國家密碼管理局《電子認證服務使用密碼管理辦法》公開征求意見
責編:gltian |2025-03-24 10:52:32國家密碼管理局關于《電子認證服務使用密碼管理辦法(征求意見稿)》公開征求意見的通知
為了規范電子認證服務使用密碼行為,保障電子認證服務使用密碼安全,根據《中華人民共和國電子簽名法》、《中華人民共和國密碼法》和《商用密碼管理條例》等有關法律法規,國家密碼管理局研究起草了《電子認證服務使用密碼管理辦法(征求意見稿)》,現向社會公開征求意見。公眾可通過以下途徑和方式提出意見:
1.登錄國家密碼管理局門戶網站(網址:www.nca.gov.cn),進入首頁“互動交流—意見征集”欄目提出意見。
2.電子郵件發送至:gmzcfg@sca.gov.cn,郵件主題請注明“《電子認證服務使用密碼管理辦法》反饋意見”字樣。
3.信函寄至:北京市豐臺區靛廠路7號國家密碼管理局政策法規室(郵政編碼:100036),信封上請注明“《電子認證服務使用密碼管理辦法》反饋意見”字樣。
征求意見時間為2025年3月21日至2025年4月21日。
國家密碼管理局
2025年3月21日
下載附件:
附件
電子認證服務使用密碼管理辦法
(征求意見稿)
第一條【制定目的和依據】為了規范電子認證服務使用密碼行為,保障電子認證服務使用密碼安全,根據《中華人民共和國電子簽名法》、《中華人民共和國密碼法》和《商用密碼管理條例》等法律、行政法規,制定本辦法。
第二條【適用范圍】在中華人民共和國境內的電子認證服務使用密碼及其監督管理,適用本辦法。
第三條【許可要求】采用商用密碼技術提供電子認證服務,應當依法取得《電子認證服務使用密碼許可證》。
第四條【監管主體】國家密碼管理局負責對全國電子認證服務使用密碼行為實施監督管理。
縣級以上地方各級密碼管理部門負責對本行政區域的電子認證服務使用密碼行為實施監督管理。
第五條【許可條件】申請《電子認證服務使用密碼許可證》,應當具備下列條件:
(一)具有企業法人資格;
(二)具有與電子認證服務使用密碼相適應的運營場所;
(三)具有在境內設置、符合國家有關密碼標準的電子認證服務系統等設備設施;
(四)具有密碼或者相關專業知識的專業技術人員、運行維護人員和安全管理人員等專業人員;
(五)具有與電子認證服務使用密碼相適應的專業能力;
(六)具有與電子認證服務使用密碼相適應的管理體系。
第六條【申請材料】申請《電子認證服務使用密碼許可證》,應當向國家密碼管理局提出書面申請,向國家密碼管理局委托進行受理的省、自治區、直轄市密碼管理部門提交下列材料:
(一)書面申請表;
(二)企業法人營業執照;
(三)運營場所情況;
(四)電子認證服務系統相關技術材料及相關設備清單,包括建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規范、標準符合性自評估報告,相關軟件、硬件清單及其符合國家有關安全標準的情況等;
(五)專業人員情況;
(六)專業能力情況;
(七)電子認證服務使用密碼管理體系建立情況,包括電子認證服務系統運行管理、人員管理、檔案管理、安全保密管理等管理體系建立情況。
第七條【申請受理】受國家密碼管理局委托進行受理的省、自治區、直轄市密碼管理部門自收到申請材料之日起5個工作日內,對申請材料進行形式審查,根據下列情況分別作出處理:申請材料齊全、符合規定形式的,應當受理行政許可申請并出具受理通知書;申請材料不齊全或者不符合規定形式的,應當當場或者在5個工作日內一次告知需要補正的全部內容;不予受理的,應當出具不予受理通知書并說明理由。
第八條【審查審批】國家密碼管理局應當自行政許可申請受理之日起20個工作日內,對行政許可申請進行審查,并依法作出是否許可的決定。準予許可的,頒發《電子認證服務使用密碼許可證》,并予以公開;不予許可的,應當出具不予行政許可決定書,說明理由并告知申請人相關權利。
需要對申請人進行技術評審的,技術評審所需時間不計算在本條規定的期限內。國家密碼管理局應當將技術評審所需時間書面告知申請人。
第九條【技術評審】國家密碼管理局根據技術評審需要和專業要求,可以委托專業機構或者組織專家實施技術評審。
技術評審包括電子認證服務系統安全性審查和互聯互通測試,運營場所、設備設施、管理體系建設實地查勘等。
