電子認(rèn)證服務(wù)使用密碼管理辦法

 

第一條  為了規(guī)范電子認(rèn)證服務(wù)使用密碼行為，保障電子認(rèn)證服務(wù)使用密碼安全，根據(jù)《中華人民共和國電子簽名法》、《中華人民共和國密碼法》和《商用密碼管理條例》等法律、行政法規(guī)，制定本辦法。

第二條  在中華人民共和國境內(nèi)的電子認(rèn)證服務(wù)使用密碼及其監(jiān)督管理，適用本辦法。

第三條  采用商用密碼技術(shù)提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)依法取得國家密碼管理局頒發(fā)的《電子認(rèn)證服務(wù)使用密碼許可證》。

第四條  國家密碼管理局對全國電子認(rèn)證服務(wù)使用密碼行為實施監(jiān)督管理。

縣級以上地方各級密碼管理部門對本行政區(qū)域的電子認(rèn)證服務(wù)使用密碼行為實施監(jiān)督管理。

第五條  申請《電子認(rèn)證服務(wù)使用密碼許可證》，應(yīng)當(dāng)具備下列條件：

（一）具有企業(yè)法人資格；

（二）具有與電子認(rèn)證服務(wù)使用密碼相適應(yīng)的運營場所；

（三）具有在境內(nèi)設(shè)置、符合國家有關(guān)密碼標(biāo)準(zhǔn)的電子認(rèn)證服務(wù)系統(tǒng)等設(shè)備設(shè)施；

（四）具有密碼或者相關(guān)專業(yè)知識的專業(yè)技術(shù)人員和安全管理人員等專業(yè)人員；

（五）具有與電子認(rèn)證服務(wù)使用密碼相適應(yīng)的專業(yè)能力；

（六）具有與電子認(rèn)證服務(wù)使用密碼相適應(yīng)的管理體系。

第六條  申請《電子認(rèn)證服務(wù)使用密碼許可證》，應(yīng)當(dāng)向國家密碼管理局委托進(jìn)行受理的省、自治區(qū)、直轄市密碼管理部門提交下列材料：

（一）書面申請表；

（二）企業(yè)法人營業(yè)執(zhí)照；

（三）運營場所情況；

（四）電子認(rèn)證服務(wù)系統(tǒng)相關(guān)技術(shù)材料及相關(guān)設(shè)備清單，包括建設(shè)工作報告、技術(shù)工作報告、安全性設(shè)計報告、安全管理策略和規(guī)范、標(biāo)準(zhǔn)符合性自評估報告，相關(guān)軟件、硬件清單及其符合國家有關(guān)安全標(biāo)準(zhǔn)的情況等；

（五）專業(yè)人員情況；

（六）專業(yè)能力情況；

（七）電子認(rèn)證服務(wù)使用密碼管理體系建立情況，包括電子認(rèn)證服務(wù)系統(tǒng)運行管理、設(shè)備管理、人員管理、文檔管理、安全保密管理等管理體系建立情況。

第七條  受國家密碼管理局委托進(jìn)行受理的省、自治區(qū)、直轄市密碼管理部門自收到申請材料之日起5個工作日內(nèi)，對申請材料進(jìn)行形式審查，根據(jù)下列情況分別作出處理：申請材料齊全、符合規(guī)定形式的，應(yīng)當(dāng)受理行政許可申請并出具受理通知書；申請材料不齊全或者不符合規(guī)定形式的，應(yīng)當(dāng)當(dāng)場或者在5個工作日內(nèi)一次告知需要補(bǔ)正的全部內(nèi)容；不予受理的，應(yīng)當(dāng)出具不予受理通知書并說明理由。

第八條  國家密碼管理局應(yīng)當(dāng)自行政許可申請受理之日起20個工作日內(nèi)，對行政許可申請進(jìn)行審查，并依法作出是否許可的決定。準(zhǔn)予許可的，頒發(fā)《電子認(rèn)證服務(wù)使用密碼許可證》，并予以公開；不予許可的，應(yīng)當(dāng)出具不予行政許可決定書，說明理由并告知申請人相關(guān)權(quán)利。

