电子政务电子认证服务管理办法 (试行)
国密局发〔 2009〕7号
第一章 总则
第一条 为了规范电子政务电子认证服务活动,依据《中华人民共和国电子
签名法》、《商用密码管理条例》和国务院有关文件,制定本办法。
第二条 本办法所称电子政务电子认证服务(以下简称认证服务),是指电
子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管
理、公共服务等政务活动提供的电子认证服务。电子政务电子认证服务包括面
向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众
的电子政务电子认证服务。
第三条 电子政务电子认证服务活动的电子认证基础设施、电子认证服务机
构、电子认证服务应用等的管理,适用本办法。
第四条 国家密码管理局负责全国电子政务电子认证服务活动的监督管理工
作。
各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称
省部密码管理部门)按照国家密码管理局的统一要求,负责本地区本部门电子
政务电子认证服务活动的监督管理工作。
第二章 基础设施
第五条 电子政务电子认证基础设施基于密码技术,由实现数字证书签发、
注册审核和查询服务等功能的软硬件产品和系统组成。认证服务活动应当依托
国家密码管理局批准的电子政务电子认证基础设施开展。
第六条 用于认证服务活动的电子政务电子认证基础设施应当具备以下条
件:
(一)符合电子政务电子认证体系建设总体规划布局要求;
(二)采用国家密码管理局认定的商用密码产品;
(三)由具有商用密码产品生产资质的单位承建;
(四)符合(证书认证系统密码及其相关安全技术规范)等标准规范要
求;
(五)采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服
务;
(六)支持电子政务电子认证源点的管理;
(七)通过国家密码管理局安全性审查。
第七条 省、自治区、直辖市密码管理部门确定的本地区电子政务电子认证
基础设施,应当报经国家密码管理局批准。
第八条 电子认证服务机构跨区域建设注册审核系统,应当经所服务的省、
自治区、直辖市密码管理里部门批准。
第九条 中央和国家机关有关部委原则上不再建设延伸到省、自治区、直辖
市的电子认证基础设施。确有特殊需要的,在提供已建电子政务电子认证基础
设施不能满足其电子认证需要的相关证明后,经国家密码管理局批准可以建设
相应的电子政务电子认证基础设施。
第十条 电子政务电子认证基础设施运行过程中,如有不符合本办法第六条
规定的情形,应当及时整改,并报国家密码管理局重新审查。
第十一条 电子政务电子认证基础设施进行技术改造,可能对其功能或者安
全性造成影响的,改造前报所属省部密码管理部门备案,改造完成后报国家密
码管理局审查通过,方可投入运行。
第十二条 电子认证服务机构应当建立电子政务电子认证基础设施运行管理
制度、安全访问策略、软件控制流程、内部审计机制,以及完善的灾难恢复和
应急响应机制,保障安全运行。
第十三条 电子认证服务机构按年度对电子政务电子认证基础设施进行安全
性评估,并对发现的问题进行整改。涉及技术改造的,按照本办法第十一条规
定执行。安全性评估和整改情况报所属省部密码管理部门备案。
第三章 服务机构
第十四条 电子认证服务机构应当承担以下责任:
(一) 制定本机构的电子政务电子认证服务业务规则,包括责任范围、作
业操作规范、安全保障措施等事项,并在服务范围内予以发布;
(二) 建立相应的服务队伍,制定相应的服务规范,提供安全可信的认证
服务;
(三) 保障电子政务电子认证基础设施的安全可靠运行;
(四) 加强对从业人员的安全保密、职业道德和岗位技能培训。
第十五条 电子认证服务机构应当具备以下条件:
(一) 事业法人或者取得电子认证服务许可的国有控股企业法人;
(二) 具有经国家密码管理局批准的电子政务电子认证基础设施;
(三) 具有与从事认证服务相适应的专业技术人员、运行维护人员、安全
管理人员和服务人员;
(四) 具有与认证服务相适应的运行服务、应用支持和安全保障等机制;
(五) 法律法规规定的其他条件。
第十六条 面向企事业单位、社会团体、社会公众提供服务的电子认证服务
机构,应当取得国务院信息产业主管部门颁发的《电子认证服务许可证》。
第十七条 国家密码管理局组织开展认证服务能力评估,发布《电子政务电
子认证服务机构目录》。
第十八条 电子认证服务机构申请进行认证服务能力评估时,应当向所属省
部密码管理部门提交以下材料:
(一)书面申请;
(二)事业单位应当提交组织机构代码证书、法人证书以及其他相关证明
文件的复印件;企业应当提交组织机构代码证书、营业执照、(电子认证服务
许可证)、公司章程以及其他相关证明文件的复印件;