專業機構和專家應當獨立、公正、科學、誠信地開展技術評審活動,對技術評審結論的真實性、符合性負責,并承擔相應法律責任。國家密碼管理局應當對技術評審活動進行監督,建立責任追究機制。
第十條【許可證件】《電子認證服務使用密碼許可證》有效期5年,內容包括:獲證機構名稱,住所,電子認證服務系統名稱及版本號,證書編號,有效期限,發證機關和發證日期等。
禁止轉讓、出租、出借、偽造、變造、冒用、租借《電子認證服務使用密碼許可證》。
第十一條【事項變更】有下列情形之一的,電子認證服務機構應當自變更之日起30日內向國家密碼管理局辦理變更手續:
(一)機構名稱、住所、法定代表人發生變更;
(二)電子認證服務系統等設備設施發生變化,影響或者可能影響電子認證服務使用密碼安全;
(三)新建、搬遷電子認證服務系統;
(四)依法需要辦理變更的其他事項。
電子認證服務機構發生變更的事項影響其符合許可條件和要求的,國家密碼管理局根據申請人的實際情況,采取書面或者現場形式開展審查。需要進行技術評審的,依照本辦法第九條規定對其開展技術評審。
第十二條【許可延續】《電子認證服務使用密碼許可證》有效期屆滿需要延續的,應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局根據申請人的實際情況,采取書面或者現場形式進行審查,并在《電子認證服務使用密碼許可證》有效期屆滿前作出是否準予延續的決定。
第十三條【安全管理義務】電子認證服務機構應當按照國家有關密碼管理要求履行電子認證服務使用密碼安全管理義務,保證其電子認證服務使用密碼持續符合要求。
第十四條【運行維護】電子認證服務機構應當建立健全電子認證服務系統運行維護制度,明確關鍵崗位和崗位責任,制定操作規范,加強巡檢和運行維護,提高監測預警和應急處置能力,及時消除電子認證服務系統運行安全隱患,保證電子認證服務系統安全可靠運行。
第十五條【合規性評估】電子認證服務機構應當自行或者委托專業機構每年至少進行一次電子認證服務使用密碼合規性評估,對評估中發現的問題及時進行整改,并向住所地省、自治區、直轄市密碼管理部門報送電子認證服務使用密碼合規性評估報告。
第十六條【人員培訓】電子認證服務機構應當制定電子認證服務使用密碼安全教育培訓計劃,每年組織開展電子認證服務使用密碼安全知識和崗位操作技能培訓,相關技術人員和管理人員每年教育培訓時間不得少于20個小時。
第十七條【監督檢查】密碼管理部門依法對電子認證服務使用密碼情況進行監督檢查。監督檢查可以采取書面檢查、實地核查、網絡監測等方式。
第十八條【監督檢查】密碼管理部門依法實施監督檢查時,可以進入電子認證服務活動場所實施現場檢查,調查、了解有關情況,查閱、復制有關資料,并可以委托專業機構或者組織專家開展有關檢測鑒定工作。
電子認證服務機構應當予以配合,并如實提供相關材料和技術支持。
第十九條【監督檢查】密碼管理部門開展監督檢查,不得妨礙電子認證服務機構的正常經營和服務活動,不得收取任何費用,不得泄露或者非法向他人提供在履行職責中知悉的商業秘密和個人隱私。
第二十條【年度報告】電子認證服務機構應當于每年1月15日前向住所地省、自治區、直轄市密碼管理部門報送上一年度電子認證服務使用密碼工作報告,包括:
(一)密碼法律法規和國家有關密碼標準執行情況;
(二)電子認證服務系統運行管理情況及相關統計數據;
(三)關鍵崗位人員變動情況;
(四)電子認證服務使用密碼管理體系落實情況。
第二十一條【違規責任】電子認證服務機構違反本辦法有關規定,有下列情形之一的,由密碼管理部門責令改正;逾期未改正或者改正后仍不符合要求的,給予警告、通報批評;情節嚴重的,處1萬元以上10萬元以下罰款:
(一)未按照本辦法第十一條規定辦理變更手續;
(二)未按照要求進行電子認證服務使用密碼合規性評估,或者未對評估中發現的問題及時進行整改;
(三)未按照要求開展電子認證服務使用密碼安全知識和崗位操作技能培訓;
(四)未按照要求報送年度電子認證服務使用密碼工作報告等實施情況。
第二十二條【監管責任】從事電子認證服務使用密碼監督管理工作的人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的,依法給予處分。
【施行時間】本辦法自××××年××月××日起施行。2009年10月28日國家密碼管理局公告第17號公布,根據2017年12月1日《國家密碼管理局關于廢止和修改部分管理規定的決定》修正的《電子認證服務密碼管理辦法》同時廢止。