《《电子政务电子认证服务管理办法(征.docx》由会员分享,可在线阅读,更多相关《《电子政务电子认证服务管理办法(征.docx(17页珍藏版)》请在优知文库上搜索。
1、电子政务电子认证服务管理办法(征求意见稿)第一章总则第一条为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,根据中华人民共和国密码法、中华人民共和国电子签名法和商用密码管理条例等有关法律法规,制定本办法。第二条在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。第三条本办法所称电子政务电子认证服务,是指采用商用密码技术,为政务活动提供电子签名认证服务,确保电子签名的真实性和可靠性的活动。第四条从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。第五条国家密码管理局对全国电子政务电
2、子认证服务活动实施监督管理。县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。第二章资质认定第六条取得电子政务电子认证服务机构资质,应当符合下列条件:(一)具有企业法人或者事业单位法人资格;(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金;(三)具有固定的运营场所和满足电子政务电子认证服务要求的物理环境;(四)具有在境内设置、符合国家密码相关标准规范的电子认证服务系统等设备设施;(五)具有与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员不少于30名,并符合相应岗位技能要求;(六)具有
3、为政务活动提供长期电子政务电子认证服务的能力,包括持续保持运营资金充足、财务状况良好、设备设施稳定运行、运营人员队伍稳定,没有重大违法纪录或者不良信用记录等;(七)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。第七条申请电子政务电子认证服务机构资质,应当向国家密码管理局提出书面申请,并提交下列材料:(一)电子政务电子认证服务机构资质申请表;(二)法人资格证书;(三)资金情况,包括注册资金及资本结构,运营资金、损害赔偿责任资金来源等;(四)运营场所情况以及物理环境符合国家有关安全标准的情况;(五)电子认证服务系统相关技术材料及相关设备清单,包括建设工作报告、技术工作报告、安全性
4、设计报告、安全管理策略和规范、标准符合性自评估报告以及相关软件、设备清单等;(六)专业人员情况;(七)为用户提供长期服务和质量保障能力说明及承诺;(八)电子政务电子认证服务及其使用密码安全管理体系建立情况。第八条国家密码管理局自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。第九条国家密码管理局应当自受理行政许可申请之日起20个工作日内,对申请进行审查,并依法
5、作出是否许可的决定。准予许可的,颁发电子政务电子认证服务机构资质证书,并公布取得资质证书的电子政务电子认证服务机构名录;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。第十条国家密码管理局根据技术评审需要和专业要求,可以组织专家或者委托专业机构实施技术评审。技术评审包括电子认证服务系统安全性审查,运营场所和物理环境、设备设施、管理体系建设实地查勘,专业人员能力考核等。专业机构应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承
6、担相应法律责任。第十一条外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。第十二条电子政务电子认证服务机构资质证书有效期5年,内容包括:获证机构名称、统一社会信用代码、住所地、证书编号、有效期限、服务范围、发证机关和发证日期。电子政务电子认证服务机构资质证书由正本和副本组成。正本、副本具有同等法律效力。第十三条电子政务电子认证服务机构应当在其网站和运营场所公布其资质证书的机构名称、证书编号、有效期限、服务范围、发证机关和发证日期等内容。第十四条有下列情形之一的,电子政务电子认证服务机构应当自变更之日起30日内向国家密码管理局申请办理变更手续:(一)机构名称
7、、住所、法定代表人发生变更的;(二)企业股权结构或者事业单位隶属关系发生变更的;(三)资质认定服务范围发生变更的;(四)电子认证服务系统等设备设施发生变更的;(五)依法需要办理变更的其他事项。电子政务电子认证服务机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第十条规定对其开展技术评审。第十五条电子政务电子认证服务机构资质有效期届满需要延续的,应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局应当依照本办法有关规定进行审查,并在电子政务电子认证服务机构资质证书有效期届满前作出是否
8、准予延续的决定。第三章行为规范第十六条电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务。第十七条电子政务电子认证服务机构应当按照电子政务电子认证业务规则规范等要求,制定本机构的电子政务电子认证业务规则和相应的电子签名认证证书策略,在提供电子政务电子认证服务前予以公布,并向住所地省、自治区、直辖市密码管理部门备案。本机构的电子政务电子认证业务规则和电子签名认证证书策略发生变更的,电子政务电子认证服务机构应当予以公布,并自公布之日起30日内向住所地省、自治区、直辖市密码管理部门办理变更手续。第十八条电子政务电子认证服务机构应当
