电子认证业务规则规范(试行)

电子认证业务规则电子认证业务规则是指对于电子认证的服务商或机构，从业务和技术角度出发，制定的一系列规则、标准和流程等，目的是规范电子认证市场，并保障电子认证业务的安全、可靠、有效性和隐私保护等。

1、电子认证的定义电子认证是指利用电子手段，对身份、资格、权利、协议、交易、文件或其它事项进行确认、保障或证明。

这种认证方式可以替代传统的纸质认证方式，具有便捷、高效、安全等优势。

2、电子认证业务的范围和类型电子认证业务的范围很广泛，包括个人身份认证、企业资格认证、数字签名认证、数字证书认证等。

不同的电子认证类型有不同的应用场景和需求，需要不同的服务提供商或机构来提供。

3、电子认证服务提供商或机构的要求电子认证服务提供商或机构在提供电子认证服务时，需要具备一定的技术实力、行业知识、服务能力、安全保障和隐私保护等方面的能力和条件。

同时，还需要有良好的口碑和信誉度，以保证用户的信任和选择。

具体要求包括：（1）技术实力：需要具备先进的技术设备、软件和系统平台，能够满足不同类型的电子认证需求。

（2）行业知识：需要了解电子认证相关法律法规、标准和技术要求，能够提供符合要求的认证服务。

（3）服务能力：需要具备高效的服务流程和质量保障机制，能够满足用户的实际需求。

（4）安全保障：需要采取完善的安全措施，保障电子认证服务的安全性和可靠性，以避免用户信息泄露或被篡改。

（5）隐私保护：需要遵循相关法律规定，保护用户的个人隐私信息，防止个人信息被侵犯或滥用。

4、电子认证业务流程和要求为了规范电子认证市场，并保障电子认证业务的安全、可靠、有效性和隐私保护等，电子认证业务需要制定相应的业务流程和要求。

具体内容包括：（1）申请和审核：用户向电子认证提供商或机构提交电子认证申请，需要提供所需材料和证明。

电子认证提供商或机构需要对申请进行审核，并确认用户真实身份和需求。

（2）身份认证和验证：申请通过后，电子认证提供商或机构进行身份认证和验证，并颁发认证证书或数字签名等。

卫生系统电子认证服务规范（试行）卫生部办公厅卫生部统计信息中心二○○九年六月目录第1章概述 (1)1.1范围 (1)1.2规范性引文 (1)1.3术语和缩略语 (1)1.3.1术语和定义 (1)1.3.2符号和缩略语 (3)第2章服务总体要求 (4)2.1服务参与方 (4)2.2服务对象及证书分类 (4)2.3服务开展模式 (5)第3章电子认证服务交付要求 (7)3.1电子认证服务交付概述 (7)3.2证书产品的交付形态 (7)3.3身份鉴别 (8)3.3.1身份鉴别模式 (8)3.3.2身份鉴别流程 (8)3.3.3身份鉴别要求 (9)3.4证书申请和签发 (10)3.4.1面向内部用户 (10)3.4.2面向社会公众 (11)3.5证书更新 (11)3.5.1面向内部用户 (11)3.5.2面向社会公众 (12)3.6证书吊销 (12)3.6.1面向内部用户 (12)3.6.2面向社会公众 (13)3.7证书密码解锁 (13)3.7.1面向内部用户 (13)3.7.2面向社会公众 (14)3.8密钥恢复 (14)3.9证书信息发布 (14)3.10证书状态查询 (14)第4章电子认证服务支持要求 (16)4.1电子认证服务支持概述 (16)4.2呼叫中心热线支持 (16)4.3证书服务网站 (16)4.4现场技术支持 (17)4.5应用实施咨询 (17)4.6培训 (17)第5章服务的管理和控制 (18)5.1服务安全性要求 (18)5.2服务可靠性要求 (18)5.3服务时效性要求 (18)5.4服务费用 (19)5.5审计 (19)第1章概述1.1范围本规范描述了电子认证服务的总体要求，定义了参与卫生系统电子认证服务体系建设的相关方和开展电子认证服务的工作机制，规范了电子认证服务机构需要遵循的服务交付要求和服务支持要求，提出了服务的管理和控制要求。

本规范适用于指导参与卫生系统电子认证服务相关方开发电子认证服务，有利于形成标准统一、安全可信、应用方便的卫生系统电子认证服务体系。

电子认证业务规则规范（试行）信息产业部电子认证服务管理办公室2005年4月说明为了规范电子认证业务规则的基本框架、主要内容和编写格式，根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状，参考国家标准化部门正在制定的相关标准，信息产业部电子认证服务管理办公室编制了电子认证业务规则规范（试行）。

