電子政務(wù)電子認(rèn)證服務(wù)管理辦法(試行)
各省�����、自治區(qū)�����、直轄市密碼管理局,新疆生產(chǎn)建設(shè)兵團(tuán)密碼管理局���,中央和國家機(jī)關(guān)有關(guān)部委密碼工作領(lǐng)導(dǎo)小組辦公室:
為了規(guī)范電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)�,現(xiàn)將《電子政務(wù)電子認(rèn)證服務(wù)管理辦法(試行)》印發(fā)你們����。請(qǐng)結(jié)合工作實(shí)際,認(rèn)真貫徹執(zhí)行�����。
本辦法自2009年11月1日起施行����。施行前已從事并擬繼續(xù)從事電子政務(wù)電子認(rèn)證服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)����,應(yīng)當(dāng)在2010年5月1日前��,按照本辦法的規(guī)定向國家密碼管理局提出認(rèn)證服務(wù)能力評(píng)估申請(qǐng)�;未通過認(rèn)證服務(wù)能力評(píng)估的�����,自2010年8月1日起����,不得繼續(xù)從事電子政務(wù)電子認(rèn)證服務(wù)。
2009年10月20日
目錄
第一章 總?則
第二章?基礎(chǔ)設(shè)施
第三章?服務(wù)機(jī)構(gòu)
第四章?服務(wù)應(yīng)用
第五章?監(jiān)督管理
第六章?附?則
第一章 總 則
第一條 為了規(guī)范電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)�,依據(jù)(中華人民共和國電子簽名法)、(商用密碼管理?xiàng)l例)和國務(wù)院有關(guān)文件��,制定本辦法�。
第二條 本辦法所稱電子政務(wù)電子認(rèn)證服務(wù)(以下簡(jiǎn)稱認(rèn)證服務(wù)),是指電子認(rèn)證服務(wù)機(jī)構(gòu)采用密碼技術(shù)�,通過數(shù)字證書,為各級(jí)政務(wù)部門開展社會(huì)管理��、公共服務(wù)等政務(wù)活動(dòng)提供的電子認(rèn)證服務(wù)�。
電子政務(wù)電子認(rèn)證服務(wù)包括面向政務(wù)部門的電子政務(wù)電子認(rèn)證服務(wù)和面向企事業(yè)單位、社會(huì)團(tuán)體����、社會(huì)公眾的電子政務(wù)電子認(rèn)證服務(wù)�����。
第三條 電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)的電子認(rèn)證基礎(chǔ)設(shè)施��、電子認(rèn)證服務(wù)機(jī)構(gòu)����、電子認(rèn)證服務(wù)應(yīng)用等的管理��,適用本辦法�。
第四條 國家密碼管理局負(fù)責(zé)全國電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)的監(jiān)督管理工作。
各省��、自治區(qū)����、直轄市和中央國家機(jī)關(guān)有關(guān)部委密碼管理部門(以下簡(jiǎn)稱省部密碼管理部門)按照國家密碼管理局的統(tǒng)一要求,負(fù)責(zé)本地區(qū)本部門電子政務(wù)電子認(rèn)證服務(wù)活動(dòng)的監(jiān)督管理工作�。
第二章 基礎(chǔ)設(shè)施
第五條 電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施基于密碼技術(shù)�����,由實(shí)現(xiàn)數(shù)字證書簽發(fā)、注冊(cè)審核和查詢服務(wù)等功能的軟硬件產(chǎn)品和系統(tǒng)組成���。認(rèn)證服務(wù)活動(dòng)應(yīng)當(dāng)依托國家密碼管理局批準(zhǔn)的電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施開展���。
第六條 用于認(rèn)證服務(wù)活動(dòng)的電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施應(yīng)當(dāng)具備以下條件:
(一)符合電子政務(wù)電子認(rèn)證體系建設(shè)總體規(guī)劃布局要求;
(二)采用國家密碼管理局認(rèn)定的商用密碼產(chǎn)品�����;
(三)由具有商用密碼產(chǎn)品生產(chǎn)資質(zhì)的單位承建�;
(四)符合(證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范)等標(biāo)準(zhǔn)規(guī)范要求;
