电子认证服务密码管理规定

电子认证服务密码管理规定范文为进一步加强电子认证服务密码的管理，保障用户身份和信息的安全，提高电子认证服务的质量和可信度，制定本规定。

一、密码的设置和复杂性要求1. 用户密码应由数字、字母和特殊字符组合，长度不得少于8位，且至少包含一个大写字母、一个小写字母、一个数字和一个特殊字符。

2. 用户密码不得使用生日、手机号码、身份证号码等容易猜测的信息，避免使用常见的易被破解的密码。

二、密码的保密与共享1. 用户密码是用户个人信息的重要保护措施，用户应妥善保管个人密码，不得将密码泄露、出借或共享给他人。

2. 电子认证服务提供者不得要求用户将密码提供给其进行存储，也不得以任何方式获取用户的密码。

三、密码的定期更换1. 用户密码应定期进行更换，建议每三个月更换一次。

2. 用户在更换密码时，不能使用最近一年内已经使用过的密码，不能将新密码与旧密码过于相似。

四、密码找回机制1. 当用户遗忘密码或需要找回密码时，应提供有效的身份证明材料，经过电子认证服务提供者的验证后，方可重新设置密码。

2. 密码找回过程中应采取多重验证方式，并采取加密措施保护用户的个人信息和账户安全。

五、密码保护技术1. 电子认证服务提供者应采用现代密码保护技术，对用户密码进行加密存储和传输，确保密码的安全性和可靠性。

2. 电子认证服务提供者应制定相应的安全策略和防范措施，防止密码被恶意攻击、破解或泄露。

六、密码使用规范1. 用户在使用电子认证服务时，应遵循相关的密码使用规范，不得将密码用于非法用途或进行违法活动。

2. 用户密码不得与其他账户密码相同，应将所有的账户密码保持独立和独特性。

七、密码安全教育1. 电子认证服务提供者应对用户进行密码安全教育，提高用户对密码安全的认知和重视程度。

2. 用户应加强自身的密码安全意识，定期学习和了解密码保护的最新知识和技术。

八、违规处理1. 对于违反密码管理规定的用户，电子认证服务提供者有权采取相应的处理措施，包括但不限于限制或终止用户的账户及服务使用权限。

卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2009.12.25•【文号】卫办发[2009]125号•【施行日期】2010.01.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部关于印发《卫生系统电子认证服务管理办法（试行）》的通知(卫办发〔2009〕125号)各省、自治区、直辖市卫生厅局，新疆生产建设兵团卫生局：为保障卫生信息系统安全，规范卫生系统电子认证服务体系建设，满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求，依据《中华人民共和国电子签名法》和《电子认证服务管理办法》（工业和信息化部令2009年第1号），结合卫生系统业务特点，我部制定了《卫生系统电子认证服务管理办法（试行）》，并经部务会讨论通过。

现印发给你们，请遵照执行。

附件：卫生系统电子认证服务管理办法（试行）二○○九年十二月二十五日附件卫生系统电子认证服务管理办法（试行）第一章总则第一条为保障卫生信息系统安全，规范卫生系统电子认证服务体系建设，依据《中华人民共和国电子签名法》和《电子认证服务管理办法》（工业和信息化部令2009年第1号），结合卫生系统业务特点，制定本办法。

第二条本办法适用于在全国卫生系统范围内管理、使用和提供电子认证服务的管理方、使用方和提供方。

管理方包括卫生部和各省级卫生行政部门信息化工作领导小组；使用方包括全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员、涉及卫生业务的企事业单位和社会公众；提供方包括为卫生系统提供电子认证服务的电子认证服务机构。

第三条本办法所称电子认证服务，是指电子认证服务机构按照卫生系统电子认证服务体系相关技术标准和服务规范，为使用方提供数字证书的颁发、更新、吊销、密码解锁、密钥恢复以及证书应用等服务，从而满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。