电子认证服务机构应参照本规范，结合电子认证业务的具体情况，编制电子认证业务规则。

信息产业部电子认证服务管理办公室2005年4月电子认证业务规则规范（试行）一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。

电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容，主要由以下几部分组成。

（一）概括性描述（二）信息发布与信息管理（三）身份标识与鉴别（四）证书生命周期操作要求（五）认证机构设施、管理和操作控制（六）认证系统技术安全控制（七）证书、证书吊销列表和在线证书状态协议（八）认证机构审计和其他评估（九）法律责任和其他业务条款二、主要组成部分的内容说明（一）概括性描述对电子认证业务规则进行概要性表述，给出文档的名称和标识，指出电子认证活动的参与者及证书应用范围，并说明对电子认证业务规则的管理，最后给出电子认证业务规则中使用的定义和缩写。

1、概述对电子认证业务规则提供一个概要性介绍，也可用于对电子认证服务机构的概要性描述。

例如，可以设定所提供证书的不同保证等级，也可以用图形的方式来表达电子认证服务机构的结构。

2、文档名称与标识关于电子认证业务规则的任何适用名称或标识符，包括ASN.1对象标识符的说明。

3、电子认证活动参与者* 电子认证服务机构，也就是证书认证机构，是颁发证书的实体。

* 注册机构，也就是为最终证书申请者建立注册过程的实体，对证书申请者进行身份标识和鉴别，发起或传递证书吊销请求，代表电子认证服务机构批准更新证书或更新密钥的申请。

* 订户，从电子认证服务机构接收证书的实体。

卫生系统电子认证服务体系系列规范- 卫生系统电子认证服务规范（试行）卫生部办公厅2010年4月30日1 范围 (1)2 服务总体要求 (1)2.1 证书分类 (1)2.2 证书产品 (1)2.3 服务模式 (1)2.4 服务内容 (1)2.5 平台接入 (2)3 证书业务服务 (2)3.1 证书申请 (2)3.2 证书发放 (2)3.3 证书更新 (2)3.4 证书吊销 (2)3.5 证书解锁 (2)3.6 密钥恢复 (3)3.7 证书查询 (3)4 技术支持服务 (3)4.1服务方式 (3)4.2服务内容 (3)5 服务的保障 (4)5.1组织保障 (4)5.2制度保障 (4)5.3安全保障 (4)附录(资料性附录) 名词解释 (5)1 范围本规范依据《卫生系统电子认证服务管理办法（试行）》，定义了参与卫生系统电子认证服务体系建设的管理方、使用方和提供方开展电子认证服务的工作机制，描述了卫生系统电子认证服务的总体要求，规范了电子认证服务机构需要遵循的证书业务服务和证书支持服务的要求，提出了服务的保障要求。

本规范适用于卫生系统电子认证服务体系建设的管理方、使用方和提供方。

2 服务总体要求2.1 证书分类()根据卫生系统内的用户群体所处单位和担任的职能不同，数字证书用户包括卫生系统内部用户和外部用户。

内部用户是指全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员。

外部用户是指涉及卫生业务的企事业单位和社会公众。

根据用户特点及应用需求，卫生系统数字证书分为内部用户证书和外部用户证书，共六类：（1）内部机构证书是指为各级卫生行政部门和各级各类医疗卫生机构颁发的证书，代表卫生机构的身份。

