电子认证服务机构运营管理规范(国标)

电子认证服务机构运营管理规范

（国标）

2010年8月

目次

1 范围 (3)

2 规范性引用文件 (3)

3 术语和定义 (4)

3.1 电子认证服务机构 certification authority (4)

3.2 证书策略 certificate policy (4)

3.3 电子认证业务规则 certification practice statement (4)

3.4 证书撤销列表 certificate revocation list (4)

3.5 自主访问控制 discretionary access control (4)

3.6 数字证书 digital certificate (4)

3.7 公钥基础设施 public key infrastructure (4)

3.8 注册机构 registration authority (5)

3.9 秘密分担 secret sharing (5)

4缩略语 (5)

5运营系统 (5)

5.1 认证系统 (5)

5.2 运营网络 (5)

5.3 密码设备 (5)

5.4 系统安全 (6)

5.5 系统冗余与备份 (7)

6运营场地与设施 (8)

6.1 运营场地 (8)

6.2 运营区域划分及要求 (8)

6.3 安全监控系统 (9)

6.4 环境保护与控制设施 (10)

6.5 支撑设施 (10)

6.6 RA场地安全 (11)

7职能与角色 (11)

7.1 必需的部门职能 (11)

7.2 必须的岗位角色 (11)

8认证业务管理 (12)

8.1 业务规范和协议 (12)

8.2 用户证书生命周期管理 (12)

8.3 用户证书密钥管理 (14)

8.4 CA密钥和证书管理 (15)

8.5 客户隐私保护 (16)

8.6 RA管理 (17)

9安全管理 (17)

9.1 安全策略与规划 (17)

9.2 安全组织 (17)

9.3 场地访问安全管理 (18)

9.4 场地监控安全管理 (18)

9.5 系统运维安全管理 (18)

9.6 人员安全管理 (19)

9.7 密码设备安全管理 (19)

9.8 文档安全管理 (20)

9.9 介质安全管理 (20)

9.10 安全实施与监督 (21)

10业务连续性控制 (21)

10.1 概要 (21)

10.2 业务连续性计划 (21)

10.3 应急处理 (21)

10.4 灾难恢复 (23)

10.5 灾备中心 (23)

11记录与审计 (23)

11.1 记录保存 (24)

11.2 记录的查阅 (24)

11.3 记录归档 (24)

11.4 记录销毁 (24)

11.5 审计 (24)

参考文献 (26)

电子认证服务机构运营管理规范

1 范围

本标准规定了电子认证服务机构在运营管理方面的规范性要求。本标准适用于在开放的互联网环境中提供数字证书服务的电子认证服务机构，对于在封闭环境中（如在特定团体或某个行业内）运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性地参考本标准。国家有关的测评机构、监管部门也可以将本标准作为测评和监管的依据。

电子认证服务机构的行政管理应遵从《中华人民共和国电子签名法》等相关法律法规和管理部门的规定。本标准所涉及的密码管理部分，按照国家密码管理机构的相关规定执行。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是未标注日期的引用文件，其最新版本适用于本标准。

GB 6650 计算机机房用活动地板技术条件

GB 50045 高层民用建筑设计防火规范

GB 50174 电子信息系统机房设计规范

GB/T 2887 计算站场地技术条件

GB/T 9361 计算站场地安全要求

GB/T 16264.8—2005 信息技术开放系统互联目录第8部分：公钥和属性证书框架

GB/T 19713—2005 信息技术安全技术公钥基础设施在线证书状态协议

GB/T 19716—2005 信息技术信息安全管理实用规则

GB/T AAAA—AAAA证书认证系统密码及其相关安全技术规范

GB/T AAAA—AAAA 信息技术安全技术公钥基础设施数字证书格式

GB/T YYYY—YYYY 信息技术安全技术公钥基础设施证书策略与认证业务声明框架IETF RFC1777 Lightweight Directory Access Protocol

IETF RFC2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSP IETF RFC2587 Internet X.509 Public Key Infrastructure LDAPv2 Schema

3 术语和定义

下列术语和定义适用于本标准。

3.1

电子认证服务机构 certification authority

一个被终端实体所信任的签发公钥证书的证书认证实体，它是一个可信的权威机构，获得授权面向社会公众提供第三方电子认证服务的数字证书认证中心（简称CA、CA中心、CA机构、电子认证服务机构）。

3.2

证书策略 certificate policy

是一个指定的规则集合，它指出证书对于具有普通安全需求的一个特定团体和（或）具体应用类的适用性。

3.3

电子认证业务规则 certification practice statement

关于电子认证服务机构在签发、管理、撤销或更新证书（或更新证书中的密钥）时的业务实施声明。

3.4

证书撤销列表 certificate revocation list

一个经电子认证服务机构数字签名的列表，它标出了一系列证书颁发者认为无效的证书。

3.5

自主访问控制 discretionary access control

由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问，并能根据授权，对访问权限进行转移。

3.6

数字证书 digital certificate

经权威的、可信赖的、公正的第三方机构（即电子认证服务机构，CA），数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

