密钥管理制度

密钥管理制度

第一条应采取加密技术等措施来有效保护密钥，以免密钥被非法修改和破坏。

第二条应对生成、存储和归档保存密钥的设备采取物理保护。

第三条必须使用经过安全部门批准的加密机制进行密钥分发，并记录密钥的分发过程，以便审计跟踪。

第四条应当明确密钥的激活和去激活日期，即密钥生存期，使之只在生存期内有效，生存期的长短取决于使用环境及加密技术。

第五条应建立应对有关获取密钥的法律要求的程序，如需要作为法律证据时，加密信息可能需要采用解密形式提供。

第六条要加强对公钥的保护，如采用值得信赖的、得到公认的认证中心来发布公钥证书，并且控制证书的发布和使用范围。

第七条应在与外部加密服务提供商（如认证中心）之间的服务协议或合同中，涵盖责任、服务可靠性以及服务响应时间等内容。

第八条在涉及使用加密技术、加密服务时，系统责任人必须正确评估并记录此类应用的风险。