電子認證服務(wù)密碼管理辦法

電子認證服務(wù)密碼管理辦法

（2009年10月28日國家密碼管理局公告第17號公布，根據2017年12月1日

《國家密碼管理局關(guān)于廢止和修改部分管理規定的決定》修正）

第一條 為了規范電子認證服務(wù)提供者使用密碼的行為,根據《中華人民共和國電子簽名法》、《商用密碼管理條例》和相關(guān)法律、行政法規的規定,制定本辦法。

第二條 國家密碼管理局對電子認證服務(wù)提供者使用密碼的行為實(shí)施監督管理。

省、自治區、直轄市密碼管理機構依據本辦法承擔有關(guān)監督管理工作。

第三條 提供電子認證服務(wù),應當依據本辦法申請《電子認證服務(wù)使用密碼許可證》。

第四條 采用密碼技術(shù)為社會(huì )公眾提供第三方電子認證服務(wù)的系統(以下稱(chēng)電子認證服務(wù)系統)使用商用密碼。

電子認證服務(wù)系統應當由具有商用密碼產(chǎn)品生產(chǎn)和密碼服務(wù)能力的單位承建。

第五條 電子認證服務(wù)系統的建設和運行應當符合《證書(shū)認證系統密碼及其相關(guān)安全技術(shù)規范》。

第六條 電子認證服務(wù)系統所需密鑰服務(wù)由國家密碼管理局和省、自治區、直轄市密碼管理機構規劃的密鑰管理系統提供。

第七條 申請《電子認證服務(wù)使用密碼許可證》應當在電子認證服務(wù)系統建設完成后,向所在地的省、自治區、直轄市密碼管理機構或者國家密碼管理局提交下列材料:

(一)《電子認證服務(wù)使用密碼許可證申請表》;

(二)企業(yè)法人營(yíng)業(yè)執照復印件;

(三)電子認證服務(wù)系統安全性審查相關(guān)技術(shù)材料,包括建設工作總結報告、技術(shù)工作總結報告、安全性設計報告、安全管理策略和規范報告、用戶(hù)手冊和測試說(shuō)明;

(四)電子認證服務(wù)系統互聯(lián)互通測試相關(guān)技術(shù)材料;

(五)電子認證服務(wù)系統使用的信息安全產(chǎn)品符合有關(guān)法律規定的證明文件。

第八條 申請人提交的申請材料齊全并且符合規定形式的,省、自治區、直轄市密碼管理機構或者國家密碼管理局應當受理并發(fā)給《受理通知書(shū)》;申請材料不齊全或者不符合規定形式的,省、自治區、直轄市密碼管理機構或者國家密碼管理局應當當場(chǎng)或者在5個(gè)工作日內一次告知需要補正的全部?jì)热?。不予受理?應當書(shū)面通知并說(shuō)明理由。

申請材料由省、自治區、直轄市密碼管理機構受理的, 省、自治區、直轄市密碼管理機構應當自受理申請之日起5個(gè)工作日內將全部申請材料報送國家密碼管理局。

第九條  國家密碼管理局應當自省、自治區、直轄市密碼管理機構或者國家密碼管理局受理申請之日起20個(gè)工作日內對申請人提交的申請材料進(jìn)行審查,組織對電子認證服務(wù)系統進(jìn)行安全性審查和互聯(lián)互通測試,并將安全性審查和互聯(lián)互通測試所需時(shí)間書(shū)面通知申請人。

電子認證服務(wù)系統通過(guò)安全性審查和互聯(lián)互通測試的,由國家密碼管理局發(fā)給《電子認證服務(wù)使用密碼許可證》并予以公布;未通過(guò)安全性審查或者互聯(lián)互通測試的,不予許可,書(shū)面通知申請人并說(shuō)明理由。

安全性審查和互聯(lián)互通測試所需時(shí)間不計算在本辦法所設定的期限內。

第十條 《電子認證服務(wù)使用密碼許可證》載明下列內容:

(一)許可證編號;

(二)電子認證服務(wù)提供者名稱(chēng);

(三)許可證有效期限;

(四)發(fā)證機關(guān)和發(fā)證日期。

《電子認證服務(wù)使用密碼許可證》有效期為5年。

第十一條 電子認證服務(wù)提供者變更名稱(chēng)的,應當自變更之日起30日內,持變更證明文件到所在地的省、自治區、直轄市密碼管理機構辦理《電子認證服務(wù)使用密碼許可證》更換手續。

電子認證服務(wù)提供者變更住所、法定代表人的,應當自變更之日起30日內,持變更證明文件到所在地的省、自治區、直轄市密碼管理機構備案。

第十二條 《電子認證服務(wù)使用密碼許可證》有效期滿(mǎn)需要延續的,應當在許可證有效期屆滿(mǎn)30日前向國家密碼管理局提出申請。國家密碼管理局根據申請,在許可證有效期滿(mǎn)前作出是否準予延續的決定。

第十三條 電子認證服務(wù)提供者終止電子認證服務(wù)或者《電子認證服務(wù)許可證》被吊銷(xiāo)的,原持有的《電子認證服務(wù)使用密碼許可證》自行失效。

第十四條 電子認證服務(wù)提供者對其電子認證服務(wù)系統進(jìn)行技術(shù)改造或者進(jìn)行系統搬遷的,應當將有關(guān)情況書(shū)面報國家密碼管理局,經(jīng)國家密碼管理局同意后方可繼續運行。必要時(shí),國家密碼管理局可以組織對電子認證服務(wù)系統進(jìn)行安全性審查和互聯(lián)互通測試。

第十五條 國家密碼管理局和省、自治區、直轄市密碼管理機構對電子認證服務(wù)提供者使用密碼的情況進(jìn)行監督檢查。監督檢查采取書(shū)面審查和現場(chǎng)核查相結合的方式。

監督檢查發(fā)現存在不符合許可條件的情形的,限期整改;限期整改后仍不符合許可條件的,由國家密碼管理局撤銷(xiāo)其《電子認證服務(wù)使用密碼許可證》,通報國務(wù)院信息產(chǎn)業(yè)主管部門(mén)并予以公布。

第十六條 有下列情形之一的,由國家密碼管理局責令改正;情節嚴重的,吊銷(xiāo)《電子認證服務(wù)使用密碼許可證》,通報國務(wù)院信息產(chǎn)業(yè)主管部門(mén)并予以公布:

(一)電子認證服務(wù)系統的運行不符合《證書(shū)認證系統密碼及其相關(guān)安全技術(shù)規范》的;

(二)電子認證服務(wù)系統使用本辦法第六條規定以外的密鑰管理系統提供的密鑰開(kāi)展業(yè)務(wù)的;

(三)對電子認證服務(wù)系統進(jìn)行技術(shù)改造或者進(jìn)行系統搬遷,未按照本辦法第十四條規定辦理的。

第十七條 國家密碼管理局和省、自治區、直轄市密碼管理機構的工作人員在電子認證服務(wù)密碼管理工作中濫用職權、玩忽職守、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。

第十八條 《電子認證服務(wù)使用密碼許可證申請表》由國家密碼管理局統一印制。

第十九條 本辦法施行前已經(jīng)取得《電子認證服務(wù)使用密碼許可證》的電子認證服務(wù)提供者,應當自本辦法施行之日起3個(gè)月內到所在地的省、自治區、直轄市密碼管理機構辦理《電子認證服務(wù)使用密碼許可證》的換證手續。

第二十條  本辦法自2009年12月1日起施行。2005年3月31日國家密碼管理局發(fā)布的《電子認證服務(wù)密碼管理辦法》同時(shí)廢止。