3.7

公钥基础设施 public key infrastructure

支持公开密钥体制的安全基础设施，提供身份鉴别、信息加密、数据完整性和交易抗抵赖。

3.8

注册机构 registration authority

具有下列一项或多项功能的实体：识别和鉴别证书申请者，同意或拒绝证书申请，在某些环境下主动撤销或挂起证书，处理订户撤销或挂起其证书的请求，同意或拒绝订户更新其证书或密钥的请求。通常将注册机构简称为RA，或RA机构。

3.9

秘密分担 secret sharing

秘密分担指将一个秘密在一组参入者间进行分发的方法，其中每个参入者被分配了该秘密经分割后的一份，称为秘密份额或秘密分割。只有足够数量的秘密份额才能恢复原秘密，单个的秘密份额本身是没有的。

在本标准中，被分担的秘密可能是CA私钥激活数据、CA私钥备份恢复数据或CA私钥。

4 缩略语

下列缩略语适用于本标准：

CA 电子认证服务机构

CP 证书策略

CPS 电子认证业务规则

CRL 证书注销列表

IETF 互联网工程任务组

LDAP 轻量目录访问协议

OCSP 在线证书状态查询协议

PKI 公钥基础设施

RA 证书注册机构

5 运营系统

5.1 认证系统

电子认证服务机构使用的认证系统（包括证书认证系统和密钥管理系统）应该遵循《GB/T AAAA—AAAA证书认证系统密码及其相关安全技术规范》。

5.2 运营网络

电子认证服务机构及其注册机构的认证系统运行网络，须采用独立的接入链路与公共网络连接，并与办公网络隔离，网段划分应符合《GB/T AAAA—AAAA证书认证系统密码及其相关安全技术规范》的要求。

电子认证服务机构认证系统运行网络应尽可能采用多路冗余链路接入公共网络，且多路接入链路来自不同的独立网络通信提供商。

5.3 密码设备

电子认证服务机构及其注册机构所使用的密码设备，必须是通过国家密码主管部门审查、具备销售资质的设备。

5.4 系统安全

电子认证服务机构应依据所制定的安全策略，在认证系统的实体身份标识与鉴别、访问控制与权限分割、信息与数据安全、网络系统安全、主机系统安全等方面采取相应安全措施。

5.4.1 身份标识与鉴别

认证系统必须对如下实体进行身份标识和鉴别：

1）对外的服务器（模块）；

2）内部服务器（模块）；

3）密码设备（模块）；

4）证书管理员；

5）数据库管理员；

6）主机系统帐户。

采用的身份标识和鉴别技术应该与相应的安全需求一致。若采用用户名/口令方式进行身份标识和鉴别，则在安全需求较高时，必须对口令的长度、内容和更换频度做出相应的规定。

对外服务器（模块）、证书管理员的身份标识和鉴别应该采用数字证书；证书管理员身份标识证书的私钥应该存放在安全硬件介质中，如USB Key、智能卡，并保证私钥的安全。