需要對申請人進(jìn)行技術(shù)評審的，技術(shù)評審所需時間不計算在本條規(guī)定的期限內(nèi)。國家密碼管理局應(yīng)當(dāng)將技術(shù)評審所需時間書面告知申請人。

第九條  國家密碼管理局根據(jù)行政許可申請審查需要，可以委托專業(yè)機(jī)構(gòu)或者組織專家實施技術(shù)評審。

技術(shù)評審包括電子認(rèn)證服務(wù)系統(tǒng)安全性審查和互聯(lián)互通測試，運營場所、設(shè)備設(shè)施、管理體系建設(shè)實地查勘等。

專業(yè)機(jī)構(gòu)和專家應(yīng)當(dāng)獨立、公正、科學(xué)、誠信地開展技術(shù)評審活動，對技術(shù)評審結(jié)論的真實性、符合性負(fù)責(zé)，并承擔(dān)相應(yīng)法律責(zé)任。國家密碼管理局應(yīng)當(dāng)對技術(shù)評審活動進(jìn)行監(jiān)督，建立責(zé)任追究機(jī)制。

第十條  《電子認(rèn)證服務(wù)使用密碼許可證》有效期5年，內(nèi)容包括：獲證機(jī)構(gòu)名稱、證書編號、有效期限、發(fā)證機(jī)關(guān)和發(fā)證日期等。

第十一條  有下列情形之一的，獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)應(yīng)當(dāng)自變更之日起30日內(nèi)向國家密碼管理局辦理變更手續(xù)：

（一）機(jī)構(gòu)名稱、住所、法定代表人發(fā)生變更；

（二）電子認(rèn)證服務(wù)系統(tǒng)等設(shè)備設(shè)施發(fā)生變化，影響或者可能影響電子認(rèn)證服務(wù)使用密碼安全；

（三）新建、搬遷電子認(rèn)證服務(wù)系統(tǒng)；

（四）依法需要辦理變更的其他事項。

獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)發(fā)生變更的事項影響其符合許可條件和要求的，國家密碼管理局根據(jù)申請人的實際情況，采取書面或者現(xiàn)場形式開展審查。需要進(jìn)行技術(shù)評審的，依照本辦法第九條規(guī)定對其開展技術(shù)評審。

第十二條  《電子認(rèn)證服務(wù)使用密碼許可證》有效期屆滿需要延續(xù)的，應(yīng)當(dāng)在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局根據(jù)申請人的實際情況，采取書面或者現(xiàn)場形式進(jìn)行審查，并在《電子認(rèn)證服務(wù)使用密碼許可證》有效期屆滿前作出是否準(zhǔn)予延續(xù)的決定。

第十三條  獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)應(yīng)當(dāng)按照國家有關(guān)密碼管理要求履行電子認(rèn)證服務(wù)使用密碼安全管理義務(wù)，保證其電子認(rèn)證服務(wù)使用密碼持續(xù)符合要求。

第十四條  電子認(rèn)證服務(wù)系統(tǒng)所需密鑰服務(wù)由國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門規(guī)劃的密鑰管理系統(tǒng)提供。

第十五條  獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)應(yīng)當(dāng)落實電子認(rèn)證服務(wù)系統(tǒng)運行維護(hù)制度，明確關(guān)鍵崗位和崗位責(zé)任，制定操作規(guī)范，加強(qiáng)巡檢和運行維護(hù)，提高監(jiān)測預(yù)警和應(yīng)急處置能力，及時消除電子認(rèn)證服務(wù)系統(tǒng)運行安全隱患，保證電子認(rèn)證服務(wù)系統(tǒng)安全可靠運行。

