國家密碼管理局公告

（第17号）

    現公布修訂後的《電子認證服務密碼管理辦法》，自2009年12月1日起施行。2005年3月31日國家密碼管理局發布的《電子認證服務密碼管理辦法》同時廢止。

國家密碼管理局
2009年10月28日

　　第一條 為了規範電子認證服務提供者使用密碼的行為，根據《中華人民共和國電子簽名法》、《商用密碼管理條例》和相關法律、行政法規的規定，制定本辦法。
　　第二條 國家密碼管理局對電子認證服務提供者使用密碼的行為實施監督管理。
　　省、自治區、直轄市密碼管理機構依據本辦法承擔有關監督管理工作。
　　第三條 提供電子認證服務，應當依據本辦法申請《電子認證服務使用密碼許可證》。
　　第四條 采用密碼技術為社會公衆提供第三方電子認證服務的系統（以下稱電子認證服務系統）使用商用密碼。
　　電子認證服務系統應當由具有商用密碼産品生産資質的單位承建。
　　第五條 電子認證服務系統的建設和運行應當符合《證書認證系統密碼及其相關安全技術規範》。
　　第六條 電子認證服務系統所需密鑰服務由國家密碼管理局和省、自治區、直轄市密碼管理機構規劃的密鑰管理系統提供。
　　第七條 申請《電子認證服務使用密碼許可證》應當在電子認證服務系統建設完成後，向所在地的省、自治區、直轄市密碼管理機構提交下列材料：
　　（一）《電子認證服務使用密碼許可證申請表》；
　　（二）企業法人營業執照或者企業名稱預先核準通知書的複印件；
　　（三）電子認證服務系統安全性審查相關技術材料，包括建設工作總結報告、技術工作總結報告、安全性設計報告、安全管理策略和規範報告、用戶手冊和測試說明；
　　（四）電子認證服務系統互聯互通測試相關技術材料；
　　（五）電子認證服務系統物理環境符合電磁屏蔽、消防安全有關要求的證明文件；
　　（六）電子認證服務系統使用的信息安全産品符合有關法律規定的證明文件。
　　第八條 申請人提交的申請材料齊全并且符合規定形式的，省、自治區、直轄市密碼管理機構應當受理并發給《受理通知書》；申請材料不齊全或者不符合規定形式的，省、自治區、直轄市密碼管理機構應當當場或者在5個工作日内一次告知需要補正的全部内容。不予受理的，應當書面通知并說明理由。
　　省、自治區、直轄市密碼管理機構應當自受理申請之日起5個工作日内将全部申請材料報送國家密碼管理局。
　　第九條 國家密碼管理局對省、自治區、直轄市密碼管理機構報送的材料進行核查，組織對電子認證服務系統進行安全性審查和互聯互通測試，并自省、自治區、直轄市密碼管理機構受理申請之日起15個工作日内，将安全性審查和互聯互通測試所需時間書面通知申請人。
　　電子認證服務系統通過安全性審查和互聯互通測試的，由國家密碼管理局發給《電子認證服務使用密碼許可證》并予以公布；未通過安全性審查或者互聯互通測試的，不予許可，書面通知申請人并說明理由。
　　第十條 《電子認證服務使用密碼許可證》載明下列内容：
　　（一）許可證編号；
　　（二）電子認證服務提供者名稱；
　　（三）許可證有效期限；
　　（四）發證機關和發證日期。
　　《電子認證服務使用密碼許可證》有效期為5年。
　　第十一條   電子認證服務提供者變更名稱的，應當自變更之日起30日内，持變更證明文件到所在地的省、自治區、直轄市密碼管理機構辦理《電子認證服務使用密碼許可證》更換手續。
　　電子認證服務提供者變更住所、法定代表人的，應當自變更之日起30日内，持變更證明文件到所在地的省、自治區、直轄市密碼管理機構備案。
　　第十二條  《電子認證服務使用密碼許可證》有效期滿需要延續的，應當在許可證有效期屆滿30日前向國家密碼管理局提出申請。國家密碼管理局根據申請，在許可證有效期滿前作出是否準予延續的決定。
　　第十三條   電子認證服務提供者取得《電子認證服務使用密碼許可證》後6個月内，未取得國務院信息産業主管部門頒發的《電子認證服務許可證》的，《電子認證服務使用密碼許可證》自行失效。
　　第十四條   電子認證服務提供者終止電子認證服務或者《電子認證服務許可證》被吊銷的，原持有的《電子認證服務使用密碼許可證》自行失效。
　　第十五條   電子認證服務提供者對其電子認證服務系統進行技術改造或者進行系統搬遷的，應當将有關情況書面報國家密碼管理局，經國家密碼管理局同意後方可繼續運行。必要時，國家密碼管理局可以組織對電子認證服務系統進行安全性審查和互聯互通測試。
　　第十六條   國家密碼管理局和省、自治區、直轄市密碼管理機構對電子認證服務提供者使用密碼的情況進行監督檢查。監督檢查采取書面審查和現場核查相結合的方式。
　　監督檢查發現存在不符合許可條件的情形的，限期整改；限期整改後仍不符合許可條件的，由國家密碼管理局撤銷其《電子認證服務使用密碼許可證》，通報國務院信息産業主管部門并予以公布。
　　第十七條   有下列情形之一的，由國家密碼管理局責令改正；情節嚴重的，吊銷《電子認證服務使用密碼許可證》，通報國務院信息産業主管部門并予以公布：
　　（一）電子認證服務系統的運行不符合《證書認證系統密碼及其相關安全技術規範》的；
　　（二）電子認證服務系統使用本辦法第六條規定以外的密鑰管理系統提供的密鑰開展業務的；
　　（三）對電子認證服務系統進行技術改造或者進行系統搬遷，未按照本辦法第十五條規定辦理的。
　　第十八條   國家密碼管理局和省、自治區、直轄市密碼管理機構的工作人員在電子認證服務密碼管理工作中濫用職權、玩忽職守、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。
　　第十九條  《電子認證服務使用密碼許可證申請表》由國家密碼管理局統一印制。
　　第二十條   本辦法施行前已經取得《電子認證服務使用密碼許可證》的電子認證服務提供者，應當自本辦法施行之日起3個月内到所在地的省、自治區、直轄市密碼管理機構辦理《電子認證服務使用密碼許可證》的換證手續。
　　第二十一條 本辦法自2009年12月1日起施行。2005年3月31日國家密碼管理局發布的《電子認證服務密碼管理辦法》同時廢止。