返回首页 >> 政策规范

电子政务电子认证服务管理办法(试行)

第一章 总 则
  第一条 为了规范电子政务电子认证服务活动,依据(中华人民共和国电子签名法)、(商用密码管理条例)和国务院有关文件,制定本办法。
  第二条 本办法所称电子政务电子认证服务(以下简称认证服务),是指电子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。
  电子政务电子认证服务包括面向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务。
  第三条 电子政务电子认证服务活动的电子认证基础设施、电子认证服务机构、电子认证服务应用等的管理,适用本办法。
  第四条 国家密码管理局负责全国电子政务电子认证服务活动的监督管理工作。
  各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称省部密码管理部门)按照国家密码管理局的统一要求,负责本地区本部门电子政务电子认证服务活动的监督管理工作。
第二章 基础设施
  第五条 电子政务电子认证基础设施基于密码技术,由实现数字证书签发、注册审核和查询服务等功能的软硬件产品和系统组成。认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。
  第六条 用于认证服务活动的电子政务电子认证基础设施应当具备以下条件:
  (一)符合电子政务电子认证体系建设总体规划布局要求;
  (二)采用国家密码管理局认定的商用密码产品;
  (三)由具有商用密码产品生产资质的单位承建;
  (四)符合(证书认证系统密码及其相关安全技术规范)等标准规范要求;
  (五)采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务;
  (六)支持电子政务电子认证源点的管理;
  (七)通过国家密码管理局安全性审查。
  第七条 省、自治区、直辖市密码管理部门确定的本地区电子政务电子认证基础设施,应当报经国家密码管理局批准。
  第八条 电子认证服务机构跨区域建设注册审核系统,应当经所服务的省、自治区、直辖市密码管理里部门批准
  第九条 中央和国家机关有关部委原则上不再建设延伸到省、自治区、直辖市的电子认证基础设施。确有特殊需要的,在提供已建电子政务电子认证基础设施不能满足其电子认证需要的相关证明后,经国家密码管理局批准可以建设相应的电子政务电子认证基础设施。
  第十条 电子政务电子认证基础设施运行过程中,如有不符合本办法第六条规定的情形,应当及时整改,并报国家密码管理局重新审查。
  第十一条 电子政务电子认证基础设施进行技术改造,可能对其功能或者安全性造成影响的,改造前报所属省部密码管理部门备案,改造完成后报国家密码管理局审查通过,方可投入运行。
  第十二条 电子认证服务机构应当建立电子政务电子认证基础设施运行管理制度、安全访问策略、软件控制流程、内部审计机制,以及完善的灾难恢复和应急响应机制,保障安全运行。
  第十三条 电子认证服务机构按年度对电子政务电子认证基础设施进行安全性评估,并对发现的问题进行整改。涉及技术改造的,按照本办法第十一条规定执行。安全性评估和整改情况报所属省部密码管理部门备案。
第三章 服务机构
  第十四条 电子认证服务机构应当承担以下责任:
  (一) 制定本机构的电子政务电子认证服务业务规则,包括责任范围、作业操作规范、安全保障措施等事项,并在服务范围内予以发布;
  (二) 建立相应的服务队伍,制定相应的服务规范,提供安全可信的认证服务;
  (三) 保障电子政务电子认证基础设施的安全可靠运行;
  (四) 加强对从业人员的安全保密、职业道德和岗位技能培训。
  第十五条 电子认证服务机构应当具备以下条件:
  (一) 事业法人或者取得电子认证服务许可的国有控股企业法人;
  (二) 具有经国家密码管理局批准的电子政务电子认证基础设施;
  (三) 具有与从事认证服务相适应的专业技术人员、运行维护人员、安全管理人员和服务人员;
  (四) 具有与认证服务相适应的运行服务、应用支持和安全保障等机制;
  (五) 法律法规规定的其他条件。
  第十六条 面向企事业单位、社会团体、社会公众提供服务的电子认证服务机构,应当取得国务院信息产业主管部门颁发的(电子认证服务许可证)。
  第十七条 国家密码管理局组织开展认证服务能力评估,发布(电子政务电子认证服务机构目录)。
  第十八条 电子认证服务机构申请进行认证服务能力评估时,应当向所属省部密码管理部门提交以下材料:
  (一)书面申请;
  (二)事业单位应当提交组织机构代码证书、法人证书以及其他相关证明文件的复印件;企业应当提交组织机构代码证书、营业执照、(电子认证服务许可证)、公司章程以及其他相关证明文件的复印件;
  (三)电子政务电子认证基础设施经国家密码管理局批准的证明材料的复印件;
  (四)专业技术人员、运行维护人员、安全管理人员和服务人员的资格证明材料;
  (五)本机构的电子认证服务业务规则;
  (六)运行服务、应用支持和安全保障等机制的相关材料;
  (七)国家密码管理局规定的其他材料。
  第十九条 省部密码管理部门应当对电子认证服务机构提交的材料进行审查,并在收到材料之日起十个工作日内向申请人告知审查结果。审查通过的,应当在审查通过后五个工作日内,将全部材料报国家密码管理局。