（2）内部工作人员证书是指为各级卫生行政部门和各级各类医疗卫生机构的工作人员颁发的证书，代表个人的身份。

（3）内部设备证书是指各级卫生信息系统使用的服务器证书或VPN设备证书等。

（4）外部机构证书是指为涉及卫生业务的企事业单位颁发的代表法人身份的证书。

电子行业电子认证业务规则规范1. 引言电子行业电子认证业务是指利用电子技术和互联网等网络技术，通过数字证书等手段对电子信息进行验证和鉴定的业务活动。

为了确保电子认证业务在电子行业中的安全性、一致性和可靠性，制定本规范。

2. 术语定义•电子认证：利用电子技术和互联网等网络技术，通过数字证书等手段对电子信息进行验证和鉴定的过程。

•电子认证主体：提供电子认证服务的机构或组织。

•电子认证用户：通过电子认证获得电子证书或使用电子证书进行身份认证的个人或机构。

•数字证书：一种用于证明数字实体身份和对电子信息进行加密和解密的数字文件，由电子认证主体颁发。

•证书颁发机构（CA）：负责颁发数字证书的机构或组织。

•公钥基础设施（PKI）：提供数字证书管理、颁发和撤销等服务的基础设施。

3.1 电子认证申请流程1.电子认证用户向电子认证主体提交电子认证申请。

2.电子认证主体验证申请人的身份和资质信息。

3.若申请人符合电子认证要求，则电子认证主体生成数字证书，并将其发送给申请人。

4.电子认证用户在电子认证设备上安装并配置数字证书。

1.电子认证用户向电子认证主体发起身份认证请求。

2.电子认证主体验证数字证书的有效性，并向用户发送认证结果。

3.用户根据认证结果进行进一步操作，如完成电子签名、加密等操作。

4. 电子认证业务安全性要求1.电子认证主体应建立安全可靠的证书颁发机构，并对其进行监督和管理。

2.电子认证主体应采用安全加密技术，保护申请人的个人信息和数字证书的安全性。

3.电子认证主体应定期对数字证书进行审核和更新，及时撤销失效的数字证书。

4.电子认证用户应妥善保管自己的数字证书，避免泄露和被盗用。

5.电子认证用户应定期更新数字证书，并及时联系电子认证主体处理证书问题。

5. 电子认证业务规范要求1.电子认证主体应明确电子认证的适用范围和使用条件，并向用户提供相关说明。

2.电子认证主体应向用户提供清晰的电子认证申请流程和使用指南。

电子认证服务管理办法（修订征求意见稿）第一章总则第一条为了加强对电子认证服务活动的管理，规范电子认证服务行为，保障电子签名的可靠性，根据《中华人民共和国电子签名法》，制定本办法。