(五)采用國家密碼管理局規(guī)劃建設(shè)的密鑰管理基礎(chǔ)設(shè)施提供密鑰管理服務(wù)����;
(六)支持電子政務(wù)電子認(rèn)證源點(diǎn)的管理;
(七)通過國家密碼管理局安全性審查��。
第七條 省�����、自治區(qū)����、直轄市密碼管理部門確定的本地區(qū)電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施��,應(yīng)當(dāng)報(bào)經(jīng)國家密碼管理局批準(zhǔn)����。
第八條 電子認(rèn)證服務(wù)機(jī)構(gòu)跨區(qū)域建設(shè)注冊(cè)審核系統(tǒng)�,應(yīng)當(dāng)經(jīng)所服務(wù)的省、自治區(qū)���、直轄市密碼管理里部門批準(zhǔn)
第九條 中央和國家機(jī)關(guān)有關(guān)部委原則上不再建設(shè)延伸到省�����、自治區(qū)�、直轄市的電子認(rèn)證基礎(chǔ)設(shè)施����。確有特殊需要的,在提供已建電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施不能滿足其電子認(rèn)證需要的相關(guān)證明后���,經(jīng)國家密碼管理局批準(zhǔn)可以建設(shè)相應(yīng)的電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施�。
第十條 電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施運(yùn)行過程中��,如有不符合本辦法第六條規(guī)定的情形,應(yīng)當(dāng)及時(shí)整改��,并報(bào)國家密碼管理局重新審查����。
第十一條 電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施進(jìn)行技術(shù)改造����,可能對(duì)其功能或者安全性造成影響的,改造前報(bào)所屬省部密碼管理部門備案����,改造完成后報(bào)國家密碼管理局審查通過,方可投入運(yùn)行�����。
第十二條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施運(yùn)行管理制度���、安全訪問策略�����、軟件控制流程��、內(nèi)部審計(jì)機(jī)制�����,以及完善的災(zāi)難恢復(fù)和應(yīng)急響應(yīng)機(jī)制��,保障安全運(yùn)行��。
第十三條 電子認(rèn)證服務(wù)機(jī)構(gòu)按年度對(duì)電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施進(jìn)行安全性評(píng)估�����,并對(duì)發(fā)現(xiàn)的問題進(jìn)行整改���。涉及技術(shù)改造的��,按照本辦法第十一條規(guī)定執(zhí)行���。安全性評(píng)估和整改情況報(bào)所屬省部密碼管理部門備案。
第三章 服務(wù)機(jī)構(gòu)
第十四條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)以下責(zé)任:
(一) 制定本機(jī)構(gòu)的電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則�,包括責(zé)任范圍、作業(yè)操作規(guī)范�����、安全保障措施等事項(xiàng),并在服務(wù)范圍內(nèi)予以發(fā)布����;
(二) 建立相應(yīng)的服務(wù)隊(duì)伍,制定相應(yīng)的服務(wù)規(guī)范�����,提供安全可信的認(rèn)證服務(wù)�����;
(三) 保障電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施的安全可靠運(yùn)行��;
(四) 加強(qiáng)對(duì)從業(yè)人員的安全保密����、職業(yè)道德和崗位技能培訓(xùn)�����。
第十五條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具備以下條件:
(一) 事業(yè)法人或者取得電子認(rèn)證服務(wù)許可的國有控股企業(yè)法人��;
(二) 具有經(jīng)國家密碼管理局批準(zhǔn)的電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施�����;
(三) 具有與從事認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員、運(yùn)行維護(hù)人員�����、安全管理人員和服務(wù)人員����;