国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知
正文：
----------------------------------------------------------------------------------------------------------------------------------------------------
国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知
国密局字〔2018〕572号
各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局，深圳市密码管理局：现将修订后的《电子政务电子认证服务业务规则规范》印发你们，自2019年3月1日起施行。

2010年9月9日印发的《电子政务电子认证服务业务规则规范》（国密局字〔2010〕488号）同时废止。

附件：电子政务电子认证服务业务规则规范
国家密码管理局
2018年12月18日
——结束——。

国家密码管理局文件国密局发(2009)7号关于印发（电子政务电子认证服务管理办法）的通知各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局，中央和国家机关有关部委密码工作领导小组办公室:为了规范电子政务电子认证服务活动,现将（电子政务电子认证服务管理办法（试行)印发你们。

请结合工作实际，认真贯彻执行.本办法自2009年11月1日起施行。

施行前已从事并拟继续从事电子政务电子认证服务的电子认证服务机构，应当在2010年5月1日前,按照本办法的规定向国家密码管理局提出认证服务能力评估申请；未通过认证服务能力评估的,自2010年8月1日起，不得继续从事电子政务电子认证服务。

2009年10月20日电子政务电子认证服务管理办法（试行）第一章总则第一条为了规范电子政务电子认证服务活动，依据（中华人民共和国电子签名法)、(商用密码管理条例)和国务院有关文件,制定本办法。

第二条本办法所称电子政务电子认证服务(以下简称认证服务），是指电子认证服务机构采用密码技术,通过数字证书，为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务.电子政务电子认证服务包括面向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务.第三条电子政务电子认证服务活动的电子认证基础设施、电子认证服务机构、电子认证服务应用等的管理，适用本办法。

第四条国家密码管理局负责全国电子政务电子认证服务活动的监督管理工作。

各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称省部密码管理部门)按照国家密码管理局的统一要求，负责本地区本部门电子政务电子认证服务活动的监督管理工作。

第二章基础设施第五条电子政务电子认证基础设施基于密码技术,由实现数字证书签发、注册审核和查询服务等功能的软硬件产品和系统组成。

认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。

第六条用于认证服务活动的电子政务电子认证基础设施应当具备以下条件:(一)符合电子政务电子认证体系建设总体规划布局要求；（二)采用国家密码管理局认定的商用密码产品；(三）由具有商用密码产品生产资质的单位承建;(四）符合(证书认证系统密码及其相关安全技术规范）等标准规范要求；（五）采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务;（六)支持电子政务电子认证源点的管理；(七）通过国家密码管理局安全性审查。

《电子政务电子认证服务管理办法》解读文章属性•【公布机关】国家密码管理局,国家密码管理局,国家密码管理局•【公布日期】2024.09.10•【分类】法规、规章解读正文《电子政务电子认证服务管理办法》解读根据《中华人民共和国密码法》（以下简称《密码法》）、《中华人民共和国电子签名法》（以下简称《电子签名法》）和《商用密码管理条例》（以下简称《条例》）等法律法规，国家密码管理局研究制定了《电子政务电子认证服务管理办法》（国家密码管理局令第4号）（以下简称《办法》），现就《办法》的有关内容解读如下。

一、制定的必要性（一）制定《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。

《密码法》第二十九条明确提出“国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理”的要求。

新修订的《条例》第二十四条规定：“采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。

”为有效贯彻落实上位法规定，按照商用密码依法管理要求，有必要制定《办法》，细化电子政务电子认证服务机构管理措施。

（二）制定《办法》是深化行政审批制度改革、优化营商环境的重要举措。

近年来，党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署，为严格落实行政审批制度改革要求，有必要制定《办法》，明确审批条件，优化审批流程，规范服务行为，为保障电子政务安全可靠，维护电子政务电子认证服务有关各方合法权益，净化市场环境，优化政务服务，规范监管执法提供法治保障和政策支持。