5.4.2 访问控制与权限分割

认证系统应该基于对实体的身份鉴别实现访问控制，而且，对证书、密钥管理中的关键操作必须进行权限分割。

5.4.3 信息与数据安全

对于CA系统与外部用户、系统间的通信，CA系统内服务器、模块之间的通信，必须保证通信数据的保密性、完整性及数据收、发方的身份真实性。

5.4.4 网络系统安全

1)网络安全

a)为了保护网络免受网络攻击的威胁，应部署安全网关设备，将认证系统网络与其他

网络进行物理隔离，并将认证系统网络按照技术规范要求划分为不同的网段。安全

网关设置应只允许必需的访问，设定允许访问的主体（主机、端口）和对应的访问

对象（主机、端口）以及连接方向，其他访问禁止；安全网关应有充分的日志和审

计功能。

b)应对网络中的实体设备进行网络漏洞扫描，根据检测结果及时发现存在的不安全网

络协议、网络服务，将不需要的网络协议、网络服务关闭，对于因业务需要而开启

的不安全网络协议、网络服务应采取相应措施，需要用更安全的网络协议、网络服

务替换。

c)应在关键网段安装入侵检测系统，能够及时检测到并报告常见的入侵模式，能够且

应该及时更新入侵模式知识库，有完善的日志与审计功能。

d)实施网络服务安全配置与加固，只开启必需的网络服务，关闭所有其他的网络服务；

对开启了的网络服务进行优化配置，定期打补丁。

e)采取其他必要的安全措施，以保障运营网络的安全。

2)网络设备安全

对于网络设备应该从如下几个方面保证安全：

a)采用通过安全检测、安全认证的网络设备，包括路由器、各类安全网关、交换机等。

b)若网络设备帐户使用用户名/口令方式进行身份鉴别，则口令应具有足够的安全强

度。

c)有完备的审计日志。

5.4.5 主机系统安全

1)认证系统的主机应从如下几个方面确保主机系统自身安全：

a)采用可靠的操作系统。

b)实现自主访问控制。

c)通过主机漏洞扫描系统发现系统存在的安全漏洞，如口令设置、文件权限、帐户管

理、用户组管理、系统配置，并采取相应措施，包括进行系统安全优化。

d)及时对系统安全漏洞打补丁。

e)采取防病毒措施。

f)采用其它系统安全加固技术。

2)认证系统的主机应该从如下几个方面确保主机系统管理安全：

a)只创建、开启必需帐户，关闭不需要的缺省帐户；

b)帐户口令具有足够的安全强度；

c)确保只有授权用户、进程和应用才能访问相应的资源。

5.5 系统冗余与备份

5.5.1 系统冗余

应采用设备冷/热备份、单机逻辑备份、双机备份等，对于生产系统的重要设备进行备份/冗余设置和容错设计。

应采用冗余技术、路由选择技术、路由备份技术等，实现网络备份与冗余。

1)网络链路冗余

CA系统的网络对外应采用双路接入，并且两路网络接入来自不同的网络设施运营商（仅仅是服务提供商还不行），一路网络接入作为主服务线路，另一路接入作为备用线路，当主服务线路出现故障时能够迅速切换到备用线路。

2)主机冗余

CA系统对关键业务、功能的主机必须采用双机热备措施。对非关键业务、功能的设备，应该至少采用硬盘冷备份的方式进行系统备份。

3)电源冗余与后备发电

对电子认证服务机构的电源有如下要求：

a)放置有CA系统的数据中心应该采用双路供电系统,必须至少保证从建筑外至数据中

心内具有两条供电线路；

b)必须为认证系统及安全设备提供不间断电源（UPS），且不间断电源设备（UPS）应

该具有冗余，不间断电源提供的电力必须足够支持通常的断电时间；

c)有条件的电子认证服务机构应配置备用发电机，当出现停电且不间断电源不能提供

持续的电力时，能够提供电力。

5.5.2 系统备份

电子认证服务机构应采用完全备份与增量备份相结合的方式对生产系统数据和信息进行备份。

应制定备份数据收集、保管、押运、恢复管理策略，确保备份数据的安全，防止泄露和未经授权使用。备份数据宜实行同城异地保管，如租用银行保管箱保存数据备份。

应定期检查备份系统和设备的可靠性和可用性，定期检查备份介质可靠性和数据完整性。

应根据设备的重要程度、故障率、供应难度、库存数据量、设备金额等因素，综合评估运营风险，确定并建立关键设备和系统备份管理办法。应对关键设备做备份或采取有效办法保证供应的及时性（如与供应商签订应急维修或紧急供货合同）。

1)软件与数据备份

软件与数据备份包括如下内容：

a)主机操作系统；

b)系统应用软件，如邮件系统、Web服务程序、数据库系统等；

c)认证系统软件；

d)系统上的客户化定制数据；

e)系统配置；

f)数据库用户数据。

对软件与数据备份有要求如下：

a)必须采用专门的备份系统对整个CA系统进行备份，备份数据可以保存在磁带、硬

盘或其他介质上；

b)备份策略采用全备份与增量备份相结合；

c)备份策略应该保证没有数据丢失或数据丢失不会造成实质性的影响；

d)在系统出现故障、灾难时，备份方案能够在最短的时间内从备份数据中恢复出原系

统及数据；

e)选择的备份介质应能保证数据的长期可靠，否则应定期更新；

f)备份数据应存放在电子认证服务机构以外安全的地方，比如银行保险柜、灾难恢复

中心。

2)硬件设备备份

电子认证服务机构硬件设备必须具有冗余、备份，在系统设备出现故障、损坏时能够及时更换设备。

6 运营场地与设施

6.1 运营场地

电子认证服务机构及其注册机构提供电子认证服务必须有固定和适宜的经营场所和机房场地（数据中心）。

电子认证服务机构的场地环境建设应符合以下标准：

1)计算机机房（数据中心）的安全建设必须符合GB/T9361；

2)活动地板应该具有稳定的抗静电性能和承载能力，同时要耐油、耐腐蚀、柔光、不起尘

等，具体要符合GB 6650的要求；

3)计算机系统的供电电源技术指标、相对湿度控制、接地系统设置等应按GB/T 2887中的

规定执行；

4)电子计算机机房的耐火等级应符合GB 50045及GB/T 9361的规定；

5)计算机机房设计应符合GB 50174的规定。

6.2 运营区域划分及要求

6.2.1 基本要求

电子认证服务机构机房场所为安全控制区域，必须在机房场所的周边，建立明确和清晰的安全边界（设置标志、物理障碍、门禁管理系统等），进行物理保护；安全边界应完善和完整，能及时发现任何入侵企图；安全边界应设置向外开启的消防通道防火门，并应能快速关闭；消防门应有防

误开启标识和报警装置，开启时应能以声、光或电的方式向安全监控中心报警。

安全区域应使用合格门锁，门应坚固，保证关闭安全；应使用合适的门禁系统和辅助设备，如加装闭门器、门位置状态检测器和门开启报警器等；采取必要措施，在各个区域防止尾随进入。

安全区域物理环境的任何变更，如设备或系统的新增、撤消、部署调整等，必须事先完成风险评估和安全分析，形成正式文档向认证机构的安全策略管理组织申报，经审核批准后，方可实施。同时应做好完整的过程记录。

6.2.2 区域划分

CA机房场地根据业务功能分为公共区、服务区、管理区、核心区、屏蔽区，各功能区域对应的安全级别为控制区、限制区、敏感区、机密区、高度敏感区，安全等级和要求逐级提高。安全等级要求越高，安全防护措施和配套设施要求越严格。