(四) 具有與認(rèn)證服務(wù)相適應(yīng)的運(yùn)行服務(wù)、應(yīng)用支持和安全保障等機(jī)制�����;
(五) 法律法規(guī)規(guī)定的其他條件�。
第十六條 面向企事業(yè)單位、社會(huì)團(tuán)體�、社會(huì)公眾提供服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu),應(yīng)當(dāng)取得國務(wù)院信息產(chǎn)業(yè)主管部門頒發(fā)的(電子認(rèn)證服務(wù)許可證)�����。
第十七條 國家密碼管理局組織開展認(rèn)證服務(wù)能力評(píng)估�����,發(fā)布(電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄)。
第十八條 電子認(rèn)證服務(wù)機(jī)構(gòu)申請(qǐng)進(jìn)行認(rèn)證服務(wù)能力評(píng)估時(shí)�,應(yīng)當(dāng)向所屬省部密碼管理部門提交以下材料:
(一)書面申請(qǐng);
(二)事業(yè)單位應(yīng)當(dāng)提交組織機(jī)構(gòu)代碼證書��、法人證書以及其他相關(guān)證明文件的復(fù)印件����;企業(yè)應(yīng)當(dāng)提交組織機(jī)構(gòu)代碼證書、營(yíng)業(yè)執(zhí)照���、(電子認(rèn)證服務(wù)許可證)、公司章程以及其他相關(guān)證明文件的復(fù)印件����;
(三)電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施經(jīng)國家密碼管理局批準(zhǔn)的證明材料的復(fù)印件;
(四)專業(yè)技術(shù)人員��、運(yùn)行維護(hù)人員��、安全管理人員和服務(wù)人員的資格證明材料����;
(五)本機(jī)構(gòu)的電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則;
(六)運(yùn)行服務(wù)��、應(yīng)用支持和安全保障等機(jī)制的相關(guān)材料;
(七)國家密碼管理局規(guī)定的其他材料�����。
第十九條 省部密碼管理部門應(yīng)當(dāng)對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)提交的材料進(jìn)行審查�,并在收到材料之日起十個(gè)工作日內(nèi)向申請(qǐng)人告知審查結(jié)果。審查通過的��,應(yīng)當(dāng)在審查通過后五個(gè)工作日內(nèi)���,將全部材料報(bào)國家密碼管理局�。
第二十條 國家密碼管理局應(yīng)當(dāng)自收到省部密碼管理部門報(bào)送的材料之日起三十個(gè)工作日內(nèi)�,組織對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行能力評(píng)估。通過評(píng)估的���,由國家密碼管理局出具通過能力評(píng)估的證明文件�����,并將電子認(rèn)證服務(wù)機(jī)構(gòu)列入(電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄)�,未通過評(píng)估的���,書面通知申請(qǐng)人并說明理由�。
第二十一條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)提供以下服務(wù)內(nèi)容:
(一)數(shù)字證書的申請(qǐng)、簽發(fā)�����、更新�、延期、恢復(fù)���、撤銷等證書生命周期管理服務(wù)�����;
(二)數(shù)字證書信息查詢服務(wù)及數(shù)字證書狀態(tài)信息查詢服務(wù);
(三)為數(shù)字證書用戶提供使用支持服務(wù)���;
(四)為政務(wù)部門提供數(shù)字證書統(tǒng)計(jì)��、查詢���、下載等支持服務(wù),以及與電子政務(wù)系統(tǒng)的數(shù)字證書應(yīng)用集成支持服務(wù)�;
(五)提供數(shù)字證書相關(guān)培訓(xùn)。
第二十二條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)按照本機(jī)構(gòu)發(fā)布的電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則開展認(rèn)證服務(wù)����。