（三）制定《办法》是规范电子政务电子认证服务机构管理的迫切需要。

随着电子政务电子认证服务业的持续发展，电子政务电子认证服务应用需求显著增加，从事电子政务电子认证服务的机构日益增多，急需出台专门规章进一步规范电子政务电子认证服务机构管理工作。

电子认证服务密码管理规定第一章总则第一条为了保护电子认证服务的安全性和用户的个人信息，规范电子认证服务密码的管理，制定本规定。

第二条本规定适用于提供电子认证服务的企事业单位、个人、互联网服务提供者等。

第三条电子认证服务密码是指用户在使用电子认证服务时所使用的密码信息，包括但不限于账号密码、短信验证码、指纹、面部识别等。

第四条电子认证服务密码的管理应当遵循公平、公正、公开的原则，不得侵犯用户的合法权益。

第二章密码的设置与管理第五条用户在使用电子认证服务时，应当按照规定选择强度较高的密码，并定期修改密码。

第六条电子认证服务提供者应当为用户提供合理的密码设置规范和密码强度检测工具，并向用户提示密码设置的注意事项。

第七条用户在设置密码时应当遵循以下原则：（一）密码应当由字母、数字、符号等组成，长度不低于8位；（二）密码应当避免使用容易猜测的信息，如生日、手机号码等；（三）密码应当经常更新，不得长时间未修改。

第八条用户不得将电子认证服务密码告知他人，不得将密码设置为与个人信息相关的信息，如姓名、身份证号码等。

第九条电子认证服务提供者应当采取必要的技术手段和管理措施，确保用户的密码不被他人获取和破解。

第十条用户发现自己的密码被泄露或可能被他人破解时，应当立即向电子认证服务提供者报告，并及时修改密码。

第三章密码的存储与传输第十一条电子认证服务提供者应当确保用户密码的存储安全，不得明文存储用户密码。

第十二条电子认证服务提供者在密码传输过程中应当使用安全加密通道，防止密码被窃取。

第十三条电子认证服务提供者不得将用户密码用于其他非认证相关的服务，不得将用户密码传输给他人。

第四章手机短信验证码的管理第十四条手机短信验证码是一种常用的身份验证方式，电子认证服务提供者应当采取措施确保手机短信验证码的安全性。

第十五条电子认证服务提供者应当与手机运营商合作，加强对手机短信验证码的管理和保护，防止验证码被盗用。

第十六条用户在接收到手机短信验证码后应当及时输入，不得将验证码泄露给他人。

电⼦认证服务密码管理办法第⼀条为了规范电⼦认证服务提供者使⽤密码的⾏为，根据《中华⼈民共和国电⼦签名法》和《商⽤密码管理条例》，制定本办法。

第⼆条国家密码管理局对电⼦认证服务提供者使⽤密码的⾏为实施监督管理。

省、⾃治区、直辖市密码管理机构受国家密码管理局的委托，依据本办法承担有关管理⼯作。

第三条电⼦认证服务提供者采⽤密码技术为社会公众提供第三⽅电⼦认证服务的系统(以下称电⼦认证服务系统)使⽤商⽤密码。

第四条提供电⼦认证服务，应当依据本办法申请《电⼦认证服务使⽤密码许可证》。

第五条申请《电⼦认证服务使⽤密码许可证》应当具备下列条件：(⼀)具有符合《证书认证系统密码及其相关安全技术规范》的电⼦认证服务系统;(⼆)电⼦认证服务系统由具有商⽤密码产品⽣产资质的单位承建;(三)电⼦认证服务系统采⽤的商⽤密码产品是国家密码管理局认定的产品;(四)电⼦认证服务系统通过国家密码管理局安全性审查。

第六条申请《电⼦认证服务使⽤密码许可证》应当向省、⾃治区、直辖市密码管理机构提交下列材料：(⼀)使⽤密码的书⾯申请;(⼆)企业法⼈营业执照或者企业名称预先核准通知书(复印件);(三)电⼦认证服务系统通过安全性审查的通知(复印件)。