(三)电子政务电子认证基础设施经国家密码管理局批准的证明材料的复
印件;
(四)专业技术人员、运行维护人员、安全管理人员和服务人员的资格证
明材料;
(五)本机构的电子认证服务业务规则;
(六)运行服务、应用支持和安全保障等机制的相关材料;
(七)国家密码管理局规定的其他材料。
第十九条 省部密码管理部门应当对电子认证服务机构提交的材料进行审
查,并在收到材料之日起十个工作日内向申请人告知审查结果。审查通过的,
应当在审查通过后五个工作日内,将全部材料报国家密码管理局。
第二十条 国家密码管理局应当自收到省部密码管理部门报送的材料之日起
三十个工作日内,组织对电子认证服务机构进行能力评估。通过评估的,由国
家密码管理局出具通过能力评估的证明文件,并将电子认证服务机构列入《电
子政务电子认证服务机构目录》,未通过评估的,书面通知申请人并说明理
由。
第二十一条 电子认证服务机构应当提供以下服务内容:
(一)数字证书的申请、签发、更新、延期、恢复、撤销等证书生命周期
管理服务;
(二)数字证书信息查询服务及数字证书状态信息查询服务;
(三)为数字证书用户提供使用支持服务;
(四)为政务部门提供数字证书统计、查询、下载等支持服务,以及与电
子政务系统的数字证书应用集成支持服务;
(五)提供数字证书相关培训。
第二十二条 电子认证服务机构应当按照本机构发布的电子认证服务业务规
则开展认证服务。
第二十三条 电子认证服务机构跨区域提供服务的,应当接受所服务区域的
省、自治区、直辖市密码管理部门的监督管理。电子认证服务机构应当将拟开
展服务的范围和对象等情况,提前十个工作日书面告知所服务区域的省、自治
区、直辖市密码管理部门;在开展认证服务后二十个工作日内,应当向所服务
区域的省、自治区、直辖市密码管理部门备案。办理备案时,提交以下材料:
(一)本机构开展认证服务活动的情况,包括服务范围、服务对象、服务
时间等;
(二)国家密码管理局出具的通过能力评估的证明文件的复印件;
(三)本机构的电子认证服务业务规则,以及运行服务、应用支持和安全
保障机制的相关材料。
第二十四条 电子认证服务机构应当采用符合国家相关法律法规要求的载
体,完整记录、妥善保存与认证相关的信息,并承担保密责任。面向企事业单
位、社会团体、社会公众的电子政务电子认证服务,信息保存期为证书失效后
五年;面向政务部门的电子政务电子认证服务,信息保存期为证书失效后十
年。
第二十五条 电子认证服务机构应当建立信息安全管理机制,制定相关资
产、人员、物理环境等的安全策略,落实安全管理岗位和职责,并对安全策略
的执行情况进行监督检查。
第二十六条 电子认证服务机构应当建立业务连续性计划,并定期开展业务
风险评估,依据评估结果对本机构的电子政务电子认证服务业务规则及时进行
修订,并在服务范围内予以发布。业务规则的修订,不应当降低电子认证服务
机构的服务能力和水平。
第四章 服务应用
第二十七条 电子政务信息系统应当根据业务需要采用的电子认证服务。
第二十八条 政务部门应当那个从《电子政务外网电子认证服务机构目录》
中选择电子认证服务机构提供服务。
第二十九条 电子政务信息系统建设应用过程中采用电子认证服务,应当遵
循国家密码管理局制定的相关标准规范。
第三十条 申请使用电子政务数字证书的机构和个人,应当向电子认证服务
机构提供合法、有效的证明材料。
第三十一条 数字证书所有人应当妥善保管数字证书及其密钥。数字证书载
体丢失或密钥失控时,数字证书所有人应当立即向电子认证服务机构报告,由
电子认证服务机构撤销其数字证书。
第五章 监督管理
第三十二条 电子认证服务机构应当在每年 1月31日前,向国家密码管理
局提交上一年度的电子政务电子认证基础设施运行管理和认证服务情况报告。
第三十三条 国家密码管理局按年度对电子认证服务机构的服务能力进行评
估,不定期对电子认证服务机构的相关情况进行现场检查。
第三十四条 电子认证服务机构应当根据年度评估情况和现场检查情况,在
规定期限内对存在的问题进行整改,整改期限内不得开展新的电子政务电子认
证服务业务。
第三十五条 电子认证服务机构有以下情形之一的,国家密码管理局责令其
停止服务,并经该机构从《电子政务外网电子认证服务机构目录》中撤销;
(一) 未依照本办法开展认证服务活动并造成恶劣影响的;
(二) 未通过年度评估的;
(三) 未在规定期限内完成整改的。
第三十六条 电子政务服务机构被国家密码管理局
电子政务电子认证服务管理办法(试行)
文档预览
中文文档
7 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共7页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-07-15 21:19:48上传分享