9、按照本机构的电子政务电子认证业务规则提供下列服务:(一)电子签名认证证书全生命周期管理服务;(二)确认签发的电子签名认证证书的真实性;(三)提供电子签名认证证书目录信息查询服务;(四)提供电子签名认证证书状态查询服务;(五)提供电子签名认证证书使用支持服务。第十九条电子政务电子认证服务机构签发的电子签名认证证书应当准确无误,并载明下列内容:(一)电子政务电子认证服务机构名称;(二)证书持有人名称;(三)证书序列号;(四)证书有效期;(五)与电子签名制作数据相对应的电子签名验证数据;(六)电子政务电子认证服务机构的电子签名;(七)国家密码管理局规定的其他内容。第二十条电子政务电子认证服务机构应当
10、保证电子签名认证证书内容在有效期内完整、准确,证书格式符合相关规范,并保证电子签名依赖方能够证实或者了解证书所载内容及其他有关事项。电子签名制作数据应当由通过检测认证的商用密码设备生成和使用。第二十一条电子签名人向电子政务电子认证服务机构申请电子签名认证证书,应当提供真实、完整和准确的信息。电子政务电子认证服务机构在受理电子签名认证证书申请时,应当向证书申请人告知电子签名认证证书和电子签名的使用条件、电子签名所产生的法律责任、保存和使用证书持有人信息的权限和责任、电子政务电子认证服务机构和证书持有人的责任范围等事项。电子政务电子认证服务机构收到电子签名认证证书申请后,应当采用安全可靠的验证方式
11、对证书申请人的身份进行查验,并对证书申请材料进行审查。电子政务电子认证服务机构在受理电子签名认证证书申请后,应当与证书申请人签订电子政务电子认证服务协议,明确双方的权利义务。第二十二条电子政务电子认证服务机构应当保障电子政务电子认证服务密码使用安全,其电子政务电子认证服务应当纳入统一的电子认证信任体系,遵循电子认证服务互信互认要求。第二十三条电子政务电子认证服务机构应当建立完善的保密制度,对其在工作中知悉的国家秘密、商业秘密和个人隐私承担保密义务。第二十四条电子政务电子认证服务机构应当妥善保存与电子政务电子认证服务相关的信息。信息保存期限至少为电子签名认证证书失效后5年。第二十五条电子政务电子
12、认证服务机构可以设立电子签名认证证书注册机构开展电子签名认证证书注册业务。电子签名认证证书注册机构应当具备与开展电子签名认证证书注册业务相适应的场所、设备设施、专业人员、专业能力和管理制度等条件。前款所称电子签名认证证书注册机构,是指电子政务电子认证服务机构设立的受理电子签名认证证书申请、注册登记、下载交付、更新、恢复和注销等业务的机构。第二十六条电子政务电子认证服务机构设立电子签名认证证书注册机构开展电子签名认证证书注册业务的,应当自设立之日起30日内将电子签名认证证书注册机构名称、地址等信息予以公告,并向电子签名认证证书注册机构住所地省、自治区、直辖市密码管理部门备案,备案内容为电子签名认
13、证证书注册机构符合本办法第二十五条规定条件的有关资料。备案内容发生变更的,应当自变更之日起30日内办理变更手续。第二十七条电子政务电子认证服务机构应当对其设立的电子签名认证证书注册机构开展电子签名认证证书注册业务的行为实施有效监督管理,并对该行为承担法律责任。电子签名认证证书注册机构在开展电子签名认证证书注册业务过程中,应当在电子签名认证证书注册服务场所明示设立该电子签名认证证书注册机构的电子政务电子认证服务机构名称及相关关系,按照法律、行政法规和电子政务电子认证服务技术规范、规则以及合同约定开展电子签名认证证书注册业务,并接受电子政务电子认证服务机构的监督。电子签名认证证书注册机构应当以设立
14、该电子签名认证证书注册机构的电子政务电子认证服务机构名义与证书申请人签订电子政务电子认证服务协议,不得以自身名义与证书申请人签订协议,不得委托其他机构开展电子签名认证证书注册业务。第二十八条电子政务电子认证服务机构应当每年至少进行一次电子政务电子认证服务合规性评估,对发现的问题及时整改,并及时向住所地省、自治区、直辖市密码管理部门报送合规性评估报告。第二十九条电子政务电子认证服务机构应当建立投诉处理机制,公布投诉方式,及时受理并处理有关投诉事项。第三十条电子政务电子认证服务机构应当对本单位及其设立的电子签名认证证书注册机构的从业人员进行岗位培训,建立培训制度,制定培训计划,加强考核并做好培训记
15、录。第三十一条电子政务电子认证服务机构拟暂停或者终止电子政务电子认证服务的,应当在暂停或者终止服务60日前向国家密码管理局报告,并与其他电子政务电子认证服务机构就业务承接进行协商,作出妥善安排。电子政务电子认证服务机构未能就业务承接事项与其他电子政务电子认证服务机构达成协议的,应当申请国家密码管理局安排其他电子政务电子认证服务机构承接其业务。电子政务电子认证服务机构被依法吊销电子政务电子认证服务资质的,其业务承接事项的处理按照国家密码管理局的规定执行。电子政务电子认证服务机构有根据国家密码管理局的安排承接其他机构开展的电子政务电子认证服务业务的义务。第四章监督管理第三十二条密码管理部门依法对电
16、子政务电子认证服务活动进行监督检查。监督检查可以采取书面检查、实地核查、网络监测等方式,并可以组织专家或者委托专业机构开展有关检测鉴定工作。第三十三条密码管理部门依法实施监督检查时,可以调查、了解有关情况,查阅、复制有关资料。电子政务电子认证服务机构及其设立的电子签名认证证书注册机构应当予以配合,如实提供相关材料和技术支持。第三十四条密码管理部门开展监督检查,不得妨碍电子政务电子认证服务机构及其设立的电子签名认证证书注册机构正常的经营和服务活动,不得收取任何费用,不得泄露在履行职责中所知悉的商业秘密和个人隐私。第三十五条电子政务电子认证服务机构应当于每年1月15日前向住所地省、自治区、直辖市密码管理部