第七条省、⾃治区、直辖市密码管理机构应当⾃受理申请材料之⽇起5个⼯作⽇内，将全部申请材料报国家密码管理局。

第⼋条国家密码管理局应当⾃收到省、⾃治区、直辖市密码管理机构报送的材料之⽇起15个⼯作⽇内对申报材料进⾏审查，并做出是否许可的决定。

予以许可的，发给《电⼦认证服务使⽤密码许可证》;不予许可的，书⾯通知申请⼈并说明理由。

第九条电⼦认证服务系统的运⾏应当符合《证书认证系统密码及其相关安全技术规范》。

电⼦认证服务提供者对其电⼦认证服务系统进⾏技术改造的，事先将具体⽅案报国家密码管理局备案，事后向国家密码管理局申请安全性审查，通过审查的⽅可投⼊运⾏。

第⼗条电⼦认证服务提供者擅⾃对电⼦认证服务系统进⾏技术改造的，由国家密码管理局责令改正，并根据不同情况向信息产业主管部门提出处罚建议。

电子认证服务管理办法（2015修订）文章属性•【制定机关】工业和信息化部•【公布日期】2015.04.29•【文号】中华人民共和国工业和信息化部令第29号•【施行日期】2009.03.31•【效力等级】部门规章•【时效性】现行有效•【主题分类】电子信息正文电子认证服务管理办法（2009年2月18日中华人民共和国工业和信息化部令第1号公布。

根据2015年4月29日中华人民共和国工业和信息化部令第29号公布的《工业和信息化部关于修改部分规章的决定》修订）第一章总则第一条为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，根据《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本办法。

第二条本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。

本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构（以下称为“电子认证服务机构”）。

向社会公众提供服务的电子认证服务机构应当依法设立。

第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。

第四条中华人民共和国工业和信息化部（以下简称“工业和信息化部”）依法对电子认证服务机构和电子认证服务实施监督管理。

第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。

（二）具有与提供电子认证服务相适应的人员。

从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。

（三）注册资本不低于人民币三千万元。

（四）具有固定的经营场所和满足电子认证服务要求的物理环境。

（五）具有符合国家有关安全标准的技术和设备。

（六）具有国家密码管理机构同意使用密码的证明文件。

（七）法律、行政法规规定的其他条件。

第六条申请电子认证服务许可的，应当向工业和信息化部提交下列材料：（一）书面申请。

（二）人员证明。

（三）企业法人营业执照副本及复印件。

电子认证服务密码管理办法电子认证服务密码管理办法国家密码管理局公告（第17号）现公布修订后的《电子认证服务密码管理办法》，自2009年12月1日起施行。

2005年3月31日国家密码管理局发布的《电子认证服务密码管理办法》同时废止。

国家密码管理局2009年10月28日中文名电子认证服务密码管理办法办法正文第一条为了规范电子认证服务提供者使用密码的行为，根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定，制定了本办法。

第二条国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。

省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。

第三条提供电子认证服务，应当依据本办法申请《电子认证服务使用密码许可证》。

第四条采用密码技术为社会公众提供第三方电子认证服务的系统（以下称电子认证服务系统）使用商用密码。

电子认证服务系统应当由具有商用密码产品生产资质的单位承建。

第五条电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。

第六条电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。

第七条申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后，向所在地的省、自治区、直辖市密码管理机构提交下列材料：（一）《电子认证服务使用密码许可证申请表》；（二）企业法人营业执照或者企业名称预先核准通知书的复印件；（三）电子认证服务系统安全性审查相关技术材料，包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明；（四）电子认证服务系统互联互通测试相关技术材料；（五）电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件；（六）电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。

第八条申请人提交的申请材料齐全并且符合规定形式的，省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》；申请材料不齐全或者不符合规定形式的，省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。