  第二十条 国家密码管理局应当自收到省部密码管理部门报送的材料之日起三十个工作日内,组织对电子认证服务机构进行能力评估。通过评估的,由国家密码管理局出具通过能力评估的证明文件,并将电子认证服务机构列入(电子政务电子认证服务机构目录),未通过评估的,书面通知申请人并说明理由。
  第二十一条 电子认证服务机构应当提供以下服务内容:
  (一)数字证书的申请、签发、更新、延期、恢复、撤销等证书生命周期管理服务;
  (二)数字证书信息查询服务及数字证书状态信息查询服务;
  (三)为数字证书用户提供使用支持服务;
  (四)为政务部门提供数字证书统计、查询、下载等支持服务,以及与电子政务系统的数字证书应用集成支持服务;
  (五)提供数字证书相关培训。
  第二十二条 电子认证服务机构应当按照本机构发布的电子认证服务业务规则开展认证服务。
  第二十三条 电子认证服务机构跨区域提供服务的,应当接受所服务区域的省、自治区、直辖市密码管理部门的监督管理。电子认证服务机构应当将拟开展服务的范围和对象等情况,提前是个工作日书面告知所服务区域的省、自治区、直辖市密码管理部门;在开展认证服务后二十个工作日内,应当向所服务区域的省、自治区、直辖市密码管理部门备案。办理备案时,提交以下材料:
  (一)本机构开展认证服务活动的情况,包括服务范围、服务对象、服务时间等;
  (二)国家密码管理局出具的通过能力评估的证明文件的复印件;
  (三)本机构的电子认证服务业务规则,以及运行服务、应用支持和安全保障机制的相关材料。
  第二十四条 电子认证服务机构应当采用符合国家相关法律法规要求的载体,完整记录、妥善保存与认证相关的信息,并承担保密责任。面向企事业单位、社会团体、社会公众的电子政务电子认证服务,信息保存期为证书失效后五年;面向政务部门的电子政务电子认证服务,信息保存期为证书失效后十年。
  第二十五条 电子认证服务机构应当建立信息安全管理机制,制定相关资产、人员、物理环境等的安全策略,落实安全管理岗位和职责,并对安全策略的执行情况进行监督检查。
  第二十六条 电子认证服务机构应当建立业务连续性计划,并定期开展业务风险评估,依据评估结果对本机构的电子政务电子认证服务业务规则及时进行修订,并在服务范围内予以发布。业务规则的修订,不应当降低电子认证服务机构的服务能力和水平。
第四章 服务应用
  第二十七条 电子政务信息系统应当根据业务需要采用的电子认证服务。
  第二十八条 政务部门应当那个从(电子政务外网电子认证服务机构目录)中选择电子认证服务机构提供服务。
  第二十九条 电子政务信息系统建设应用过程中采用电子认证服务,应当遵循国家密码管理局制定的相关标准规范。
  第三十条 申请使用电子政务数字证书的机构和个人,应当向电子认证服务机构提供合法、有效的证明材料。
  第三十一条 数字证书所有人应当妥善保管数字证书及其密钥。数字证书载体丢失或密钥失控时,数字证书所有人应当立即向电子认证服务机构报告,由电子认证服务机构撤销其数字证书。
第五章 监督管理
  第三十二条 电子认证服务机构应当在美奶奶1月31日前,向国家密码管理局提交上一年度的电子政务电子认证基础设施运行管理和认证服务情况报告。
  第三十三条 国家密码管理局按年度对电子认证服务机构的服务能力进行评估,不定期对电子认证服务机构的相关情况进行现场检查。
  第三十四条 电子认证服务机构应当根据年度评估情况和现场检查情况,在规定期限内对存在的问题进行整改,整改期限内不得开展新的电子政务电子认证服务业务。
  第三十五条 电子认证服务机构有以下情形之一的,国家啊密码管理局责令其停止服务,并经该机构从(电子政务外网电子认证服务机构目录)中撤销;
  (一) 未依照本办法开展认证服务活动并造成恶劣影响的;
  (二) 未通过年度评估的;
  (三) 未在规定期限内完成整改的。
  第三十六条 电子政务服务机构被国家密码管理局停止电子政务电子认证服务的,其业务承接事项的处理按照国家密码管理局的要求进行。
  第三十七条 电子认证服务机构拟变更机构名称、住所、法定代表人、企业股本结构或者事业单位隶属关系,以及可能对电子政务电子认证服务产生较大影响事项的,在变更前应当将拟变更事项书面告知所属省部密码管理部门。其中,变更事项影响电子认证服务机构设立条件的,应当重新进行能力评估。
  第三十八条 电子认证服务机构拟暂停或者终止认证服务的,应当在暂停或者终止认证服务六十个工作日前,选定业务承接电子认证服务机构,就业务承接有关事项作出妥善安排,并在暂停或者终止认证服务四十五个工作日前向国家密码管理局报告。
  第三十九条 电子认证服务机构拟暂停或者终止认证服务,不能就业务承接事项作出妥善安排的,应当在暂停或者终止认证服务六十个工作日前,向国家密码管理局提出安排其他电子认证服务机构承接业务的申请。
  第四十条 电子认证服务机构有义务按照国家密码管理局的安排,承接其他电子认证服务机构的电子政务电子认证服务业务。
  第四十一条 使用电子政务电子认证服务的政务部门,应当接受所属省部密码管理部门对其电子政务电子认证服务的使用情况的监督和检查。
  第四十二条 未按照本办法采用电子政务电子认证服务的,应当按照国家密码管理局或省部密码管理部门的要求限期整改。造成重大不良影响或拒不整改的,国家密码管理局或省部密码管理部门予以通报。
  第四十三条 电子政务电子认证服务管理部门的相关工作人员,玩忽职守、滥用职权、徇私舞弊的,依法给与行政处分。
第六章 附 则
  第四十四条 面向各级政务部门内部办公、管理、协调、监督和决策的电子政务电子认证管理办法另行制定。
  第四十五条 本办法自2009年11月1日起施行。