应的管理体系。


第六条 申请《电子认证服务使用密码许可证》,应当向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料:

(一)书面申请表;

(二)企业法人营业执照;

(三)运营场所情况;

(四)电子认证服务系统相关技术材料及相关设备清单,包括建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告,相关软件、硬件清单及其符合国家有关安全标准的情况等;

(五)专业人员情况;

(六)专业能力情况;

(七)电子认证服务使用密码管理体系建立情况,包括电子认证服务系统运行管理、设备管理、人员管理、文档管理、安全保密管理等管理体系建立情况。


第七条 受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。


第八条 国家密码管理局应当自行政许可申请受理之日起20个工作日内,对行政许可申请进行审查,并依法作出是否许可的决定。准予许可的,颁发《电子认证服务使用密码许可证》,并予以公开;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。

需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将技术评审所需时间书面告知申请人。


第九条 国家密码管理局根据行政许可申请审查需要,可以委托专业机构或者组织专家实施技术评审。

技术评审包括电子认证服务系统安全性审查和互联互通测试,运营场所、设备设施、管理体系建设实地查勘等。

专业机构和专家应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。


第十条 《电子认证服务使用密码许可证》有效期5年,内容包括:获证机构名称、证书编号、有效期限、发证机关和发证日期等。


第十一条 有下列情形之一的,获得《电子认证服务使用密码许可证》的机构应当自变更之日起30日内向国家密码管理局办理变更手续:

(一)机构名称、住所、法定代表人发生变更;

(二)电子认证服务系统等设备设施发生变化,影响或者可能影响电子认证服务使用密码安全;

(三)新建、搬迁电子认证服务系统;

(四)依法需要办理变更的其他事项。

获得《电子认证服务使用密码许可证》的机构发生变更的事项影响其符合许可条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第九条规定对其开展技术评审。


第十二条 《电子认证服务使用密码许可证》有效期届满需要延续的,应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式进行审查,并在《电子认证服务使用密码许可证》有效期届满前作出是否准予延续的决定。


第十三条 获得《电子认证服务使用密码许可证》的机构应当按照国家有关密码管理要求履行电子认证服务使用密码安全管理义务,保证其电子认证服务使用密码持续符合要求。


第十四条 电子认证服务系统所需密钥服务由国家密码管理局或者省、自治区、直辖市密码管理部门规划的密钥管理系统提供。


第十五条 获得《电子认证服务使用密码许可证》的机构应当落实电子认证服务系统运行维护制度,明确关键岗位和岗位责任,制定操作规范,加强巡检和运行维护,提高监测预警和应急处置能力,及时消除电子认证服务系统运行安全隐患,保证电子认证服务系统安全可靠运行。


第十六条 获得《电子认证服务使用密码许可证》的机构应当自行或者委托专业机构每年至少进行一次电子认证服务使用密码合规性评估,对评估中发现的问题及时进行整改,并向住所地省、自治区、直辖市密码管理部门报送电子认证服务使用密码合规性评估报告。


第十七条 获得《电子认证服务使用密码许可证》的机构应当制定电子认证服务使用密码安全教育培训计划,每年组织开展电子认证服务使用密码安全知识和岗位技能培训,相关专业技术人员和安全管理人员每年教育培训时间不得少于20个小时。


第十八条 密码管理部门依法对电子认证服务使用密码情况进行监督检查,可以采取书面检查、现场检查、网络监测等方式。


第十九条 密码管理部门依法实施监督检查时,可以进入电子认证服务活动场所实施现场检查,调查、了解有关情况,查阅、复制有关资料,并可以委托专业机构或者组织专家开展有关检测鉴定工作。

获得《电子认证服务使用密码许可证》的机构应当予以配合,并如实提供相关材料和技术支持。


第二十条 密码管理部门开展监督检查,不得影响电子认证服务系统的正常运行,不得收取任何费用,不得泄露或者非法向他人提供在履行职责中知悉的商业秘密和个人隐私。


第二十一条 获得《电子认证服务使用密码许可证》的机构违反本办法有关规定,有下列情形之一的,由密码管理部门责令限期改正;逾期未改正的,给予警告、通报批评;情节严重的,处1万元以上10万元以下罚款:

(一)未按照本办法第十一条第一款规定办理变更手续;

(二)电子认证服务系统所需密钥服务未由国家密码管理局或者省、自治区、直辖市密码管理部门规划的密钥管理系统提供;

(三)未按照本办法第十五条规定履行电子认证服务系统运行维护相关义务;

(四)未按照要求进行电子认证服务使用密码合规性评估,或者未对评估中发现的问题及时进行整改;

(五)未按照要求开展电子认证服务使用密码安全知识和岗位技能培训。


第二十二条 从事电子认证服务使用密码监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。


第二十三条 《电子认证服务使用密码许可证》依法被吊销、撤销、注销的,由国家密码管理局将有关情况通报国务院工业和信息化主管部门。


第二十四条 法律、行政法规和国家有关规定对电子政务电子认证服务使用密码管理另有规定的,从其规定。


第二十五条 本办法自2026年7月1日起施行。2009年10月28日国家密码管理局公告第17号公布,根据2017年12月1日《国家密码管理局关于废止和修改部分管理规定的决定》修正的《电子认证服务密码管理办法》同时废止。