中华人民共和国工业和信息化部令第1号《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过，现予公布，自2009年3月31日起施行。

原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》（中华人民共和国信息产业部令第35号）同时废止。

部长李毅中二〇〇九年二月二十八日电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，根据《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本办法。

第二条本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。

本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构（以下称为“电子认证服务机构”）。

向社会公众提供服务的电子认证服务机构应当依法设立。

第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。

第四条中华人民共和国工业和信息化部（以下简称“工业和信息化部”）依法对电子认证服务机构和电子认证服务实施监督管理。

第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。

（二）具有与提供电子认证服务相适应的人员。

从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。

（三）注册资本不低于人民币三千万元。

（四）具有固定的经营场所和满足电子认证服务要求的物理环境。

（五）具有符合国家有关安全标准的技术和设备。

（六）具有国家密码管理机构同意使用密码的证明文件。

（七）法律、行政法规规定的其他条件。

第六条申请电子认证服务许可的，应当向工业和信息化部提交下列材料：（一）书面申请。

（二）人员证明。

（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。

（四）经营场所证明。

（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。

电子认证服务管理办法第一章 总 则第一条 为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，根据《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本办法。

第二条 本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。

本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构（以下称为“电子认证服务机构”）。

向社会公众提供服务的电子认证服务机构应当依法设立。

第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。

第四条 中华人民共和国工业和信息化部（以下简称“工业和信息化部”）依法对电子认证服务机构和电子认证服务实施监督管理。

第二章 电子认证服务机构第五条 电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。

（二）具有与提供电子认证服务相适应的人员。

从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。

（三）注册资本不低于人民币三千万元。

（四）具有固定的经营场所和满足电子认证服务要求的物理环境。

（五）具有符合国家有关安全标准的技术和设备。

（六）具有国家密码管理机构同意使用密码的证明文件。

（七）法律、行政法规规定的其他条件。

第六条 申请电子认证服务许可的，应当向工业和信息化部提交下列材料：（一）书面申请。

（二）人员证明。

（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。

（四）经营场所证明。

（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。

（六）国家密码管理机构同意使用密码的证明文件。

第七条 工业和信息化部对提交的申请材料进行形式审查。

申请材料齐全、符合法定形式的，应当向申请人出具受理通知书。

申请材料不齐全或者不符合法定形式的，应当当场或者在五日内一次告知申请人需要补正的全部内容。

中华人民共和国工业和信息化部令第1号《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过，现予公布，自2009年3月31日起施行。

原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》（中华人民共和国信息产业部令第35号）同时废止。

部长李毅中二〇〇九年二月二十八日电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，根据《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本办法。

第二条本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。

本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构（以下称为“电子认证服务机构”）。

向社会公众提供服务的电子认证服务机构应当依法设立。

第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。

第四条中华人民共和国工业和信息化部（以下简称“工业和信息化部”）依法对电子认证服务机构和电子认证服务实施监督管理。

第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。

（二）具有与提供电子认证服务相适应的人员。

从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。

（三）注册资本不低于人民币三千万元。

（四）具有固定的经营场所和满足电子认证服务要求的物理环境。

（五）具有符合国家有关安全标准的技术和设备。

（六）具有国家密码管理机构同意使用密码的证明文件。

（七）法律、行政法规规定的其他条件。

第六条申请电子认证服务许可的，应当向工业和信息化部提交下列材料：（一）书面申请。

（二）人员证明。

（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。

（四）经营场所证明。

（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。

电子政务电子认证服务管理办法文章属性•【制定机关】国家密码管理局•【公布日期】2024.09.04•【文号】国家密码管理局令第4号•【施行日期】2024.11.01•【效力等级】部门规章•【时效性】尚未生效•【主题分类】机关工作正文国家密码管理局令第4号《电子政务电子认证服务管理办法》已经2024年8月26日国家密码管理局局务会议审议通过，现予公布，自2024年11月1日起施行。