第二条本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性证明的活动。

从事电子认证服务的机构应当遵循客观独立、公正公开、诚实信用的原则开展认证业务。

第三条在中华人民共和国境内设立电子认证服务机构，提供电子认证服务，适用本办法。

第四条中华人民共和国工业和信息化部（以下简称“工业和信息化部”）依法对电子认证服务活动实施监督管理。

各省、自治区、直辖市工业和信息化主管部门根据工业和信息化部的委托，承担本行政区域内电子认证服务活动的监督管理。

第二章电子认证服务许可第五条电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。

（二）从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合岗位技能规范要求。

（三）注册资本不低于人民币三千万元。

（四）具有固定的经营场所和满足电子认证服务要求的物理环境。

（五）具有符合国家有关安全标准的软件系统和硬件设备。

（六）具有国家密码管理机构同意使用密码的证明文件。

（七）法律、行政法规规定的其他条件。

第六条申请电子认证服务许可的，应当向工业和信息化部提交下列材料：（一）电子认证服务许可申请。

（二）电子认证服务工作人员证明。

（三）资金证明（工商营业执照复印件，经依法审计的近三年的财务会计报告，新成立公司的验资报告）。

（四）经营场所证明（房屋产权证明或租赁合同）。

（五）国家有关认证检测机构出具的软件系统、硬件设备、物理环境符合国家有关安全标准的证明文件。

（六）国家密码管理机构同意使用密码的证明文件。

（七）认证业务发展计划。

第七条工业和信息化部对提交的申请材料进行形式审查。

申请材料齐全、符合法定形式的，应当向申请人出具受理通知书。

申请材料不齐全或者不符合法定形式的，应当当场或者在五日内一次告知申请人需要补正的全部内容。

电子认证业务规则规范电子认证是指通过技术手段，对身份、行为、数据等进行验证和保护的过程。

随着互联网的迅速发展，电子认证已成为现代社会信息交流与交易的重要工具。

为了促进电子认证的有效运行，维护信息安全和用户权益，电子认证业务规则规范应当被制定和遵守。

首先，电子认证业务规则规范应明确电子认证的基本原则和法律依据。

这包括所采用的技术标准、身份验证方式、数据加密与存储要求等。

同时，应明确电子认证的法律依据，包括电子签名法、电子认证法等。

只有遵循相应的技术标准和法律规定，电子认证才能得到广泛的认可和应用。

其次，电子认证业务规则规范应明确电子认证服务提供者的责任和义务。

电子认证服务提供者是指提供电子认证服务的第三方机构，在电子认证过程中扮演了重要角色。

规则规范应明确电子认证服务提供者所需具备的资质、安全准入机制以及业务流程等。

此外，还需要规定电子认证服务提供者的监督管理机制，确保其依法运营、遵守规章制度。

第三，电子认证业务规则规范应规定电子认证的申请与审核过程。

在电子认证中，申请者的身份需要经过审核和验证，以确保其真实性和合法性。

规章规定应明确电子认证申请的途径、申请的材料要求，以及审核的程序与标准。

此外，还应建立有效的申诉机制，对于申请者的异议和投诉进行处理。

第四，电子认证业务规则规范应加强对电子认证安全的管理与保护。

电子认证涉及到用户的个人信息和数据安全，因此需要加强对用户数据的加密保护、存储安全等措施。

此外，还需要建立完善的信息安全管理制度，对电子认证服务提供者进行安全评估和监督。

只有确保电子认证的安全，才能增强用户的信任和认可。

最后，电子认证业务规则规范应强调用户的权益保护。

规章规定应包括用户权益的明确保护措施，例如用户隐私保护、用户申诉处理、权益赔偿等。

此外，还应加强对电子认证的培训和宣传工作，提高用户的认知度和使用能力。

总之，电子认证业务规则规范的制定与实施对于促进电子认证的稳定发展和用户权益的保护至关重要。

电子认证业务规则规范（试行）信息产业部电子认证服务管理办公室2005年4月说明为了规范电子认证业务规则的基本框架、主要内容和编写格式，根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状，参考国家标准化部门正在制定的相关标准，信息产业部电子认证服务管理办公室编制了电子认证业务规则规范（试行）。

电子认证服务机构应参照本规范，结合电子认证业务的具体情况，编制电子认证业务规则。

信息产业部电子认证服务管理办公室2005年4月电子认证业务规则规范（试行）一、电子认证业务规则的主要组成部分电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。

电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容，主要由以下几部分组成。

（一）概括性描述（二）信息发布与信息管理（三）身份标识与鉴别（四）证书生命周期操作要求（五）认证机构设施、管理和操作控制（六）认证系统技术安全控制（七）证书、证书吊销列表和在线证书状态协议（八）认证机构审计和其他评估（九）法律责任和其他业务条款二、主要组成部分的内容说明（一）概括性描述对电子认证业务规则进行概要性表述，给出文档的名称和标识，指出电子认证活动的参与者及证书应用范围，并说明对电子认证业务规则的管理，最后给出电子认证业务规则中使用的定义和缩写。

1、概述对电子认证业务规则提供一个概要性介绍，也可用于对电子认证服务机构的概要性描述。

例如，可以设定所提供证书的不同保证等级，也可以用图形的方式来表达电子认证服务机构的结构。

2、文档名称与标识关于电子认证业务规则的任何适用名称或标识符，包括ASN.1对象标识符的说明。

3、电子认证活动参与者* 电子认证服务机构，也就是证书认证机构，是颁发证书的实体。

* 注册机构，也就是为最终证书申请者建立注册过程的实体，对证书申请者进行身份标识和鉴别，发起或传递证书吊销请求，代表电子认证服务机构批准更新证书或更新密钥的申请。

* 订户，从电子认证服务机构接收证书的实体。

卫生系统电子认证服务体系系列规范- 卫生系统电子认证服务规范（试行）卫生部办公厅2010年4月30日1 范围 (1)2 服务总体要求 (1)2.1 证书分类 (1)2.2 证书产品 (1)2.3 服务模式 (1)2.4 服务内容 (1)2.5 平台接入 (2)3 证书业务服务 (2)3.1 证书申请 (2)3.2 证书发放 (2)3.3 证书更新 (2)3.4 证书吊销 (2)3.5 证书解锁 (2)3.6 密钥恢复 (3)3.7 证书查询 (3)4 技术支持服务 (3)4.1服务方式 (3)4.2服务内容 (3)5 服务的保障 (4)5.1组织保障 (4)5.2制度保障 (4)5.3安全保障 (4)附录(资料性附录) 名词解释 (5)1 范围本规范依据《卫生系统电子认证服务管理办法（试行）》，定义了参与卫生系统电子认证服务体系建设的管理方、使用方和提供方开展电子认证服务的工作机制，描述了卫生系统电子认证服务的总体要求，规范了电子认证服务机构需要遵循的证书业务服务和证书支持服务的要求，提出了服务的保障要求。

本规范适用于卫生系统电子认证服务体系建设的管理方、使用方和提供方。

2 服务总体要求2.1 证书分类根据卫生系统内的用户群体所处单位和担任的职能不同，数字证书用户包括卫生系统内部用户和外部用户。

内部用户是指全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员。

外部用户是指涉及卫生业务的企事业单位和社会公众。

根据用户特点及应用需求，卫生系统数字证书分为内部用户证书和外部用户证书，共六类：（1）内部机构证书是指为各级卫生行政部门和各级各类医疗卫生机构颁发的证书，代表卫生机构的身份。