宜使用层级式安全区域防护，进行安全区域隔离和物理保护。层级式安全区域防护是指，将安全区域按照安全等级的重要程度，由外向内安全级别逐步提高，且只有经由低级别的区域方能进入更高级别安全区域。

不宜划分层级式安全区域的机房场所，应按照安全等级功能等同的原则保护各安全区域。

1)公共区（控制区）

电子认证服务机构场地的入口处、办公区域、辅助和支持区域属于公共区，应采用访问控制措施，可以使用身份标识门禁卡控制出入。

2)服务区（限制区）

服务区是提供证书审批、证书管理等电子认证服务的区域，必须使用身份标识门禁卡控制出入。

3)管理区（敏感区）

该区域是电子认证系统运营管理区域，系统监控室、场地安全监控中心、配电室等均属于该区域。此区域必须使用身份标识门禁卡或人体特征鉴别控制出入。

4)核心区（机密区）

证书认证系统、密钥管理系统、离线私钥和私钥激活数据存放房间属于核心区。核心区必须使用身份标识门禁卡和人体特征鉴别身份，控制出入，且在核心区内必须采取职责分离与权限分割的方案和措施，使得单个人员在核心区内无法完成敏感操作。

5)屏蔽区（高度敏感区）

屏蔽区位于核心区的数据中心内，放置有使用在线CA私钥签发数字证书的密码设备。

屏蔽区必须有安全的出入控制，且在屏蔽区内必须采取职责分离与权限分割的方案和措施，使得单个人员在屏蔽区内无法完成敏感操作。

屏蔽区的屏蔽效果至少应符合GB9361要求。

6.3 安全监控系统

宜设置专门用途的安全监控中心，对机房建筑整个区域发生的出入访问进行实时监控。

6.3.1 门禁

认证机构机房区域必须采用适宜的门禁管理系统进行物理场地访问控制管理。

门禁系统应能支持以电子身份识别卡、生物特征、PKI/CA技术等单独和/或以组合形式的方式鉴别身份；应能控制认证机构整个运营场地的所有出入口；应能识别、区分正确进出方式，如未刷卡进入，则不能刷卡离开；应能与安全侦测布防系统结合，对各个区域进行安全布防，侦测到异常活动时，应具备报警功能（如声光报警、短信/电话报警、门禁联动锁止等）；门禁系统应有备用电源，能保证不间断进行访问控制；系统应有完善的事件纪录和审计控制；门禁系统控制中心应位于安全监控中心或相同安全等级的区域内。

在发生紧急情况（如电力故障、消防报警）时，所有消防疏散通道受控门应处于开启状态，重要区域如核心机房、资料室等区域应处于外部关闭、内部可手工开启的状态；前述重要区域应有应急开启装置，且当应急开启装置开启时，必须以声、光、电的方式发出报警信号，同时系统应显示报警区域并记录应急情况发生详细信息。

应定期将门禁记录整理归档，并保存合理时间。

6.3.2 入侵检测

在机房场所建筑区域内应安装入侵检测报警系统，进行安全布防。安全区域窗户上应安装玻璃破碎报警器，建筑内天花板上应安装活动侦测器，发生非法入侵应立即报警。

入侵检测系统应有应急备用电源提供电力支持，保证在出现外部供电中断时系统能够不间断的运行。

6.3.3 监控录像

必须设置合适的监控点，采用录像集中监控对整个机房的活动区域进行24小时不间断的监控。录像记录可以采用两种方式，一种为不间断录像；另一种为采用活动侦测系统与录像相结合的方式，不间断监控，间断（活动侦测）录像。

合理调整录像监控镜头位置，应能有效识别进出人员和纪录操作行为；录像记录应安全保管并定期归档，录像记录的查阅必须经安全主管批准。录像记录最少保留3个月；重大活动记录应保留1年以上，可采用刻盘备份等形式。

监控录像系统应配有应急备用电源提供电力支持，保证在出现外部供电中断时系统不间断运行。

6.4 环境保护与控制设施

6.4.1 空气和温湿度控制

必须有完备的空调系统，保证机房有充足、新鲜和洁净的空气供应；保证机房各个区域的温湿度能满足系统运行、人员活动和其他辅助设备的要求。

6.4.2 防雷击和接地

必须采用符合国家标准的防雷措施。

必须设置综合地线系统；屏蔽机房必须设立保护地线，应经常检测接地电阻，确保人身、设备运行的安全；应设置交流电源地线，交流供电应采用符合规范的三芯线，即相线、中线、地线。

计算机系统安全保护地电阻值、计算机系统防雷保护地电阻值必须符合国家标准《建筑物防雷设计规范》GB50057和《建筑物电子信息系统防雷技术规范》GB50343的有关规定。