局长刘东方2024年9月4日电子政务电子认证服务管理办法第一章总则第一条为了规范电子政务电子认证服务行为，对电子政务电子认证服务机构实施监督管理，保障电子政务安全可靠，维护有关各方合法权益，根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规，制定本办法。

第二条在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理，适用本办法。

第三条本办法所称电子政务电子认证服务，是指采用商用密码技术为政务活动提供电子签名认证服务，保证电子签名的真实性和可靠性的活动。

第四条从事电子政务电子认证服务的机构，应当经国家密码管理局认定，依法取得电子政务电子认证服务机构资质。

第五条国家密码管理局对全国电子政务电子认证服务活动实施监督管理。

县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。

第二章资质认定第六条取得电子政务电子认证服务机构资质，应当符合下列条件：（一）具有企业法人或者事业单位法人资格；（二）具有与从事电子政务电子认证服务活动及其使用密码相适应的资金；（三）具有与从事电子政务电子认证服务活动及其使用密码相适应的运营场所；（四）具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施；（五）具有30名以上与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员；（六）具有为政务活动提供长期电子政务电子认证服务的能力，包括持续保持财务状况良好、运营资金充足、设备设施稳定运行、专业人员队伍稳定，没有重大违法记录或者不良信用记录等；（七）具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。