（2）内部工作人员证书是指为各级卫生行政部门和各级各类医疗卫生机构的工作人员颁发的证书，代表个人的身份。

（3）内部设备证书是指各级卫生信息系统使用的服务器证书或VPN设备证书等。

（4）外部机构证书是指为涉及卫生业务的企事业单位颁发的代表法人身份的证书。

电子认证业务规则规范试行近年来，随着数字化时代的到来，电子认证业务逐渐成为了一项重要的服务。

电子认证业务的到来，既极大地促进了信息的安全性和可信度，又为各类机构的交流提供了极大的方便。

但是，由于缺少规范的管理和监管，电子认证业务也面临着种种尴尬和风险。

为了解决这些问题，我国在线认证机构已经出台了电子认证业务规则规范，试行将为全国的电子认证业务提供一定的规则和标准，从而保证电子认证业务的发展和普及。

1、电子认证业务规则规范的定义电子认证业务规则规范是对电子认证业务的普遍规范。

该规范对电子认证业务提供了一些必要的标准和规定，包括身份认证、资料核实、安全保障等内容。

通过制定规范，可以使电子认证业务的业务操作标准化，在实际应用中更好地保障公民及企业信息安全。

2、电子认证业务规则规范的试行流程2019年6月24日，全国互联网金融协会颁布了《电子认证业务规则试行》，规定了在线认证机构在业务发展过程中的各项责任和义务。

该规范于2019年7月1日起开始试行。

试行期结束后将逐步推广到全国。

3、电子认证业务规则规范的主要内容该规范主要针对在线认证机构在身份认证、资料核实、安全保障等方面的具体操作细则进行规范。

其中，具体内容包括：（1）身份认证方案。

身份认证方案包括是否采用双重认证，使用设备认证、手持证件拍照等不同认证方式需要达到的标准。

（2）资料验证方案。

在线认证机构应建立详细的用户资料核查流程，核查流程需要满足的基础标准和流程要求。

（3）安全防护方案。

在线认证机构应建立安全预防和监测系统。

其中，防护系统需要覆盖网络、服务器等不同方面，监测系统则需要关注攻击、攻破等不同情况下的急救和应对措施。

（4）用户权益保护方案。

在线认证机构应确保用户隐私权、合法权益不受侵犯。

如认证机构泄露用户个人信息，或发生认证机构业务失信行为，认证机构应承担相应的法律责任。

4、电子认证业务规则规范的意义电子认证业务规则规范，对于整个电子认证行业有着多方面的意义：（1）保证业务安全。

电子认证服务机构服务规范(试行）2０１0年8月目录1 范围................................................................ 错误!未定义书签。

2 规范性引用文件ﻩ错误!未定义书签。

３术语和定义......................................................... 错误!未定义书签。

3。

1数字证书digital ceｒtificate ........................................ 错误!未定义书签。

3．２电子签名electｒonic signatｕreﻩ错误!未定义书签。

３.３鉴别iｄeｎtifiｃation.............................................. 错误!未定义书签。

3。

4验证authentｉｃatioｎﻩ错误!未定义书签。

3.5可靠电子签名rｅliable elｅｃtrｏnic siｇnature ....................... 错误!未定义书签。

3.6电子认证服务elｅcｔroｎic cｅrｔｉficａtion service................... 错误!未定义书签。

3。

７电子认证服务机构elｅctｒｏｎiｃｃeｒtiｆicatiｏn ｓeｒｖice pｒｏviderﻩ错误!未定义书签。

3．8电子认证服务提供者electｒｏｎiｃcertificａtion ｓｅrvicｅﻩ错误!未定义书签。

3。

9订户subｓcriberﻩ错误!未定义书签。

3。

10证书依赖方ceｒtiｆication relyinｇｐartyﻩ错误!未定义书签。

4 缩略语.............................................................. 错误!未定义书签。

电子政务电子认证服务业务规则规范Certification Practice Statement Standard for E-Government国家密码管理局2018年11月目次前言.............................................................................................................................................................. I I 引言 (I)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 符号和缩略语 (3)5 《电子政务电子认证服务业务规则》管理规范 (3)5.1 策略文档管理 (3)5.2 联系方式 (3)5.3 批准程序 (4)6 电子政务电子认证服务业务要求 (4)6.1 数字证书服务 (4)6.2 应用集成支持服务 (8)6.3 信息服务 (8)6.4 使用支持服务 (9)6.5 安全保障 (10)7 电子政务电子认证服务操作规范 (12)7.1 数字证书服务操作规范 (12)7.2 应用集成支持服务操作规范 (17)7.3 信息服务规范 (17)7.4 使用支持服务操作规范 (19)7.5 安全保障规范 (20)8 电子政务电子认证服务中的法律责任相关要求 (25)8.1 要求 (25)8.2 内容 (25)附录 (28)前言本规范所称电子政务电子认证服务，是指为各级政务部门开展社会管理、公众服务等政务活动提供的电子认证服务。