6.4.3 静电防护

机房的地板或地面应有静电泄放措施和接地构造，防静电地板、地面的表面电阻或体积电阻应为2.5×104～1.0×109Ω，且应具有防火、环保、耐污耐磨性能。

6.4.4 水患防治

应正确安装水管和密封结构，合理布置水管走向，防止发生水害损失。机房内应进行防水检测，发现水害能及时报警。

6.4.5 消防设施

建筑材料耐火等级必须符合GBJ45-1982规定。

办公区域必须设置火灾自动报警系统和灭火系统，可以使用水喷淋灭火装置，并应配备合理数量的手持灭火器具。

认证系统所在机房必须安装火灾自动报警系统和自动灭火系统，火灾探测系统应能同时通过检测温度和烟雾发现火灾的发生，且火灾报警系统应与灭火系统联动。

火灾报警系统包括火灾自动探测、区域报警器、集中报警器和控制器等，能够对火灾发生区域以声、光或电的方式发出报警信号，并能以手动或自动的方式启动灭火设备。用于生产系统的灭火系统，不得使用水作灭火介质，必须使用洁净气体灭火装置。宜使用惰性气体如IG541作为灭火介质。

凡设置洁净气体灭火系统的机房区域，应配置一定数量的专用空气呼吸器或氧气呼吸器。

6.5 支撑设施

6.5.1 供配电系统

供配电系统布线应采用金属管、硬质塑料管、塑料线槽等；塑料件应采用阻燃型材料；强电与弱电线路应分开布设；线路设计容量应大于设备总用量；应设立独立的配电室，通过配电柜控制供电系统。

应使用双路供电，并安装使用在线式UPS对机房供电，保障机房（数据中心）有不间断的供电。当出现意外情况导致供电中断时，在线式UPS应能以不间断的方式进行供电切换并持续向机房提供至少8小时的供电。

6.5.2 照明

机房工作区域主要照明应采用高效节能荧光灯，照度标准值为500lx，照明均匀度不应小于0.7；主要通道应设置通道疏散照明及疏散指示灯，主机房疏散照明照度值不应低于5lx，其他区域通道疏散照明的照度值不应低于0.5lx。

6.5.3 服务通信系统

电子认证服务机构应设置与开展认证服务有关的各类通信系统，如客户电话、传真、电子邮件系统，并保障24小时畅通。

6.6 RA场地安全

RA系统可建立、运行在电子认证服务机构中，也可建立、运行在RA机构中。运行RA系统并开展RA业务的机构，其运营场地和设施应符合如下要求：

1)RA场地应有门禁监控系统，及为RA系统的各类设备提供电力、空气和温湿度控制、消防

报警和灭火功能的环境保护设施和相关支撑系统；RA也可选择符合上述条件的IDC放置

RA系统设备。

2)使用了加密机的RA系统，应另设专门的控制区域，对加密设备进行适当保护。

7 职能与角色

7.1 必需的部门职能

电子认证服务机构应设立开展电子认证服务所需的如下职能部门：

1）安全策略管理

审批电子认证服务机构整体安全策略、证书策略、电子认证业务规则等重要策略文档，监督安全制度、安全策略的执行，对异常情况、安全事故以及其他特殊事件进行处理。

2）安全管理

制定并贯彻执行公司的安全策略和安全制度。

3）运营管理

运行、维护和管理认证系统、密码设备及物理环境、场地设施。

4）人事管理

执行可信雇员背景调查，并对可信雇员进行管理。

5）认证服务

审批和管理用户证书。

6）技术服务：提供技术咨询和支持服务。

7.2 必须的岗位角色

电子认证服务机构应设置如下必须的岗位角色：

1）安全策略管理组织负责人

负责安全策略管理组织的管理工作。

2）安全管理人员

包括安全经理和负责网络与系统安全管理、场地安全管理的专业人员。

3）密钥管理员

负责CA密钥和证书管理，以及核心区密码设备管理。

4）系统维护员

负责办公系统和认证系统的维护。

5）鉴别与验证员

负责用户证书的审批工作。

6）客户档案管理员：负责管理客户资料档案。

7）客户服务员

为客户提供技术咨询与支持、和售后服务。

8）审计员

负责定期对系统运营状况、业务规范、安全制度执行情况进行检查与审计。

9）人事经理

负责制定可信雇员政策，对关键岗位人员进行管理。

8 认证业务管理

8.1 业务规范和协议

8.1.1 证书策略和认证业务规则

电子认证服务机构应制定证书策略（CP）与电子认证业务规则（CPS）。证书策略要对电子认证服务机构签发的证书的类型、适用的环境、适用的应用、认证要求、安全保障要求等方面做出广泛而全面的规定。电子认证业务规则须阐述电子认证服务机构如何贯彻实施其证书策略。

认证业务规则的编写应符合《GB/T YYYY—YYYY 信息技术安全技术公钥基础设施证书策略与认证业务声明框架》的要求。

电子认证服务机构应对证书策略与电子认证业务规则进行有效管理，设有负责撰写、修改、审核、发布和管理的部门，并制定相应管理流程。

电子认证服务机构应根据其业务内容的变化，及时修改、调整其证书策略与电子认证业务规则。

证书策略与电子认证业务规则，以及其修改版本，须经认证机构的安全策略管理组织批准后

才能公开发布。

8.1.2 客户协议

提供公共服务的电子认证服务机构，应对其提供的证书业务同客户签订或通过某种方式向客

户明示相应的法律协议，这些协议对客户和电子认证服务机构所承担的责任和义务以协议的形式

给出明确的规定和说明。通常的法律协议有，订户协议、信赖方协议、服务协议等。

当电子认证服务机构以外的实体要作为电子认证服务机构的一个RA注册机构提供认证业务时，电子认证服务机构与该实体须通过相应的协议明确规定双方，特别是作为RA的一方，应该

