電子政務(wù)電子認證服務(wù)管理辦法(試行)
各省����、自治區(qū)�、直轄市密碼管理局����,新疆生產(chǎn)建設(shè)兵團密碼管理局�,中央和國家機關(guān)有關(guān)部委密碼工作領(lǐng)導(dǎo)小組辦公室:
為了規(guī)范電子政務(wù)電子認證服務(wù)活動,現(xiàn)將《電子政務(wù)電子認證服務(wù)管理辦法(試行)》印發(fā)你們���。請結(jié)合工作實際��,認真貫徹執(zhí)行����。
本辦法自2009年11月1日起施行��。施行前已從事并擬繼續(xù)從事電子政務(wù)電子認證服務(wù)的電子認證服務(wù)機構(gòu)�,應(yīng)當在2010年5月1日前,按照本辦法的規(guī)定向國家密碼管理局提出認證服務(wù)能力評估申請���;未通過認證服務(wù)能力評估的���,自2010年8月1日起,不得繼續(xù)從事電子政務(wù)電子認證服務(wù)����。
2009年10月20日
目錄
第一章 總?則
第二章?基礎(chǔ)設(shè)施
第三章?服務(wù)機構(gòu)
第四章?服務(wù)應(yīng)用
第五章?監(jiān)督管理
第六章?附?則
第一章 總 則
第一條 為了規(guī)范電子政務(wù)電子認證服務(wù)活動,依據(jù)(中華人民共和國電子簽名法)、(商用密碼管理條例)和國務(wù)院有關(guān)文件��,制定本辦法���。
第二條 本辦法所稱電子政務(wù)電子認證服務(wù)(以下簡稱認證服務(wù))����,是指電子認證服務(wù)機構(gòu)采用密碼技術(shù)���,通過數(shù)字證書��,為各級政務(wù)部門開展社會管理�、公共服務(wù)等政務(wù)活動提供的電子認證服務(wù)���。
電子政務(wù)電子認證服務(wù)包括面向政務(wù)部門的電子政務(wù)電子認證服務(wù)和面向企事業(yè)單位、社會團體�����、社會公眾的電子政務(wù)電子認證服務(wù)�����。
第三條 電子政務(wù)電子認證服務(wù)活動的電子認證基礎(chǔ)設(shè)施、電子認證服務(wù)機構(gòu)���、電子認證服務(wù)應(yīng)用等的管理�,適用本辦法��。
第四條 國家密碼管理局負責(zé)全國電子政務(wù)電子認證服務(wù)活動的監(jiān)督管理工作���。
各省���、自治區(qū)、直轄市和中央國家機關(guān)有關(guān)部委密碼管理部門(以下簡稱省部密碼管理部門)按照國家密碼管理局的統(tǒng)一要求����,負責(zé)本地區(qū)本部門電子政務(wù)電子認證服務(wù)活動的監(jiān)督管理工作。
第二章 基礎(chǔ)設(shè)施
第五條 電子政務(wù)電子認證基礎(chǔ)設(shè)施基于密碼技術(shù)�,由實現(xiàn)數(shù)字證書簽發(fā)、注冊審核和查詢服務(wù)等功能的軟硬件產(chǎn)品和系統(tǒng)組成����。認證服務(wù)活動應(yīng)當依托國家密碼管理局批準的電子政務(wù)電子認證基礎(chǔ)設(shè)施開展。
第六條 用于認證服務(wù)活動的電子政務(wù)電子認證基礎(chǔ)設(shè)施應(yīng)當具備以下條件:
(一)符合電子政務(wù)電子認證體系建設(shè)總體規(guī)劃布局要求���;
(二)采用國家密碼管理局認定的商用密碼產(chǎn)品�;
(三)由具有商用密碼產(chǎn)品生產(chǎn)資質(zhì)的單位承建;
(四)符合(證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范)等標準規(guī)范要求����;