第二十三條 電子認(rèn)證服務(wù)機(jī)構(gòu)跨區(qū)域提供服務(wù)的�,應(yīng)當(dāng)接受所服務(wù)區(qū)域的省�����、自治區(qū)�、直轄市密碼管理部門的監(jiān)督管理。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)將擬開展服務(wù)的范圍和對(duì)象等情況�����,提前十個(gè)工作日書面告知所服務(wù)區(qū)域的省�����、自治區(qū)�����、直轄市密碼管理部門��;在開展認(rèn)證服務(wù)后二十個(gè)工作日內(nèi)���,應(yīng)當(dāng)向所服務(wù)區(qū)域的省���、自治區(qū)���、直轄市密碼管理部門備案。辦理備案時(shí)���,提交以下材料:
(一)本機(jī)構(gòu)開展認(rèn)證服務(wù)活動(dòng)的情況����,包括服務(wù)范圍��、服務(wù)對(duì)象���、服務(wù)時(shí)間等�;
(二)國家密碼管理局出具的通過能力評(píng)估的證明文件的復(fù)印件���;
(三)本機(jī)構(gòu)的電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則,以及運(yùn)行服務(wù)�、應(yīng)用支持和安全保障機(jī)制的相關(guān)材料。
第二十四條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)采用符合國家相關(guān)法律法規(guī)要求的載體�����,完整記錄、妥善保存與認(rèn)證相關(guān)的信息�,并承擔(dān)保密責(zé)任。面向企事業(yè)單位�����、社會(huì)團(tuán)體�����、社會(huì)公眾的電子政務(wù)電子認(rèn)證服務(wù)����,信息保存期為證書失效后五年;面向政務(wù)部門的電子政務(wù)電子認(rèn)證服務(wù)���,信息保存期為證書失效后十年����。
第二十五條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全管理機(jī)制�����,制定相關(guān)資產(chǎn)、人員�����、物理環(huán)境等的安全策略�����,落實(shí)安全管理崗位和職責(zé)���,并對(duì)安全策略的執(zhí)行情況進(jìn)行監(jiān)督檢查���。
第二十六條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立業(yè)務(wù)連續(xù)性計(jì)劃,并定期開展業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估�����,依據(jù)評(píng)估結(jié)果對(duì)本機(jī)構(gòu)的電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則及時(shí)進(jìn)行修訂����,并在服務(wù)范圍內(nèi)予以發(fā)布。業(yè)務(wù)規(guī)則的修訂�,不應(yīng)當(dāng)降低電子認(rèn)證服務(wù)機(jī)構(gòu)的服務(wù)能力和水平�。
第四章 服務(wù)應(yīng)用
第二十七條 電子政務(wù)信息系統(tǒng)應(yīng)當(dāng)根據(jù)業(yè)務(wù)需要采用的電子認(rèn)證服務(wù)。
第二十八條 政務(wù)部門應(yīng)當(dāng)那個(gè)從(電子政務(wù)外網(wǎng)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄)中選擇電子認(rèn)證服務(wù)機(jī)構(gòu)提供服務(wù)。
第二十九條 電子政務(wù)信息系統(tǒng)建設(shè)應(yīng)用過程中采用電子認(rèn)證服務(wù)��,應(yīng)當(dāng)遵循國家密碼管理局制定的相關(guān)標(biāo)準(zhǔn)規(guī)范�。
第三十條 申請(qǐng)使用電子政務(wù)數(shù)字證書的機(jī)構(gòu)和個(gè)人,應(yīng)當(dāng)向電子認(rèn)證服務(wù)機(jī)構(gòu)提供合法��、有效的證明材料����。
第三十一條 數(shù)字證書所有人應(yīng)當(dāng)妥善保管數(shù)字證書及其密鑰。數(shù)字證書載體丟失或密鑰失控時(shí)�����,數(shù)字證書所有人應(yīng)當(dāng)立即向電子認(rèn)證服務(wù)機(jī)構(gòu)報(bào)告����,由電子認(rèn)證服務(wù)機(jī)構(gòu)撤銷其數(shù)字證書。
第五章 監(jiān)督管理
第三十二條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)在每年1月31日前�,向國家密碼管理局提交上一年度的電子政務(wù)電子認(rèn)證基礎(chǔ)設(shè)施運(yùn)行管理和認(rèn)證服務(wù)情況報(bào)告。