第十六條  獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)應(yīng)當(dāng)自行或者委托專業(yè)機(jī)構(gòu)每年至少進(jìn)行一次電子認(rèn)證服務(wù)使用密碼合規(guī)性評估，對評估中發(fā)現(xiàn)的問題及時進(jìn)行整改，并向住所地省、自治區(qū)、直轄市密碼管理部門報送電子認(rèn)證服務(wù)使用密碼合規(guī)性評估報告。

第十七條  獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)應(yīng)當(dāng)制定電子認(rèn)證服務(wù)使用密碼安全教育培訓(xùn)計劃，每年組織開展電子認(rèn)證服務(wù)使用密碼安全知識和崗位技能培訓(xùn)，相關(guān)專業(yè)技術(shù)人員和安全管理人員每年教育培訓(xùn)時間不得少于20個小時。

第十八條  密碼管理部門依法對電子認(rèn)證服務(wù)使用密碼情況進(jìn)行監(jiān)督檢查，可以采取書面檢查、現(xiàn)場檢查、網(wǎng)絡(luò)監(jiān)測等方式。

第十九條  密碼管理部門依法實施監(jiān)督檢查時，可以進(jìn)入電子認(rèn)證服務(wù)活動場所實施現(xiàn)場檢查，調(diào)查、了解有關(guān)情況，查閱、復(fù)制有關(guān)資料，并可以委托專業(yè)機(jī)構(gòu)或者組織專家開展有關(guān)檢測鑒定工作。

獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)應(yīng)當(dāng)予以配合，并如實提供相關(guān)材料和技術(shù)支持。

第二十條  密碼管理部門開展監(jiān)督檢查，不得影響電子認(rèn)證服務(wù)系統(tǒng)的正常運行，不得收取任何費用，不得泄露或者非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密和個人隱私。

第二十一條  獲得《電子認(rèn)證服務(wù)使用密碼許可證》的機(jī)構(gòu)違反本辦法有關(guān)規(guī)定，有下列情形之一的，由密碼管理部門責(zé)令限期改正；逾期未改正的，給予警告、通報批評；情節(jié)嚴(yán)重的，處1萬元以上10萬元以下罰款：

（一）未按照本辦法第十一條第一款規(guī)定辦理變更手續(xù)；

（二）電子認(rèn)證服務(wù)系統(tǒng)所需密鑰服務(wù)未由國家密碼管理局或者省、自治區(qū)、直轄市密碼管理部門規(guī)劃的密鑰管理系統(tǒng)提供；

（三）未按照本辦法第十五條規(guī)定履行電子認(rèn)證服務(wù)系統(tǒng)運行維護(hù)相關(guān)義務(wù)；

（四）未按照要求進(jìn)行電子認(rèn)證服務(wù)使用密碼合規(guī)性評估，或者未對評估中發(fā)現(xiàn)的問題及時進(jìn)行整改；

（五）未按照要求開展電子認(rèn)證服務(wù)使用密碼安全知識和崗位技能培訓(xùn)。

第二十二條  從事電子認(rèn)證服務(wù)使用密碼監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個人隱私、舉報人信息的，依法給予處分。

第二十三條  《電子認(rèn)證服務(wù)使用密碼許可證》依法被吊銷、撤銷、注銷的，由國家密碼管理局將有關(guān)情況通報國務(wù)院工業(yè)和信息化主管部門。

第二十四條  法律、行政法規(guī)和國家有關(guān)規(guī)定對電子政務(wù)電子認(rèn)證服務(wù)使用密碼管理另有規(guī)定的，從其規(guī)定。

第二十五條  本辦法自2026年7月1日起施行。2009年10月28日國家密碼管理局公告第17號公布，根據(jù)2017年12月1日《國家密碼管理局關(guān)于廢止和修改部分管理規(guī)定的決定》修正的《電子認(rèn)證服務(wù)密碼管理辦法》同時廢止。

附件：《電子認(rèn)證服務(wù)使用密碼管理辦法》（文字版）

          《電子認(rèn)證服務(wù)使用密碼管理辦法》（PDF版）