2023年电子认证服务密码管理规定电子认证服务密码管理是指对用户在进行电子认证过程中使用的密码进行管理的一系列规定和措施。

随着科技的发展和生活的数字化程度越来越高，电子认证已经成为人们日常生活中不可或缺的一部分。

为了保障用户个人信息的安全和减少诈骗、盗用等风险，电子认证服务密码管理规定于2023年正式实施。

首先，规定要求所有电子认证服务提供商必须采用安全可靠的密码存储和传输机制。

密码存储要求采用加密技术，将用户密码进行加密存储，确保即使数据泄露，也无法直接获得用户的明文密码。

密码传输要求必须采用安全通道，使用加密协议进行传输，防止密码在传输过程中被窃取或篡改。

其次，规定要求电子认证服务提供商必须对用户密码进行强制性的复杂度要求。

密码复杂度要求包括密码长度、包含的字符类型等。

密码长度要求最少为8位，且要求包含大小写字母、数字和特殊字符。

通过设定密码复杂度要求，可以增加密码的安全性，减少密码被猜测或暴力破解的可能性。

第三，规定要求电子认证服务提供商必须定期提示用户更换密码。

密码更换周期要求不超过3个月，以保证用户密码的时效性和安全性。

同时，密码更换时要求用户不能重复使用最近几次的密码，以避免密码被反复使用或泄露的风险。

第四，规定要求电子认证服务提供商必须采取措施保护用户密码的安全性。

这包括设置登录失败次数限制，密码锁定等措施，以防止恶意攻击者通过暴力破解等方式获取用户密码。

同时，还要求电子认证服务提供商建立用户密码找回机制，确保用户在忘记密码或账号被盗用时可以及时找回或重置密码。

第五，规定要求电子认证服务提供商严禁将用户密码以明文方式进行存储和传输。

如果有必要进行密码验证或重置等操作，必须采用单向加密算法对用户密码进行处理，确保即使系统被攻破或数据泄露，也无法获取用户的明文密码。

此外，规定还要求电子认证服务提供商建立完善的安全管理措施和监控机制。

包括加强对用户密码数据的权限控制，制定相关操作流程和授权规范，对操作人员进行安全教育和培训，定期进行系统安全性评估和漏洞扫描，发现问题及时修复和升级系统。

电子认证服务密码管理规定范文一、总则为加强电子认证服务密码的管理，保障用户账户的安全性和个人隐私的保护，制定本规定。

二、密码设置要求1. 密码长度不少于8个字符。

2. 密码必须包含数字、大写字母、小写字母和特殊字符中的至少三种。

3. 密码不能与用户账号或常用信息相关联，禁止使用生日、电话号码等容易被猜测的密码。

4. 密码必须定期更换，最长使用期限为90天。

三、密码保护措施1. 用户密码应当由用户自行负责保管，不得向他人透露。

2. 用户密码在传输过程中应采用加密技术保障数据的安全性。

3. 应设立密码输入错误次数上限，超过上限次数将锁定账户，并提醒用户进行密码修改。

4. 出现密码泄露或者遗忘的情况时，应及时通知电子认证服务提供方进行密码重置。

5. 公司内部人员仅在必要情况下可临时获取用户密码，需保证安全性并及时删除相关信息。

四、密码加密存储1. 用户密码在电子认证服务系统中应采用加密算法进行存储。

2. 密码的传输过程应使用安全通道，避免被篡改或截获。

3. 对于历史密码，在用户修改密码后应自动删除或加以妥善保管，以防泄露和重复使用。

五、安全审计与监控1. 应建立相应的安全审计系统，记录用户密码的使用情况，包括修改、重置、登录等操作。

2. 对于异常操作，如密码尝试次数超过限制、频繁密码修改等，应自动触发报警系统并采取相应的安全措施。

3. 固定间隔对密码管理系统进行安全性评估，及时发现潜在的安全风险并进行修复。

六、用户教育与宣传1. 定期对用户进行密码保护的教育和宣传，提高用户的密码安全意识。

2. 向用户提供密码安全相关的指南和建议，帮助用户设置更强大的密码并使用密码管理工具。

七、处罚措施违反本规定的用户，将按照公司规定的相应处罚措施进行处理，包括但不限于警告、限制使用权限、暂停或终止服务等。

八、附则1. 本规定自颁布之日起生效。

2. 本规定解释权归电子认证服务提供方所有。

以上是电子认证服务密码管理规定范本，旨在加强密码的设置要求、保护措施以及安全审计与监控等方面的管理，以确保用户的账户和个人信息安全。

电子认证服务密码管理规定第一条为了规范电子认证服务提供者使用密码的行为，根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定，制定本办法。

第二条国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。

省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。

第三条提供电子认证服务，应当依据本办法申请《电子认证服务使用密码许可证》。

第四条采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。

电子认证服务系统应当由具有商用密码产品生产资质的单位承建。

第五条电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。

第六条电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。

第七条申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后，向所在地的省、自治区、直辖市密码管理机构提交下列材料：(一)《电子认证服务使用密码许可证申请表》;(二)企业法人营业执照或者企业名称预先核准通知书的复印件;(三)电子认证服务系统安全性审查相关技术材料，包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明;(四)电子认证服务系统互联互通测试相关技术材料;(五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件;(六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。

第八条申请人提交的申请材料齐全并且符合规定形式的，省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的，省、自治区、直辖市密码管理机构应当当场或者在____个工作日内一次告知需要补正的全部内容。

不予受理的，应当书面通知并说明理由。

省、自治区、直辖市密码管理机构应当自受理申请之日起____个工作日内将全部申请材料报送国家密码管理局。

国家密码管理局关于印发《电子政务电子认证服务质
量评估要求》的通知
文章属性
•【制定机关】国家密码管理局
•【公布日期】2018.12.18
•【文号】国密局字〔2018〕571号
•【施行日期】2019.03.01
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】机关工作
正文
国家密码管理局关于印发《电子政务电子认证服务质量评估
要求》的通知
国密局字〔2018〕571号各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局，深圳市密码管理局：
现将修订后的《电子政务电子认证服务质量评估要求》印发你们，自2019年3月1日起施行。

2010年9月9日印发的《电子政务电子认证服务质量评估要求》（国密局字〔2010〕489号）同时废止。

附件：电子政务电子认证服务质量评估要求
国家密码管理局
2018年12月18日。