国家密码管理局《电子认证服务使用密码管理办法》公开征求意见
责编:gltian |2025-03-24 10:52:32国家密码管理局关于《电子认证服务使用密码管理办法(征求意见稿)》公开征求意见的通知
为了规范电子认证服务使用密码行为,保障电子认证服务使用密码安全,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《电子认证服务使用密码管理办法(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出意见:
1.登录国家密码管理局门户网站(网址:www.nca.gov.cn),进入首页“互动交流—意见征集”栏目提出意见。
2.电子邮件发送至:gmzcfg@sca.gov.cn,邮件主题请注明“《电子认证服务使用密码管理办法》反馈意见”字样。
3.信函寄至:北京市丰台区靛厂路7号国家密码管理局政策法规室(邮政编码:100036),信封上请注明“《电子认证服务使用密码管理办法》反馈意见”字样。
征求意见时间为2025年3月21日至2025年4月21日。
国家密码管理局
2025年3月21日
下载附件:
附件
电子认证服务使用密码管理办法
(征求意见稿)
第一条【制定目的和依据】为了规范电子认证服务使用密码行为,保障电子认证服务使用密码安全,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密码管理条例》等法律、行政法规,制定本办法。
第二条【适用范围】在中华人民共和国境内的电子认证服务使用密码及其监督管理,适用本办法。
第三条【许可要求】采用商用密码技术提供电子认证服务,应当依法取得《电子认证服务使用密码许可证》。
第四条【监管主体】国家密码管理局负责对全国电子认证服务使用密码行为实施监督管理。
县级以上地方各级密码管理部门负责对本行政区域的电子认证服务使用密码行为实施监督管理。
第五条【许可条件】申请《电子认证服务使用密码许可证》,应当具备下列条件:
(一)具有企业法人资格;
(二)具有与电子认证服务使用密码相适应的运营场所;
(三)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;
(四)具有密码或者相关专业知识的专业技术人员、运行维护人员和安全管理人员等专业人员;
(五)具有与电子认证服务使用密码相适应的专业能力;
(六)具有与电子认证服务使用密码相适应的管理体系。
第六条【申请材料】申请《电子认证服务使用密码许可证》,应当向国家密码管理局提出书面申请,向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料:
(一)书面申请表;
(二)企业法人营业执照;
(三)运营场所情况;
(四)电子认证服务系统相关技术材料及相关设备清单,包括建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告,相关软件、硬件清单及其符合国家有关安全标准的情况等;
(五)专业人员情况;
(六)专业能力情况;
(七)电子认证服务使用密码管理体系建立情况,包括电子认证服务系统运行管理、人员管理、档案管理、安全保密管理等管理体系建立情况。
第七条【申请受理】受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。
第八条【审查审批】国家密码管理局应当自行政许可申请受理之日起20个工作日内,对行政许可申请进行审查,并依法作出是否许可的决定。准予许可的,颁发《电子认证服务使用密码许可证》,并予以公开;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将技术评审所需时间书面告知申请人。
第九条【技术评审】国家密码管理局根据技术评审需要和专业要求,可以委托专业机构或者组织专家实施技术评审。
技术评审包括电子认证服务系统安全性审查和互联互通测试,运营场所、设备设施、管理体系建设实地查勘等。
专业机构和专家应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。
第十条【许可证件】《电子认证服务使用密码许可证》有效期5年,内容包括:获证机构名称,住所,电子认证服务系统名称及版本号,证书编号,有效期限,发证机关和发证日期等。
禁止转让、出租、出借、伪造、变造、冒用、租借《电子认证服务使用密码许可证》。
第十一条【事项变更】有下列情形之一的,电子认证服务机构应当自变更之日起30日内向国家密码管理局办理变更手续:
(一)机构名称、住所、法定代表人发生变更;
(二)电子认证服务系统等设备设施发生变化,影响或者可能影响电子认证服务使用密码安全;
(三)新建、搬迁电子认证服务系统;
(四)依法需要办理变更的其他事项。
电子认证服务机构发生变更的事项影响其符合许可条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第九条规定对其开展技术评审。
第十二条【许可延续】《电子认证服务使用密码许可证》有效期届满需要延续的,应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局根据申请人的实际情况,采取书面或者现场形式进行审查,并在《电子认证服务使用密码许可证》有效期届满前作出是否准予延续的决定。
第十三条【安全管理义务】电子认证服务机构应当按照国家有关密码管理要求履行电子认证服务使用密码安全管理义务,保证其电子认证服务使用密码持续符合要求。
第十四条【运行维护】电子认证服务机构应当建立健全电子认证服务系统运行维护制度,明确关键岗位和岗位责任,制定操作规范,加强巡检和运行维护,提高监测预警和应急处置能力,及时消除电子认证服务系统运行安全隐患,保证电子认证服务系统安全可靠运行。
第十五条【合规性评估】电子认证服务机构应当自行或者委托专业机构每年至少进行一次电子认证服务使用密码合规性评估,对评估中发现的问题及时进行整改,并向住所地省、自治区、直辖市密码管理部门报送电子认证服务使用密码合规性评估报告。
第十六条【人员培训】电子认证服务机构应当制定电子认证服务使用密码安全教育培训计划,每年组织开展电子认证服务使用密码安全知识和岗位操作技能培训,相关技术人员和管理人员每年教育培训时间不得少于20个小时。
第十七条【监督检查】密码管理部门依法对电子认证服务使用密码情况进行监督检查。监督检查可以采取书面检查、实地核查、网络监测等方式。
第十八条【监督检查】密码管理部门依法实施监督检查时,可以进入电子认证服务活动场所实施现场检查,调查、了解有关情况,查阅、复制有关资料,并可以委托专业机构或者组织专家开展有关检测鉴定工作。
电子认证服务机构应当予以配合,并如实提供相关材料和技术支持。
第十九条【监督检查】密码管理部门开展监督检查,不得妨碍电子认证服务机构的正常经营和服务活动,不得收取任何费用,不得泄露或者非法向他人提供在履行职责中知悉的商业秘密和个人隐私。
第二十条【年度报告】电子认证服务机构应当于每年1月15日前向住所地省、自治区、直辖市密码管理部门报送上一年度电子认证服务使用密码工作报告,包括:
(一)密码法律法规和国家有关密码标准执行情况;
(二)电子认证服务系统运行管理情况及相关统计数据;
(三)关键岗位人员变动情况;
(四)电子认证服务使用密码管理体系落实情况。
第二十一条【违规责任】电子认证服务机构违反本办法有关规定,有下列情形之一的,由密码管理部门责令改正;逾期未改正或者改正后仍不符合要求的,给予警告、通报批评;情节严重的,处1万元以上10万元以下罚款:
(一)未按照本办法第十一条规定办理变更手续;
(二)未按照要求进行电子认证服务使用密码合规性评估,或者未对评估中发现的问题及时进行整改;
(三)未按照要求开展电子认证服务使用密码安全知识和岗位操作技能培训;
(四)未按照要求报送年度电子认证服务使用密码工作报告等实施情况。
第二十二条【监管责任】从事电子认证服务使用密码监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
【施行时间】本办法自××××年××月××日起施行。2009年10月28日国家密码管理局公告第17号公布,根据2017年12月1日《国家密码管理局关于废止和修改部分管理规定的决定》修正的《电子认证服务密码管理办法》同时废止。