电子政务内网电子认证服务有关要求不在本标准内涉及。

本规范是开展电子政务电子认证服务（以下简称“电子认证服务”）的基础性规范之一，它描述了电子认证服务机构采用密码技术，通过数字证书提供电子认证服务的主要内容及要求，明确了电子认证服务过程中的关键环节和操作规范，并就电子认证服务的相关法律责任与关系进行了说明。

电子政务电子认证服务管理办法文章属性•【制定机关】国家密码管理局•【公布日期】2024.09.04•【文号】国家密码管理局令第4号•【施行日期】2024.11.01•【效力等级】部门规章•【时效性】尚未生效•【主题分类】机关工作正文国家密码管理局令第4号《电子政务电子认证服务管理办法》已经2024年8月26日国家密码管理局局务会议审议通过，现予公布，自2024年11月1日起施行。

局长刘东方2024年9月4日电子政务电子认证服务管理办法第一章总则第一条为了规范电子政务电子认证服务行为，对电子政务电子认证服务机构实施监督管理，保障电子政务安全可靠，维护有关各方合法权益，根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规，制定本办法。

第二条在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理，适用本办法。

第三条本办法所称电子政务电子认证服务，是指采用商用密码技术为政务活动提供电子签名认证服务，保证电子签名的真实性和可靠性的活动。

第四条从事电子政务电子认证服务的机构，应当经国家密码管理局认定，依法取得电子政务电子认证服务机构资质。

第五条国家密码管理局对全国电子政务电子认证服务活动实施监督管理。

县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。

第二章资质认定第六条取得电子政务电子认证服务机构资质，应当符合下列条件：（一）具有企业法人或者事业单位法人资格；（二）具有与从事电子政务电子认证服务活动及其使用密码相适应的资金；（三）具有与从事电子政务电子认证服务活动及其使用密码相适应的运营场所；（四）具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施；（五）具有30名以上与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员；（六）具有为政务活动提供长期电子政务电子认证服务的能力，包括持续保持财务状况良好、运营资金充足、设备设施稳定运行、专业人员队伍稳定，没有重大违法记录或者不良信用记录等；（七）具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。

