河北省电子认证服务管理办法(试行)
发布时间:2012年03月08日 来源:网络信息安全处
第一章 总则
第一条 为规范全省电子政务、电子商务电子认证服务活动,保障信息安全,依据《中华人民共和国电子签名法》、《商用密码管理条例》、《电子认证服务管理办法》、《电子政务电子认证服务管理办法(试行))及中共河北省委办公厅、河北省人民政府办公厅《关于加强网络信任体系建设的意见》(冀办发[2007]21号)的有关规定,制定本办法。
第二条 本办法所称电子认证服务,是指电子认证服务机构采用密码技术,通过数字证书,为电子签名相关各方提供真实性、可靠性验证的活动。
电子认证服务包括:面向政务部门的电子政务非涉密网电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务,以及电子商务电子认证服务。
电子认证服务机构,是指全省为电子签名人和电子签名依赖方提供电子认证服务的、经国家主管部门批准的第三方认证机构。
数字证书,是指可证实电子签名人与电子签名制作数据具有关联性的电子签名认证证书。
第三条 我省行政区域内电子认证服务活动中的电子认证基础设施、电子认证服务机构、数字证书的使用、电子认证服务应用等的管理,适用本办法。
第四条 在省网络与信息安全协调小组的统一领导下,成立省电子认证管理委员会,负责全省电子认证服务的规划、管理和协调工作。
第二章 电子认证服务与应用
第五条 全省各政务部门建立电子政务系统,进行下列政务管理、社会管理和公众服务,需要解决身份认证、数据加密、授权管理、责任认定的,必须使用省电子认证管理委员会审核批准的数字证书:
(一)利用电子政务网络开展内部办公或者协同办公、公文流转、公文交换、公文归档等活动;
(二)法律、法规授权的具有管理公共事务职能的组织利用网络开展的社会管理以及公共服务活动;
(三)网上政府采购、招投标等活动;
(四)网上申报、年检、备案、审批、缴费、资质认定、统计等社会管理活动;
(五)利用网络向社会提供信息公开服务的活动;
(六)教育、医疗卫生、环保、社保、民政、国土、工商、税务、质监、食品医药、供水、供电、供气、供热、公共交通等领域,利用网络开展的社会公共服务活动;
(七)其他利用网络开展电子政务管理、社会管理及公共服务活动。
第六条 在全省区域内开展下列电子商务活动,需要解决身份认证、授权管理、责任认定的,应当按照国家和我省有关规定使用数字证书:
(一)设立各类网络交易平台、信息服务平台和娱乐平台的活动。
(二)利用网络签订电子合同、进行电子支付、交付数字产品的活动。
(三)电子商务活动中交易各方认为需要使用数字证书的活动。
(四)企业、个人利用网络传输商业秘密和不涉及国家秘密的敏感信息的活动。
(五)其他利用网络开展的电子商务活动。
第七条 电子政务信息系统采用电子认证服务,应当遵循国家密码管理局制定的相关标准规范,电子认证应用方案需报经省密码管理局审核备案。
第八条 政务部门使用数字证书,应向省电子认证管理委员会提出申请。各类社会组织、企业和公民使用数字证书,应向省电子认证管理委员会审核批准的电子认证服务机构提出申请。
省电子认证管理委员会于45日内确定是否通过审查。经审查同意的,应用部门与电子认证服务机构签订数字证书使用服务协议,由电子认证服务机构签发数字证书。
数字证书申请人,应当按照认证业务规则依法提供真实、完整和准确的申请信息,并对其申请信息实质内容的真实性负责。
电子认证服务机构组织制订并公布数字证书服务协议示范文本,供协议各方参照使用。电子认证服务机构提供的数字证书使用服务协议文本应当在省电子认证管理委员会备案。
第九条 数字证书的更新、挂失、撤销等事项和各方的权利义务,由数字证书使用服务协议予以约定。
(一)数字证书持有人应在证书有效期满之前向电子认证服务机构提出申请,办理证书更新业务。
(二)发生下列情形之一的,数字证书持有人应当申请撤销或者变更数字证书:
1.证书私钥泄露;
2.证书中的信息发生重大变更;
3.认为自身不能实际履行双方合同规定的义务;
4.辞职或调动工作岗位。
(三)发生下列情形之一的,电子认证服务机构可以撤销数字证书:
1.证书的有效期届满且没有继续申请延期使用;
2.证书持有者申请废除数字证书;
3.证书持有者丧失民事行为能力;
4.证书持有者严重违反双方合同规定的义务;
5.证书的安全性不能得到保证;
6.法律、行政法规规定的其他情形。
第十条 数字证书持有人应当妥善保管数字证书及其密钥,遵守电子认证服务机构的业务规则,不得转借他人使用,对使用证书的行为负责。
第十一条 数字证书载体丢失或密钥失控时,数字证书持有人应当立即向电子认证服务机构报告,由电子认证服务机构撤销其数字证书。
第三章 电子认证服务机构管理
第十二条 电子认证服务机构应当经国家、省主管部门批准,具有经国家主管部门批准的电子认证基础设施,具有与从事认证服务相适应的专业技术、运行维护和管理服务人员,具有与认证服务相适应的运行服务、应用支持和安全保障等机制。