(五)采用國家密碼管理局規(guī)劃建設(shè)的密鑰管理基礎(chǔ)設(shè)施提供密鑰管理服務(wù);
(六)支持電子政務(wù)電子認證源點的管理����;
(七)通過國家密碼管理局安全性審查。
第七條 省����、自治區(qū)、直轄市密碼管理部門確定的本地區(qū)電子政務(wù)電子認證基礎(chǔ)設(shè)施�����,應(yīng)當報經(jīng)國家密碼管理局批準����。
第八條 電子認證服務(wù)機構(gòu)跨區(qū)域建設(shè)注冊審核系統(tǒng)�����,應(yīng)當經(jīng)所服務(wù)的省��、自治區(qū)、直轄市密碼管理里部門批準
第九條 中央和國家機關(guān)有關(guān)部委原則上不再建設(shè)延伸到省�����、自治區(qū)����、直轄市的電子認證基礎(chǔ)設(shè)施。確有特殊需要的���,在提供已建電子政務(wù)電子認證基礎(chǔ)設(shè)施不能滿足其電子認證需要的相關(guān)證明后�,經(jīng)國家密碼管理局批準可以建設(shè)相應(yīng)的電子政務(wù)電子認證基礎(chǔ)設(shè)施��。
第十條 電子政務(wù)電子認證基礎(chǔ)設(shè)施運行過程中���,如有不符合本辦法第六條規(guī)定的情形��,應(yīng)當及時整改���,并報國家密碼管理局重新審查。
第十一條 電子政務(wù)電子認證基礎(chǔ)設(shè)施進行技術(shù)改造����,可能對其功能或者安全性造成影響的��,改造前報所屬省部密碼管理部門備案�����,改造完成后報國家密碼管理局審查通過���,方可投入運行。
第十二條 電子認證服務(wù)機構(gòu)應(yīng)當建立電子政務(wù)電子認證基礎(chǔ)設(shè)施運行管理制度��、安全訪問策略����、軟件控制流程、內(nèi)部審計機制���,以及完善的災(zāi)難恢復(fù)和應(yīng)急響應(yīng)機制�,保障安全運行�。
第十三條 電子認證服務(wù)機構(gòu)按年度對電子政務(wù)電子認證基礎(chǔ)設(shè)施進行安全性評估,并對發(fā)現(xiàn)的問題進行整改����。涉及技術(shù)改造的���,按照本辦法第十一條規(guī)定執(zhí)行���。安全性評估和整改情況報所屬省部密碼管理部門備案�。
第三章 服務(wù)機構(gòu)
第十四條 電子認證服務(wù)機構(gòu)應(yīng)當承擔(dān)以下責(zé)任:
(一) 制定本機構(gòu)的電子政務(wù)電子認證服務(wù)業(yè)務(wù)規(guī)則����,包括責(zé)任范圍、作業(yè)操作規(guī)范�����、安全保障措施等事項���,并在服務(wù)范圍內(nèi)予以發(fā)布����;
(二) 建立相應(yīng)的服務(wù)隊伍���,制定相應(yīng)的服務(wù)規(guī)范���,提供安全可信的認證服務(wù);
(三) 保障電子政務(wù)電子認證基礎(chǔ)設(shè)施的安全可靠運行�;
(四) 加強對從業(yè)人員的安全保密���、職業(yè)道德和崗位技能培訓(xùn)。
第十五條 電子認證服務(wù)機構(gòu)應(yīng)當具備以下條件:
(一) 事業(yè)法人或者取得電子認證服務(wù)許可的國有控股企業(yè)法人��;
(二) 具有經(jīng)國家密碼管理局批準的電子政務(wù)電子認證基礎(chǔ)設(shè)施�����;
(三) 具有與從事認證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員���、運行維護人員�、安全管理人員和服務(wù)人員���;