承担的责任和义务，包括该证书拥有者（证书用户）和信赖方应承担的责任和义务。

8.2 用户证书生命周期管理

8.2.1 证书申请与审核

电子认证服务机构应明确制定各类证书申请所需的信息和条件，如申请者姓名、域名、公司名、地址、联系方式、机构资质证明、域名所有权证明等信息和材料。

电子认证服务机构应根据认证业务规则，制定严格的证书申请审核流程和规范，鉴别证书申请者提供的身份信息的真伪，验证证书申请者的身份，确认是证书申请者所声称的人、机构在申请证书。

电子认证服务机构在证书申请审核过程中，应保留完整的审核记录，以供日后审计、审查、责任追踪和界定使用。

8.2.2 证书签发

电子认证服务机构必须在完成规定的证书申请审核后，才能签发证书。证书签发需有记录。

8.2.3 证书存储与发布

对于签发的数字证书，电子认证服务机构应保存在专门的证书库中，并对外公开发布，可供依赖方查询、获取。

8.2.4 证书更新

证书用户在证书有效期到达前，可以申请更新证书，已过期或撤销的证书不能更新。

对证书用户提交的证书更新请求，电子认证服务机构必须进行审核，审核的方式包括手工和自动两种方式。手工审核的过程、要求在安全保障性方面应与证书申请等同。对于自动审核方式，证书更新请求必须用原证书私钥签名，认证系统验证签名的有效性并自动签发更新证书。对于自动审核方式，电子认证服务机构须确保能通过一定的方式控制哪些证书可自动更新，防止非授权的更新。

8.2.5 证书撤销

电子认证服务机构应制定证书撤销管理策略和流程。证书撤销有三种发起方式：由证书用户发起，由电子认证服务机构，或者由依赖方发起。

1)用户申请撤销证书，电子认证服务机构必须明确规定撤销证书申请接受方式，如通过电话、

邮件、在线申请等，以及审核程序。

2)电子认证服务机构如发现用户证书申请资料存在虚假情况、不能满足证书签发条件等，或

者发生（或怀疑发生）电子认证服务机构根私钥泄露、认证系统存在安全隐患威胁用户证

书安全等，可以不经过证书用户本人同意，予以撤销证书。

3)当依赖方提出证书撤销申请时，如证书仅用于依赖方的系统，可以不经过证书用户本人同

意，予以撤销证书。

证书撤销后，电子认证服务机构必须在周期性签发的CRL中，于最近的下次更新时间发布所撤销证书，或签发临时CRL发布所撤销证书；电子认证服务机构如提供OCSP服务，必须立即更新OCSP查询数据库，确保实时发布所撤销证书。

证书撤销后，应通过电话、邮件、在线等方式，及时告知用户或依赖方证书撤销结果。

电子认证服务机构必须记录所有证书撤销请求和相关操作结果。

8.2.6 证书冻结

电子认证服务机构可根据具体业务需要，制定证书冻结策略和流程，包括冻结请求、条件、宽限期及冻结状态的发布等。证书冻结有三种发起方式：由证书用户发起，由电子认证服务机构，或者由依赖方发起。

1)用户申请冻结证书，电子认证服务机构必须明确规定冻结证书申请接受方式，如通过电话、

邮件、在线申请等，以及审核程序。

2)电子认证服务机构如发现用户证书申请资料存在虚假情况、不能满足证书签发条件等，或

者发生（或怀疑发生）电子认证服务机构根私钥泄露、认证系统存在安全隐患威胁用户证

书安全等，可以不经过证书用户本人同意，予以冻结证书。

3)当依赖方提出证书冻结申请时，如证书仅用于依赖方的系统，可以不经过证书用户本人同

意，予以冻结证书。

冻结的证书需在CRL中发布，当被冻结证书失效后，将不再出现在CRL中。

在证书有效期内，对被冻结的证书有三种处理方式：

1)被冻结证书有效性无法验证，用户和依赖方不能使用证书；

2)被冻结证书转为正式撤销；

3)被冻结证书解冻，从CRL中删除，重新转为有效证书。

证书冻结后，电子认证服务机构必须在周期性签发的CRL中，于最近的下次更新时间发布所冻结证书，或签发临时CRL发布所冻结证书；电子认证服务机构如提供OCSP服务，必须立即更新OCSP查询数据库，确保实时发布所冻结证书。

冻结的证书解冻后，电子认证服务机构应在周期性签发的CRL中，于最近的下次CRL更新中删除冻结的证书，电子认证服务机构如提供OCSP服务，应立即更新OCSP查询数据库，确保解冻的证书变为有效。