第三十三條 國家密碼管理局按年度對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的服務(wù)能力進(jìn)行評(píng)估�����,不定期對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的相關(guān)情況進(jìn)行現(xiàn)場(chǎng)檢查���。
第三十四條 電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)年度評(píng)估情況和現(xiàn)場(chǎng)檢查情況����,在規(guī)定期限內(nèi)對(duì)存在的問題進(jìn)行整改,整改期限內(nèi)不得開展新的電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)���。
第三十五條 電子認(rèn)證服務(wù)機(jī)構(gòu)有以下情形之一的�����,國家啊密碼管理局責(zé)令其停止服務(wù)����,并經(jīng)該機(jī)構(gòu)從(電子政務(wù)外網(wǎng)電子認(rèn)證服務(wù)機(jī)構(gòu)目錄)中撤銷����;
(一) 未依照本辦法開展認(rèn)證服務(wù)活動(dòng)并造成惡劣影響的;
(二) 未通過年度評(píng)估的����;
(三) 未在規(guī)定期限內(nèi)完成整改的。
第三十六條 電子政務(wù)服務(wù)機(jī)構(gòu)被國家密碼管理局停止電子政務(wù)電子認(rèn)證服務(wù)的���,其業(yè)務(wù)承接事項(xiàng)的處理按照國家密碼管理局的要求進(jìn)行����。
第三十七條 電子認(rèn)證服務(wù)機(jī)構(gòu)擬變更機(jī)構(gòu)名稱���、住所��、法定代表人����、企業(yè)股本結(jié)構(gòu)或者事業(yè)單位隸屬關(guān)系�,以及可能對(duì)電子政務(wù)電子認(rèn)證服務(wù)產(chǎn)生較大影響事項(xiàng)的,在變更前應(yīng)當(dāng)將擬變更事項(xiàng)書面告知所屬省部密碼管理部門���。其中�,變更事項(xiàng)影響電子認(rèn)證服務(wù)機(jī)構(gòu)設(shè)立條件的�����,應(yīng)當(dāng)重新進(jìn)行能力評(píng)估���。
第三十八條 電子認(rèn)證服務(wù)機(jī)構(gòu)擬暫?����;蛘呓K止認(rèn)證服務(wù)的�����,應(yīng)當(dāng)在暫?��;蛘呓K止認(rèn)證服務(wù)六十個(gè)工作日前��,選定業(yè)務(wù)承接電子認(rèn)證服務(wù)機(jī)構(gòu)�����,就業(yè)務(wù)承接有關(guān)事項(xiàng)作出妥善安排����,并在暫?����;蛘呓K止認(rèn)證服務(wù)四十五個(gè)工作日前向國家密碼管理局報(bào)告��。
第三十九條 電子認(rèn)證服務(wù)機(jī)構(gòu)擬暫?���;蛘呓K止認(rèn)證服務(wù)����,不能就業(yè)務(wù)承接事項(xiàng)作出妥善安排的����,應(yīng)當(dāng)在暫?;蛘呓K止認(rèn)證服務(wù)六十個(gè)工作日前,向國家密碼管理局提出安排其他電子認(rèn)證服務(wù)機(jī)構(gòu)承接業(yè)務(wù)的申請(qǐng)�。
第四十條 電子認(rèn)證服務(wù)機(jī)構(gòu)有義務(wù)按照國家密碼管理局的安排,承接其他電子認(rèn)證服務(wù)機(jī)構(gòu)的電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)�。
第四十一條 使用電子政務(wù)電子認(rèn)證服務(wù)的政務(wù)部門,應(yīng)當(dāng)接受所屬省部密碼管理部門對(duì)其電子政務(wù)電子認(rèn)證服務(wù)的使用情況的監(jiān)督和檢查����。
第四十二條 未按照本辦法采用電子政務(wù)電子認(rèn)證服務(wù)的,應(yīng)當(dāng)按照國家密碼管理局或省部密碼管理部門的要求限期整改���。造成重大不良影響或拒不整改的����,國家密碼管理局或省部密碼管理部門予以通報(bào)����。
第四十三條 電子政務(wù)電子認(rèn)證服務(wù)管理部門的相關(guān)工作人員�����,玩忽職守���、濫用職權(quán)、徇私舞弊的���,依法給與行政處分����。
第六章 附 則
第四十四條 面向各級(jí)政務(wù)部門內(nèi)部辦公�、管理、協(xié)調(diào)����、監(jiān)督和決策的電子政務(wù)電子認(rèn)證管理辦法另行制定。
第四十五條 本辦法自2009年11月1日起施行���。