(四) 具有與認證服務(wù)相適應(yīng)的運行服務(wù)�����、應(yīng)用支持和安全保障等機制�����;
(五) 法律法規(guī)規(guī)定的其他條件�����。
第十六條 面向企事業(yè)單位��、社會團體�����、社會公眾提供服務(wù)的電子認證服務(wù)機構(gòu)����,應(yīng)當取得國務(wù)院信息產(chǎn)業(yè)主管部門頒發(fā)的(電子認證服務(wù)許可證)��。
第十七條 國家密碼管理局組織開展認證服務(wù)能力評估����,發(fā)布(電子政務(wù)電子認證服務(wù)機構(gòu)目錄)。
第十八條 電子認證服務(wù)機構(gòu)申請進行認證服務(wù)能力評估時�,應(yīng)當向所屬省部密碼管理部門提交以下材料:
(一)書面申請;
(二)事業(yè)單位應(yīng)當提交組織機構(gòu)代碼證書��、法人證書以及其他相關(guān)證明文件的復(fù)印件�;企業(yè)應(yīng)當提交組織機構(gòu)代碼證書、營業(yè)執(zhí)照�����、(電子認證服務(wù)許可證)、公司章程以及其他相關(guān)證明文件的復(fù)印件�����;
(三)電子政務(wù)電子認證基礎(chǔ)設(shè)施經(jīng)國家密碼管理局批準的證明材料的復(fù)印件��;
(四)專業(yè)技術(shù)人員�����、運行維護人員��、安全管理人員和服務(wù)人員的資格證明材料��;
(五)本機構(gòu)的電子認證服務(wù)業(yè)務(wù)規(guī)則���;
(六)運行服務(wù)��、應(yīng)用支持和安全保障等機制的相關(guān)材料�����;
(七)國家密碼管理局規(guī)定的其他材料��。
第十九條 省部密碼管理部門應(yīng)當對電子認證服務(wù)機構(gòu)提交的材料進行審查���,并在收到材料之日起十個工作日內(nèi)向申請人告知審查結(jié)果�����。審查通過的,應(yīng)當在審查通過后五個工作日內(nèi)���,將全部材料報國家密碼管理局���。
第二十條 國家密碼管理局應(yīng)當自收到省部密碼管理部門報送的材料之日起三十個工作日內(nèi),組織對電子認證服務(wù)機構(gòu)進行能力評估�����。通過評估的�����,由國家密碼管理局出具通過能力評估的證明文件�,并將電子認證服務(wù)機構(gòu)列入(電子政務(wù)電子認證服務(wù)機構(gòu)目錄),未通過評估的�����,書面通知申請人并說明理由。
第二十一條 電子認證服務(wù)機構(gòu)應(yīng)當提供以下服務(wù)內(nèi)容:
(一)數(shù)字證書的申請�、簽發(fā)、更新����、延期、恢復(fù)����、撤銷等證書生命周期管理服務(wù);
(二)數(shù)字證書信息查詢服務(wù)及數(shù)字證書狀態(tài)信息查詢服務(wù)�;
(三)為數(shù)字證書用戶提供使用支持服務(wù);
(四)為政務(wù)部門提供數(shù)字證書統(tǒng)計����、查詢、下載等支持服務(wù)����,以及與電子政務(wù)系統(tǒng)的數(shù)字證書應(yīng)用集成支持服務(wù);
(五)提供數(shù)字證書相關(guān)培訓(xùn)����。
第二十二條 電子認證服務(wù)機構(gòu)應(yīng)當按照本機構(gòu)發(fā)布的電子認證服務(wù)業(yè)務(wù)規(guī)則開展認證服務(wù)���。