国家电子政务外网电子认证服务业务规则规范（V7）国家电子政务外网管理中心二○一七年六月目录1概括性描述 (1)1.1概述 (1)1.2文档名称与标识 (2)1.3电子认证活动参与者 (2)1.3.1政务CA (2)1.3.2注册机构 (2)1.3.3证书持有者 (3)1.3.4依赖（证书）方 (3)1.3.5其他参与者 (3)1.4证书应用 (3)1.4.1证书类型及应用范围 (3)1.4.2证书禁止使用的情形 (3)1.5策略管理 (3)1.5.1策略文档管理机构 (3)1.5.2联系方式 (3)1.5.3决定电子认证业务说明符合策略的机构 (4)1.5.4 《规范》批准程序 (4)1.6定义和缩写 (4)1.6.1定义 (4)1.6.2缩略语 (4)2信息发布与信息管理 (5)2.1认证信息的发布 (5)2.2发布的时间或频率 (5)2.3信息库访问控制 (5)3身份标识与鉴别 (5)3.1命名 (5)3.1.1名称类型 (5)3.1.2对名称有意义的要求 (5)3.1.3证书持有者的匿名或伪名 (5)3.1.4理解不同名称形式的规则 (5)3.1.5名称的唯一性 (5)3.1.6商标的识别、鉴别和角色 (6)3.2初始身份确认 (6)3.2.1证明拥有私钥的方法 (6)3.2.2组织机构身份鉴别 (6)3.2.3个人身份鉴别 (6)3.2.4没有验证的证书持有者信息 (6)3.2.5授权确认 (7)3.3密钥更新请求的标识与鉴别 (7)3.3.1常规密钥更新的标识与鉴别 (7)3.3.2撤销后密钥更新的标识与鉴别 (7)3.4撤销请求的标识与鉴别 (7)4证书生命周期操作要求 (8)4.1证书申请 (8)4.1.1证书申请实体 (8)4.1.2注册过程与责任 (8)4.2证书申请处理 (8)4.2.1执行识别与鉴别功能 (8)4.2.2证书申请批准和拒绝 (8)4.2.3处理证书申请的时间 (9)4.3.1证书签发过程中政务CA和RA注册机构的行为 (9)4.3.2政务CA和注册机构对证书申请者的通告 (9)4.4证书接受 (9)4.4.1构成接受证书的行为 (9)4.4.2政务CA对证书的发布 (10)4.4.3政务CA对其他实体的通告 (10)4.5证书使用处理 (10)4.5.1执行识别与鉴别功能 (10)4.5.2依赖方公钥和证书的使用 (10)4.6证书更新 (10)4.6.1证书更新的情形 (10)4.6.2请求证书更新的实体 (11)4.6.3证书更新请求的处理 (11)4.6.4签发新证书时对证书持用者的通告 (11)4.6.5构成接受更新证书的行为 (11)4.6.6政务CA对更新证书的发布 (11)4.6.7政务CA对其他实体的通告 (11)4.7证书密钥更新 (11)4.7.1证书密钥更新的情形 (11)4.7.2请求证书密钥更新的实体 (12)4.7.3证书密钥更新请求的处理 (12)4.7.4签发新证书时对证书持有者的通告 (12)4.7.5构成接受密钥更新证书的行为 (12)4.7.6政务CA对密钥更新证书的发布 (12)4.7.7政务CA对其他实体的告知 (12)4.8证书变更 (12)4.8.1证书变更的情形 (12)4.8.2请求证书变更的实体 (12)4.8.3证书变更请求的处理 (12)4.8.4签发新证书时对证书持有者的通告 (13)4.8.5构成接受变更证书的行为 (13)4.8.6政务CA对变更证书的发布 (13)4.8.7政务CA对其他实体的通告 (13)4.9证书撤销 (13)4.9.1证书撤销的情形 (13)4.9.2请求证书撤销的实体 (13)4.9.3撤销请求的流程 (13)4.9.4撤销请求宽限期 (14)4.9.5政务CA处理撤销请求的时限 (14)4.9.6依赖方检查证书撤销的要求 (14)4.9.7 CRL 发布频率 (14)4.9.8 CRL 发布的最长滞后时间 (14)4.9.9在线状态查询的可用性 (14)4.9.10在线状态查询要求 (14)4.9.11撤销信息的其他发布形式 (14)4.9.12密钥损害的特别处理要求 (15)4.10证书冻结 (15)4.10.1证书冻结的情形 (15)4.10.2请求证书冻结的实体 (15)4.10.3证书冻结与解冻流程 (15)4.10.4冻结的期限限制 (15)4.11证书状态服务 (16)4.11.1操作特征 (16)4.11.3可选特征 (16)4.12证书持有终止 (16)4.13口令解锁 (16)4.14密钥生成、备份与恢复 (16)4.14.1密钥生成、备份与恢复的策略和行为 (16)4.14.2会话密钥的封装与恢复的策略与行为 (16)5认证机构设施、管理和操作控制 (17)5.1物理控制 (17)5.1.1场地位置与建筑 (17)5.1.2物理访问 (17)5.1.3电力与空调 (17)5.1.4水患防治 (17)5.1.5火灾防护 (17)5.1.6介质存储 (17)5.1.7废物处理 (17)5.1.8异地备份 (17)5.1.9注册机构物理控制 (17)5.2程序控制 (18)5.2.1可信角色 (18)5.2.2每项任务需要的人数 (18)5.2.3每个角色的识别与鉴别 (18)5.2.4要求职责分割的角色 (18)5.2.5资格、经历和无过失要求 (18)5.2.6背景审查程序 (18)5.2.7培训要求 (19)5.2.8工作岗位轮换周期和顺序 (19)5.2.9未授权行为的处罚 (19)5.2.10提供给员工的文档 (19)5.2.11人员异动管理 (19)5.3审计日志程序 (19)5.3.1记录事件的类型 (19)5.3.2处理日志的周期 (20)5.3.3审计日志的保存期限 (20)5.3.4审计日志的保护 (20)5.3.5审计日志备份程序 (20)5.3.6审计收集系统 (20)5.3.7对导致事件实体的告知 (20)5.3.8脆弱性评估 (20)5.4记录归档 (20)5.4.1归档记录的类型 (20)5.4.2归档记录的保存期限 (21)5.4.3归档文件的保护 (21)5.4.4归档文件的备份程序 (21)5.4.5记录的时间戳要求 (21)5.4.6获得和检验归档信息 (21)5.5事故与灾难恢复 (21)5.5.1事故和损害处理流程 (21)5.5.2计算资源、软件、数据的损坏 (21)5.5.3实体私钥损害处理程序 (21)5.5.4灾难后的业务连续性能力 (22)5.6政务CA或注册机构的终止 (22)6认证系统技术安全控制 (22)6.1密钥对的生成和安装 (22)6.1.2私钥传送给证书持有者 (22)6.1.3公钥传送给证书签发机构 (22)6.1.4政务CA公钥传送给依赖方 (22)6.1.5密钥的长度 (22)6.1.6公钥参数的生成和质量保证 (22)6.1.7密钥的使用 (22)6.2私钥保护和密码模块工程控制 (23)6.2.1密码模块标准和控制 (23)6.2.2私钥多人控制（m 选n） (23)6.2.3私钥托管 (23)6.2.4私钥备份 (23)6.2.5私钥归档 (23)6.2.6私钥导入、导出密码模块 (23)6.2.7私钥在密码模块的存储 (24)6.2.8激活私钥的方法 (24)6.2.9冻结私钥的方法 (24)6.2.10销毁私钥的方法 (24)6.2.11密码模块应达到的标准 (24)6.3政务CA密钥的保管 (24)6.3.1公钥归档 (24)6.3.2证书和密钥对使用期限 (24)6.4系统升级与相关安全性控制 (24)6.4.1系统升级控制 (24)6.4.2安全管理控制 (25)6.5安全控制 (25)6.6生命周期技术控制 (25)6.6.1系统开发控制 (25)6.6.2安全管理控制 (25)6.6.3生命周期的安全控制 (25)6.7网络的安全控制 (25)6.8时间戳 (26)6.9应用集成支持服务 (26)6.9.1证书应用接口程序 (26)6.9.2证书应用方案支持 (26)6.9.3证书应用接口集成 (26)7证书、证书撤销列表和在线证书状态协议 (26)7.1证书 (26)7.1.1证书格式标准 (26)7.1.2证书标准项 (26)7.1.3证书扩展项 (26)7.1.4算法对象标识符 (27)7.1.5名称形式 (27)7.1.6证书策略对象标识符 (27)7.1.7策略限制扩展项的用法 (27)7.1.8策略限定符的语法和语义 (27)7.1.9关键证书策略扩展项的处理规则 (27)7.2证书撤销列表 (27)7.2.1版本号 (27)7.2.2 CRL 和CRL 条目扩展项 (27)7.3在线证书状态协议 (28)7.3.1版本号 (28)7.3.2 OCSP 扩展项 (28)8认证机构审计和其他评估 (28)8.2评估者的资质 (28)8.3评估者与被评估者的关系 (28)8.4评估内容 (29)8.5对问题与不足采取的措施 (29)8.6评估结果的传达与发布 (29)9法律责任和其他业务条款 (29)9.1费用 (29)9.2财务责任 (29)9.3业务信息保密 (29)9.3.1保密信息范围 (29)9.3.2不属于保密的信息 (30)9.3.3保护机密信息的责任 (30)9.4个人信息私密性 (30)9.4.1隐私保密方案 (30)9.4.2作为隐私处理的信息 (30)9.4.3不视为隐私的信息 (30)9.4.4保护隐私的责任 (30)9.4.5使用隐私的告知与同意 (30)9.4.6依法律或行政程序的信息披露 (30)9.4.7其他信息披露情形 (31)9.5知识产权 (31)9.6权利和责任 (31)9.6.1政务CA的权利和责任 (31)9.6.2注册机构的权利和责任 (32)9.6.3证书持有者的权利和责任 (33)9.6.4证书依赖方的权利和责任 (33)9.6.5其他参与者的权利和责任 (34)9.7有限责任与免责条款 (34)9.7.1特定责任的排除 (34)9.7.2免责条款 (34)9.8赔偿 (35)9.8.1理赔 (35)9.8.2索赔 (35)9.9CPS的有效期与终止 (35)9.10CPS的修订 (35)9.11争议解决 (36)9.12管辖法律 (36)9.13与适用法律的符合性 (36)9.14一般条款 (36)9.14.1完整协议 (36)9.14.2分割性 (36)9.14.3强制执行 (36)9.14.4不可抗力 (36)9.15各种规范的冲突 (36)9.16补充说明 (36)1概括性描述1.1概述国家电子政务外网电子认证服务业务规则规范(以下简称《规范》，CPS)，由国家电子政务外网管理中心电子认证办公室参照《中华人民共和国电子签名法》，按照国家密码管理局《电子政务电子认证服务管理办法》和《电子政务电子认证服务业务规则规范》制订，并报国家密码管理局备案。