证书冻结和解冻后，应通过电话、邮件、在线等方式，及时告知用户或依赖方冻结结果。

电子认证服务机构必须记录所有证书冻结请求和相关操作结果。

8.2.7 证书状态查询

电子认证服务机构应能够为用户和依赖方提供证书状态查询服务（包括证书撤销列表和/或在线证书状态查询），并在CP和CPS中发布证书状态查询服务策略；在相关协议中，应明确提示证书用户和依赖方，使用证书时必须使用证书状态查询服务。

1)CRL查询

电子认证服务机构必须能够提供证书撤销列表（CRL）查询服务，CRL发布必须符合标准；必须明确规定CRL发布周期和发布时间，宜每天签发CRL；根据证书策略或当发生严重私钥泄露情况时，电子认证服务机构应签发临时CRL；根据证书策略和依赖方协议，用户和依赖方应及时检查、下载临时CRL。

在证书有效期内的，被撤销证书必须一直保留在CRL中直至证书过期失效，被冻结证书，在冻结期内必须保留在CRL中直至解冻。当被撤销和被冻结证书过期时，应从CRL中删除。

电子认证服务机构发布的所有CRL必须定期归档保存，在证书失效后至少保留五年。

2)OCSP查询

电子认证服务机构必须能够提供在线证书状态查询（OCSP）服务，查询数据格式和响应查询结果必须符合国家有关标准；必须保证查询服务响应速度和并发查询性能满足服务要求；必须保证查询结果的实时性和准确性。

8.2.8 证书归档

电子认证服务机构应制定证书归档策略，定期对过期失效以及被撤销的证书进行归档。

在证书失效至少5年后，方可销毁归档数据。

8.3 用户证书密钥管理

电子认证服务机构必须说明所提供的证书类型及密钥对产生的方式，并告知证书用户和依赖方认证机构是否保存有用户证书私钥的备份。

8.3.1 用户证书密钥产生、传递和存储。

通常情况下，用户的签名证书的密钥对由用户自己在其密码设备中生成，并由用户控制。但在某些特定的安排下，允许电子认证服务机构代用户在其密码设备中生成签名证书密钥对。若签名证书的密钥对由电子认证服务机构代用户在其密码设备中生成，则电子认证服务机构必须通过安全途经将保存有签名证书私钥的密码设备传递给用户，确保证书私钥在传递过程中不被盗用、损坏或泄漏，并对传递过程进行跟踪和记录。无论何种情况，电子认证服务机构不得拥有用户签名私钥的备份。

用户加密证书密钥对可由用户自己产生，或者由电子认证服务机构通过密钥管理中心集中生成，并通过安全的途径传送给用户。若加密证书密钥对由电子认证服务机构通过密钥管理中心集中生成，则加密证书私钥在传送到用户的过程中，不能以明文形式出现。当电子认证服务机构通过密钥管理中心为用户生成加密证书密钥对时，电子认证服务机构可将加密证书私钥加密保存在密钥库中，以便在必要的时候恢复用户加密证书私钥。

8.3.2 用户证书私钥激活数据产生、传递和存储

通常情况下，用户证书密钥对及其私钥激活数据由用户自己产生和保存，但在某些特定的安排下，用户证书密钥对及其私钥激活数据可由电子认证服务机构代用户在其密码设备中产生。在后者的情况下，电子认证服务机构代用户产生的私钥激活数据必须有足够的安全强度并通过一定的安全方式传送给用户，确保激活数据在传递过程中不被泄漏，并对传递过程进行跟踪和记录。

8.3.3 用户证书私钥恢复

电子认证机构不得保存用户签名证书的私钥备份。

电子认证机构保留有用户加密证书的私钥备份，则只能应用户自己要求或司法恢复需要的目的，电子认证服务机构才能对用户加密证书的私钥进行恢复。

电子认证服务机构须制定严格的用户证书私钥恢复的管理规定和流程，

私钥恢复必需有多人参与才能完成，且对操作过程及结果需进行记录。

8.3.4 用户证书密钥对更新

用户在进行证书更新时应同时更新证书的密钥对。若出于特别的原因和安排，允许用户在进行证书更新时不更新证书的密钥对，那么，电子认证服务机构须确保这种方式是安全的，且必须为不更新的密钥对规定一个适合的、安全的最大期限，在这个期限后，该密钥不能再使用。

8.3.5 用户证书私钥归档和销毁

电子认证服务机构不得拥有用户签名证书私钥，用户证书签名证书的私钥，由用户自己根据需要进行管理和销毁。用户加密证书的密钥对由电子认证服务机构的密钥管理中心产生，在用户密钥对、证书失效后，电子认证服务机构应以加密的方式归档保留；所有归档密钥对，在证书失效至少五年保存期后，应以可靠方式彻底销毁。电子认证服务机构在对用户证书私钥进行归档、销毁时，必须保证被归档、销毁的私钥的安全，确保私钥不会被泄漏。

8.4 CA密钥和证书管理

电子认证服务机构应建立CA密钥管理策略、申报和审批流程制度，对涉及CA密钥的所有关键操作（包括初始化、生成、保存、发布、使用、备份、恢复、更新、归档、销毁等），必须经审批后才能执行，并应做好完整记录。