第二十三條 電子認證服務(wù)機構(gòu)跨區(qū)域提供服務(wù)的,應(yīng)當接受所服務(wù)區(qū)域的省�、自治區(qū)、直轄市密碼管理部門的監(jiān)督管理�����。電子認證服務(wù)機構(gòu)應(yīng)當將擬開展服務(wù)的范圍和對象等情況��,提前十個工作日書面告知所服務(wù)區(qū)域的省����、自治區(qū)�、直轄市密碼管理部門;在開展認證服務(wù)后二十個工作日內(nèi)���,應(yīng)當向所服務(wù)區(qū)域的省��、自治區(qū)�����、直轄市密碼管理部門備案�。辦理備案時,提交以下材料:
(一)本機構(gòu)開展認證服務(wù)活動的情況����,包括服務(wù)范圍、服務(wù)對象��、服務(wù)時間等����;
(二)國家密碼管理局出具的通過能力評估的證明文件的復(fù)印件;
(三)本機構(gòu)的電子認證服務(wù)業(yè)務(wù)規(guī)則����,以及運行服務(wù)、應(yīng)用支持和安全保障機制的相關(guān)材料��。
第二十四條 電子認證服務(wù)機構(gòu)應(yīng)當采用符合國家相關(guān)法律法規(guī)要求的載體�,完整記錄、妥善保存與認證相關(guān)的信息�����,并承擔(dān)保密責(zé)任��。面向企事業(yè)單位�����、社會團體、社會公眾的電子政務(wù)電子認證服務(wù)�,信息保存期為證書失效后五年;面向政務(wù)部門的電子政務(wù)電子認證服務(wù)��,信息保存期為證書失效后十年����。
第二十五條 電子認證服務(wù)機構(gòu)應(yīng)當建立信息安全管理機制,制定相關(guān)資產(chǎn)����、人員、物理環(huán)境等的安全策略����,落實安全管理崗位和職責(zé)�,并對安全策略的執(zhí)行情況進行監(jiān)督檢查。
第二十六條 電子認證服務(wù)機構(gòu)應(yīng)當建立業(yè)務(wù)連續(xù)性計劃���,并定期開展業(yè)務(wù)風(fēng)險評估���,依據(jù)評估結(jié)果對本機構(gòu)的電子政務(wù)電子認證服務(wù)業(yè)務(wù)規(guī)則及時進行修訂��,并在服務(wù)范圍內(nèi)予以發(fā)布��。業(yè)務(wù)規(guī)則的修訂��,不應(yīng)當降低電子認證服務(wù)機構(gòu)的服務(wù)能力和水平����。
第四章 服務(wù)應(yīng)用
第二十七條 電子政務(wù)信息系統(tǒng)應(yīng)當根據(jù)業(yè)務(wù)需要采用的電子認證服務(wù)�。
第二十八條 政務(wù)部門應(yīng)當那個從(電子政務(wù)外網(wǎng)電子認證服務(wù)機構(gòu)目錄)中選擇電子認證服務(wù)機構(gòu)提供服務(wù)。
第二十九條 電子政務(wù)信息系統(tǒng)建設(shè)應(yīng)用過程中采用電子認證服務(wù)����,應(yīng)當遵循國家密碼管理局制定的相關(guān)標準規(guī)范。
第三十條 申請使用電子政務(wù)數(shù)字證書的機構(gòu)和個人�����,應(yīng)當向電子認證服務(wù)機構(gòu)提供合法���、有效的證明材料����。
第三十一條 數(shù)字證書所有人應(yīng)當妥善保管數(shù)字證書及其密鑰�����。數(shù)字證書載體丟失或密鑰失控時,數(shù)字證書所有人應(yīng)當立即向電子認證服務(wù)機構(gòu)報告�,由電子認證服務(wù)機構(gòu)撤銷其數(shù)字證書。
第五章 監(jiān)督管理
第三十二條 電子認證服務(wù)機構(gòu)應(yīng)當在每年1月31日前��,向國家密碼管理局提交上一年度的電子政務(wù)電子認證基礎(chǔ)設(shè)施運行管理和認證服務(wù)情況報告�����。