第十三条 电子认证服务机构实行属地化管理。全省电子政务电子认证服务机构由省密码管理局认定,并接受省密码管理局的业务指导和监督检查;电子商务电子认证服务机构(包括分中心、认证点和代理发行机构),由省工业和信息化厅认定,并接受省工业和信息化厅的业务指导和监督检查。电子认证服务活动中密码配置、应用情况,接受省密码管理局的业务指导和监督检查。
第十四条 因特殊需要,经国家密码管理局批准,中央和国家机关有关部委为本系统业务应用提供电子政务电子认证服务的,仅限于本系统内部使用。
未经省电子认证管理委员会批准,外省电子认证服务机构不得在我省开展电子政务电子认证服务活动。
第十五条 电子认证服务机构的系统建设应当符合《电子认证服务管理办法》、《电子认证服务密码管理办法》等规定,满足全省统一的电子认证服务体系建设要求,并通过国家主管部门组织的安全审查。
第十六条 电子认证服务机构应当承担以下责任:
(一)制定本机构的电子认证服务业务规则,包括责任范围、作业操作规范、安全保障措施等事项,并在服务范围内予以发布;
(二)建立相应的服务队伍,制定相应的服务规范,提供安全可信的认证服务;
(三)保障电子认证基础设施的安全可靠运行;
(四)加强对从业人员的安全保密、职业道德和岗位技能培训。
第十七条 电子认证服务机构应当提供以下服务内容:
(一)数字证书的申请、签发、更新、延期、恢复、撤销等证书生命周期管理服务;
(二)数字证书信息查询服务及数字证书状态信息查询服务;
(三)为数字证书用户提供使用支持服务;
(四)为用户提供数字证书统计、查询、下载等支持服务;
(五)为信息系统提供数字证书应用集成等支持服务;
(六)提供数字证书相关培训。
第十八条 电子认证服务机构应当采用符合国家相关法律法规要求的载体,完整记录、妥善保存与认证相关的信息,并承担保密责任。面向企事业单位、社会团体、社会公众的电子政务电子认证服务,信息保存期为证书失效后五年;面向政务部门的电子政务电子认证服务,信息保存期为证书失效后十年。
第十九条 电子认证服务机构应当建立电子认证基础设施运行管理制度、软件控制流程、内部审计机制、灾难恢复和应急响应机制,制定相关资产、人员、物理环境等的安全策略,落实安全管理岗位和职责,并对安全策略的执行情况进行监督检查,保障安全运行。
第二十条 电子认证服务机构应当建立业务连续性计划,并定期开展业务风险评估,依据评估结果对本机构的电子政务电子认证服务业务规则及时进行修订,并在服务范围内予以发布。业务规则的修订,不应当降低电子认证服务机构的服务能力和水平。
第二十一条 电子认证服务机构应当按照国家有关法律、法规规定,建立完善的保密制度,不得泄露数字证书持有人的身份信息和数字证书持有人委托认证机构保管的数字证书密钥,并接受有关职能部门的监督检查。
电子政务电子认证服务机构的工作人员须到省密码管理局备案,接受保密教育,办理上岗证。省密码管理局定期对涉密人员进行安全审查。
第四章 监督管理
第二十二条 省电子认证管理委员会统筹协调全省电子认证工作,推进数字证书在电子政务、电子商务中的应用。
省密码管理局负责全省电子政务电子认证服务机构的资格认定、备案登记,对全省电子政务电子认证服务的应用情况进行监督、检查,统筹规划各设区市的电子政务电子认证工作。
省工业和信息化厅负责全省电子商务电子认证服务机构的资格认定、备案登记以及数字证书使用和电子认证服务活动的监督检查,统筹规划各设区市的电子商务电子认证工作。
省保密局负责对电子认证应用中保守国家秘密情况的监督检查。
第二十三条 电子认证服务机构应当在每年1月31日前,向省电子认证管理委员会提交上一年度电子认证基础设施运行管理和认证服务情况报告。
第二十四条 电子认证服务机构拟变更机构名称、住所、法定代表人、企业股本结构或者事业单位隶属关系,以及可能对电子认证服务产生较大影响事项的,在变更前应当将拟变更事项书面告知省电子认证管理委员会办公室。
第二十五条 电子认证服务管理部门的相关工作人员,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分。
第二十六条 使用数字证书,数字证书持有者违反《中华人民共和国电子签名法》、《商用密码管理条 例》、《中华人民共和国保守国家秘密法》等法律法规的,依法予以处罚;构成犯罪的,依法追究刑事责任。
未经省电子认证管理委员会批准,违规开展电子认证服务活动的,电子认证服务管理部门有权责令其整改并给予必要的处罚。
第五章 附则
第二十七条 本办法由省工业和信息化厅、省密码管理局、省保密局负责解释。
第二十八条 面向各级政务部门内部办公、管理、协调、监督和决策的电子政务涉密网电子认证管理办法另行制定。
第二十九条 本办法自颁布之日起施行。
2010年12月22日
来源:网络信息安全处
管理员信箱