《电子认证服务密码管理办法》解读

1.为什么要制定《电子认证服务密码管理办法》?

答:《电子签名法》规定,提供电子认证服务,应事先取得国家密码管理机构同意使用密码的证明文件,实质上是把国家密码管理机构出具同意使用密码的证明文件作为电子认证服务许可的一项前置性审批,属于行政许可事项。为贯彻实施《电子签名法》,正确履行《电子签名法》赋予的密码管理职责,方便电子认证服务提供者申请同意使用密码的证明文件,规范电子认证服务提供者使用密码行为,特制定《电子认证服务密码管理办法》,对相关事项作出明确规定。

2.《电子认证服务密码管理办法》的主要内容是什么?

答:《电子认证服务密码管理办法》共二十一条,主要规定了面向社会公众提供电子认证服务应使用商用密码,明确了电子认证服务提供者申请“国家密码管理机构同意使用密码的证明文件”的条件和程序,同时也对电子认证服务系统的运行和技术改造等做出了相应规定。

3.为什么《电子认证服务密码管理办法》规定使用商用密码?

答:《商用密码管理条例》第二条规定,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。也就是说,对不涉及国家秘密内容的信息进行加密保护或者安全认证应当使用商用密码。电子认证服务提供者提供电子认证服务,其核心是采用密码技术。根据《电子签名法》,电子认证服务提供者面向社会公众提供服务,不涉及国家秘密信息,因此,《电子认证服务密码管理办法》规定提供电子认证服务使用商用密码。

4.“国家密码管理机构同意使用密码的证明文件”的具体形式是什么?

答:《电子签名法》规定,提供电子认证服务,应事先取得“国家密码管理机构同意使用密码的证明文件”。《电子认证服务密码管理办法》规定“国家密码管理机构同意使用密码的证明文件”的具体形式为《电子认证服务使用密码许可证》。同意电子认证服务提供者使用密码的,国家密码管理局发给《电子认证服务使用密码许可证》。

5.申请《电子认证服务使用密码许可证》的条件是什么?

答:申请《电子认证服务使用密码许可证》应具备六个条件:一是电子认证服务系统符合《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》等标准规范要求;二是电子认证服务系统由具有商用密码产品生产资质的单位承建;三是电子认证服务系统采用的商用密码产品是国家密码管理局认可的产品;四是电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求;五是电子认证服务系统采用的信息安全产品是国家有关部门或机构认定的产品;六是电子认证服务系统通过国家密码管理局安全性审查和互联互通测试。

6.申请《电子认证服务使用密码许可证》的程序是什么?

答:电子认证服务提供者应在其电子认证服务系统建设完成后,向所在地的省(区、市)密码管理机构提出使用密码的申请。

省(区、市)密码管理机构受理申请后将全部申请材料报国家密码管理局,由国家密码管理局做出是否许可的决定,并将结果及时告知申请人。

7.申请《电子认证服务使用密码许可证》应提交什么材料?

答:申请《电子认证服务使用密码许可证》应提交下列材料:(一)电子认证服务使用密码许可证申请表;(二)企业法人营业执照或者企业名称预先核准通知书的复印件;(三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明;(四)电子认证服务系统互联互通测试相关技术材料(包括互联互通CA证书申请数据文件、CA系统结构、签发的数字证书种类及格式、发布子系统结构及证书发布策略、CA系统所使用算法清单等);(五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件;(六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。

8.为什么《电子认证服务密码管理办法》中要求电子认证服务系统的建设和运行要符合《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》?

答:《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》是国家密码管理局根据国家密码管理政策法规和密码安全的技术要求,组织制定的针对证书认证系统建设和运行的密码技术规范,经实践证明是科学可行的。遵循《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》,有利于电子认证服务系统建设的科学化和规范化,有利于保障电子认证服务系统的安全运行,有利于实现电子认证服务系统的互相认证。《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》也是对电子认证服务系统进行安全性审查的主要依据。

9.电子认证服务提供者对其电子认证服务系统进行技术改造应到国家密码管理机构履行什么手续?

答:电子认证服务提供者应当确保电子认证服务系统的安全,系统运行中应始终符合《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求,不得擅自对电子认证服务系统进行技术改造,特别是不得擅自更换电子认证服务系统中的密码算法和密码产品,不得降低安全性审查时的安全设置。

电子认证服务提供者如需对其电子认证服务系统进行技术改造,应在实施改造前将具体方案报国家密码管理局备案,系统改造完成后向国家密码管理局申请安全性审查,通过审查的方可投入运行。

10.《电子认证服务密码管理办法》对擅自改造电子认证服务系统的行为如何处罚?

答:《电子认证服务密码管理办法》第十七条规定,电子认证服务提供者擅自对其电子认证服务系统进行技术改造的,由国家密码管理局责令改正;情节严重的,吊销《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布。如果电子认证服务提供者有违反《商用密码管理条例》的行为,则按照《商用密码管理条例》的相关规定进行处罚。