《电子认证服务密码管理办法》问题解答
1、为什么要制定《电子认证服务密码管理办法》?
答:《电子签名法》规定,提供电子认证服务,应事先取得国家密码管理机构同意使用密码的证明文件,实质上是把国家密码管理机构出具同意使用密码的证明文件作为电子认证服务许可的一项前置性审批,属于行政许可事项。为贯彻实施《电子签名法》,正确履行《电子签名法》赋予的密码管理职责,方便电子认证服务提供者申请同意使用密码的证明文件,规范电子认证服务提供者使用密码的行为,特制定《电子认证服务密码管理办法》,对相关事项作出明确规定。
2、《电子认证服务密码管理办法》的主要内容是什么?
答:《电子认证服务密码管理办法》共十四条,主要规定了面向社会公众提供电子认证服务应使用商用密码,明确了电子认证服务提供者申请"国家密码管理机构同意使用密码的证明文件"的条件和程序,同时也对电子认证服务系统的运行和技术改造等做出了相应规定。
3、为什么《电子认证服务密码管理办法》规定使用商用密码?
答:《商用密码管理条例》第二条规定,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。也就是说,对不涉及国家秘密内容的信息进行加密保护或者安全认证应当使用商用密码。电子认证服务提供者提供电子认证服务,其核心是采用密码技术。根据《电子签名法》,电子认证服务提供者面向社会公众提供服务,不涉及国家秘密信息,因此,《电子认证服务密码管理办法》规定提供电子认证服务使用商用密码。
4、"国家密码管理机构同意使用密码的证明文件"的具体形式是什么?
答:《电子签名法》规定,提供电子认证服务,应事先取得"国家密码管理机构同意使用密码的证明文件"。《电子认证服务密码管理办法》规定"国家密码管理机构同意使用密码的证明文件"的具体形式为《电子认证服务使用密码许可证》。同意电子认证服务提供者使用密码的,国家密码管理局发给《电子认证服务使用密码许可证》。
5、申请《电子认证服务使用密码许可证》的条件是什么?
答:申请《电子认证服务使用密码许可证》应具备四个条件:一是具有符合《证书认证系统密码及其相关安全技术规范》的电子认证服务系统;二是电子认证服务系统由具有商用密码产品生产资质的单位承建;三是电子认证服务系统采用的商用密码产品是国家密码管理局认定的产品;四是电子认证服务系统通过国家密码管理局安全性审查。其实质是先由商用密码产品生产定点单位承建一个符合《证书认证系统密码及其相关安全技术规范》、并通过安全性审查的电子认证服务系统,然后再申请《电子认证服务使用密码许可证》。
6、申请《电子认证服务使用密码许可证》的程序是什么?
答:电子认证服务提供者应在其电子认证服务系统建设完成并通过国家密码管理局的安全性审查后,向所在地的省(区、市)密码管理机构提出使用密码的申请。
省(区、市)密码管理机构受理申请后将全部申请材料报国家密码管理局,由国家密码管理局做出是否许可的决定,并将结果通知省(区、市)密码管理机构,再由省(区、市)密码管理机构将审批结果告知申请人。
7、申请《电子认证服务使用密码许可证》应提交什么材料?
答:申请《电子认证服务使用密码许可证》应提交下列材料:(一)使用密码的书面申请;(二)企业法人营业执照或者企业名称预先核准通知书(复印件);(三)电子认证服务系统通过安全性审查的通知(复印件)。其中第二项材料,已经依法设立的企业应提交企业法人营业执照(复印件),尚在设立过程中的企业应提交工商行政管理部门核发的企业名称预先核准通知书(复印件)。
8、为什么《电子认证服务密码管理办法》中要求电子认证服务系统的建设和运行要符合《证书认证系统密码及其相关安全技术规范》?
答:《证书认证系统密码及其相关安全技术规范》是国家密码管理局根据国家密码管理政策法规和密码安全的技术要求,组织制定的针对证书认证系统建设和运行的密码技术规范,经实践证明是科学可行的。施行《证书认证系统密码及其相关安全技术规范》,有利于电子认证服务系统建设的科学化和规范化,有利于保障电子认证服务系统的安全运行,有利于实现电子认证服务系统的互相认证。《证书认证系统密码及其相关安全技术规范》也是对电子认证服务系统进行安全性审查的主要依据。
9、电子认证服务提供者对其电子认证服务系统进行技术改造应到国家密码管理机构履行什么手续?
答:电子认证服务提供者应当确保电子认证服务系统的安全,系统运行中应始终符合《证书认证系统密码及其相关安全技术规范》的要求,不得擅自对电子认证服务系统进行技术改造,特别是不得擅自更换电子认证服务系统中的密码算法和密码产品,不得降低安全性审查时的安全设置。
电子认证服务提供者如需对其电子认证服务系统进行技术改造,应在实施改造前将具体方案报国家密码管理局备案,系统改造完成后向国家密码管理局申请安全性审查,通过审查的方可投入运行。
10、《电子认证服务密码管理办法》对擅自改造电子认证服务系统的行为如何处罚?
答:《电子认证服务密码管理办法》第十条规定,电子认证服务提供者擅自对其电子认证服务系统进行技术改造的,由国家密码管理局责令改正,并根据不同情况,向信息产业主管部门提出处罚建议。如果电子认证服务提供者有违反《商用密码管理条例》的行为,则按照《商用密码管理条例》的相关规定进行处罚。
11、《电子认证服务密码管理办法》施行前建设并已经通过国家密码管理机构技术鉴定的电子认证服务系统是否需要重新申请安全性审查?
答:《电子认证服务密码管理办法》施行前建设的电子认证服务系统,如果已经通过了国家密码管理机构的技术鉴定,并且符合《证书认证系统密码及其相关安全技术规范》的,不需要重新申请安全性审查。电子认证服务提供者可以持书面申请直接领取《电子认证服务使用密码许可证》。