第三十三條 國家密碼管理局按年度對電子認證服務(wù)機構(gòu)的服務(wù)能力進行評估�,不定期對電子認證服務(wù)機構(gòu)的相關(guān)情況進行現(xiàn)場檢查。
第三十四條 電子認證服務(wù)機構(gòu)應(yīng)當根據(jù)年度評估情況和現(xiàn)場檢查情況���,在規(guī)定期限內(nèi)對存在的問題進行整改���,整改期限內(nèi)不得開展新的電子政務(wù)電子認證服務(wù)業(yè)務(wù)。
第三十五條 電子認證服務(wù)機構(gòu)有以下情形之一的����,國家啊密碼管理局責(zé)令其停止服務(wù)���,并經(jīng)該機構(gòu)從(電子政務(wù)外網(wǎng)電子認證服務(wù)機構(gòu)目錄)中撤銷����;
(一) 未依照本辦法開展認證服務(wù)活動并造成惡劣影響的;
(二) 未通過年度評估的����;
(三) 未在規(guī)定期限內(nèi)完成整改的。
第三十六條 電子政務(wù)服務(wù)機構(gòu)被國家密碼管理局停止電子政務(wù)電子認證服務(wù)的�����,其業(yè)務(wù)承接事項的處理按照國家密碼管理局的要求進行����。
第三十七條 電子認證服務(wù)機構(gòu)擬變更機構(gòu)名稱、住所���、法定代表人�����、企業(yè)股本結(jié)構(gòu)或者事業(yè)單位隸屬關(guān)系���,以及可能對電子政務(wù)電子認證服務(wù)產(chǎn)生較大影響事項的,在變更前應(yīng)當將擬變更事項書面告知所屬省部密碼管理部門。其中����,變更事項影響電子認證服務(wù)機構(gòu)設(shè)立條件的,應(yīng)當重新進行能力評估����。
第三十八條 電子認證服務(wù)機構(gòu)擬暫停或者終止認證服務(wù)的��,應(yīng)當在暫?���;蛘呓K止認證服務(wù)六十個工作日前,選定業(yè)務(wù)承接電子認證服務(wù)機構(gòu)����,就業(yè)務(wù)承接有關(guān)事項作出妥善安排,并在暫?;蛘呓K止認證服務(wù)四十五個工作日前向國家密碼管理局報告。
第三十九條 電子認證服務(wù)機構(gòu)擬暫?����;蛘呓K止認證服務(wù)��,不能就業(yè)務(wù)承接事項作出妥善安排的��,應(yīng)當在暫?;蛘呓K止認證服務(wù)六十個工作日前,向國家密碼管理局提出安排其他電子認證服務(wù)機構(gòu)承接業(yè)務(wù)的申請�。
第四十條 電子認證服務(wù)機構(gòu)有義務(wù)按照國家密碼管理局的安排,承接其他電子認證服務(wù)機構(gòu)的電子政務(wù)電子認證服務(wù)業(yè)務(wù)���。
第四十一條 使用電子政務(wù)電子認證服務(wù)的政務(wù)部門���,應(yīng)當接受所屬省部密碼管理部門對其電子政務(wù)電子認證服務(wù)的使用情況的監(jiān)督和檢查。
第四十二條 未按照本辦法采用電子政務(wù)電子認證服務(wù)的�,應(yīng)當按照國家密碼管理局或省部密碼管理部門的要求限期整改。造成重大不良影響或拒不整改的�,國家密碼管理局或省部密碼管理部門予以通報。
第四十三條 電子政務(wù)電子認證服務(wù)管理部門的相關(guān)工作人員�,玩忽職守、濫用職權(quán)�����、徇私舞弊的�,依法給與行政處分。
第六章 附 則
第四十四條 面向各級政務(wù)部門內(nèi)部辦公�、管理����、協(xié)調(diào)�����、監(jiān)督和決策的電子政務(wù)電子認證管理辦法另行制定���。
第四十五條 本辦法自2009年11月1日起施行�。
