第一条 为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定,制定本办法。
第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。
省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。
第三条 提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。
第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。
电子认证服务系统应当由具有商用密码产品生产资质的单位承建。
第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。
第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。
第七条 申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料:
(一)《电子认证服务使用密码许可证申请表》;
(二)企业法人营业执照或者企业名称预先核准通知书的复印件;
(三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明;
(四)电子认证服务系统互联互通测试相关技术材料;
(五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件;
(六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。
第八条 申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。
第九条 国家密码管理局对省、自治区、直辖市密码管理机构报送的材料进行核查,组织对电子认证服务系统进行安全性审查和互联互通测试,并自省、自治区、直辖市密码管理机构受理申请之日起15个工作日内,将安全性审查和互联互通测试所需时间书面通知申请人。
电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安全性审查或者互联互通测试的,不予许可,书面通知申请人并说明理由。
第十条 《电子认证服务使用密码许可证》载明下列内容:
(一)许可证编号;
(二)电子认证服务提供者名称;
(三)许可证有效期限;
(四)发证机关和发证日期。
《电子认证服务使用密码许可证》有效期为5年。
第十一条 电子认证服务提供者变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《电子认证服务使用密码许可证》更换手续。
电子认证服务提供者变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。
第十二条 《电子认证服务使用密码许可证》有效期满需要延续的,应当在许可证有效期届满30日前向国家密码管理局提出申请。国家密码管理局根据申请,在许可证有效期满前作出是否准予延续的决定。
第十三条 电子认证服务提供者取得《电子认证服务使用密码许可证》后6个月内,未取得国务院信息产业主管部门颁发的《电子认证服务许可证》的,《电子认证服务使用密码许可证》自行失效。
第十四条 电子认证服务提供者终止电子认证服务或者《电子认证服务许可证》被吊销的,原持有的《电子认证服务使用密码许可证》自行失效。
第十五条 电子认证服务提供者对其电子认证服务系统进行技术改造或者进行系统搬迁的,应当将有关情况书面报国家密码管理局,经国家密码管理局同意后方可继续运行。必要时,国家密码管理局可以组织对电子认证服务系统进行安全性审查和互联互通测试。
第十六条 国家密码管理局和省、自治区、直辖市密码管理机构对电子认证服务提供者使用密码的情况进行监督检查。监督检查采取书面审查和现场核查相结合的方式。
监督检查发现存在不符合许可条件的情形的,限期整改;限期整改后仍不符合许可条件的,由国家密码管理局撤销其《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布。
第十七条 有下列情形之一的,由国家密码管理局责令改正;情节严重的,吊销《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布:
(一)电子认证服务系统的运行不符合《证书认证系统密码及其相关安全技术规范》的;
(二)电子认证服务系统使用本办法第六条规定以外的密钥管理系统提供的密钥开展业务的;
(三)对电子认证服务系统进行技术改造或者进行系统搬迁,未按照本办法第十五条规定办理的。
第十八条 国家密码管理局和省、自治区、直辖市密码管理机构的工作人员在电子认证服务密码管理工作中滥用职权、玩忽职守、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第十九条 《电子认证服务使用密码许可证申请表》由国家密码管理局统一印制。
第二十条 本办法施行前已经取得《电子认证服务使用密码许可证》的电子认证服务提供者,应当自本办法施行之日起3个月内到所在地的省、自治区、直辖市密码管理机构办理《电子认证服务使用密码许可证》的换证手续。
第二十一条 本办法自2009年12月1日起施行。2005年3月31日国家密码管理局发布的《电子认证服务密码管理办法》同时废止。