8.4.1 CA密钥生成和存储

电子认证服务机构CA密钥（含根密钥）必须使用符合国家标准的密码硬件设备生成，并在其中存储。

电子认证服务机构必须制定认证系统CA密钥的生成流程、操作等文档，在安全的环境（包括物理环境安全、流程安全以及参与的人员安全控制等）中操作。操作过程中应有操作员、见证人、CA私钥激活数据秘密份额保管员同时在场，并应对CA密钥的生成操作过程录像或拍照。

在CA密钥生成整个过程中，所有关键步骤都要进行记录，以备审计。

离线CA私钥必须保存在核心区；存放在线CA私钥的密码设备必须位于屏蔽区。

8.4.2 CA私钥激活数据管理

电子认证服务机构应安全生成、保管及分发CA私钥激活数据。

CA私钥激活数据必须经过分割，生成秘密分割（秘密份额），由不同的人持有。

在激活CA私钥时，须超过一定数量的秘密份额保管员输入各自的秘密份额才能复原私钥激活数据，激活CA私钥。

8.4.3 CA密钥使用

应建立管理制度对CA密钥及其激活数据秘密分割（秘密份额）的使用权限进行严格控制，每次使用应有书面记录，记录应包括每次使用时间、使用的用途及操作人员等内容。

8.4.4 CA密钥备份与恢复

为了防止产生的CA密钥对出现硬件损坏而无法继续使用，在生成之后，应进行克隆备份操作，并在必要时进行恢复。

1)CA密钥备份

电子认证服务机构应制定CA密钥备份策略，对CA密钥进行备份。备份必须使用秘密分担和加密存储机制，，确保CA私钥不会以明文形式出现在密码硬件之外。被分担（分割）的秘密可以是CA私钥备份恢复数据（如口令）或CA私钥本身，秘密分担采用公开的m of n算法（m≥60%*n），各秘密份额保存在不同的IC卡或智能密码钥匙中。

加密存储的密钥备份的保管员与秘密份额保管员不能由同一人兼任。

密钥备份必须妥善保存在核心区内，并实行双人访问控制存取。可保存于具有防火、防热、防潮、防尘、防磁、防静电功能的保险柜中。保险柜应能保证在1000℃火灾现场，纸张防火柜内温度保持≤180℃、磁盘防火柜内温度保持≤52℃不少于1小时。

2)CA密钥恢复

当需要进行CA密钥恢复时，应有操作员、见证人、私钥恢复秘密份额保管员同时在场，由满足恢复要求的数量的秘密份额保管员输入激活数据，按照一定的算法进行合成并恢复CA密钥到密码设备中。应将恢复操作全程进行记录。

8.4.5 CA密钥销毁

电子认证服务机构必须制定彻底清除或销毁存储CA私钥密码设备的操作流程和办法，对因退出产品系统、超过归档期限、或其它原因需要销毁的CA密钥对进行安全销毁，即销毁或归零存放私钥的密码硬件载体（智能卡或智能密码设备）。

8.4.6 CA证书的创建和发布

CA证书的创建，应事先进行审批，过程中做好记录，并在创建后适时发布，以保证用户和依赖方能可靠、及时地获取。

8.4.7 CA证书更新

电子认证服务机构的CA证书可能会因为如下原因进行重新签发，称之为“CA证书更新”：延长有效期；更换密钥对；改变证书的其它信息（如甄别名、签名算法、扩展项等）。

CA证书更新时，应采取与生成初始证书相同的流程和方法。

对于更换密钥对的证书更新，则应采取与生成CA密钥相同的流程和方法。

8.4.8 CA证书吊销

CA证书可能会被吊销的原因包括：不再使用；私钥损坏；私钥泄漏或怀疑泄漏；被认为需要吊销的其它原因。

CA证书的吊销操作，应如创建操作一样，事先进行审批，并做好吊销操作的记录，在被吊销后，相关信息被纳入到CA的CRL（CA证书吊销列表，即ARL），并及时发布。

8.4.9 CA密钥和证书归档

1)CA证书失效后，必须将失效的CA密钥及CA证书归档并妥善保存。在证书失效至少5年

后，方可销毁归档的CA密钥；

2)归档数据和操作宜作签名。

8.5 客户隐私保护

作为可信第三方的电子认证服务机构会获得用户的各种信息，电子认证服务机构应制定严格的

客户信息保密政策和制度，确定哪些客户信息是保密的，哪些客户信息是可公开的，对于需要公开的信息应该让客户事先知晓。无论电子认证服务机构还是其员工，都不能在未经客户许可的情况下向其他机构或个人透露客户信息。如因某种原因确实需要公开或向其他机构提供客户的信息，则事先应让客户知晓并获得客户同意。

为了配合国家的行政和执法的需要，电子认证服务机构有可能需要在客户不知晓的情况下向国家有关行政、执法机构提供客户的涉密信息，对此，电子认证服务机构应事先向客户说明电子认证服务机构有责任和义务提供这种协助。

8.6 RA管理

8.6.1 RA设置管理

电子认证服务机构可在电子认证服务机构运营场地之外直接设置RA注册机构，或者授权其他机构作为RA注册机构承担RA的职能。

承担RA职能的RA注册机构必须有专门的运营场地，若RA注册机构建有RA系统，则RA注册机构须有专门的机房放置、运行系统。

RA注册机构运营场地的不同功能区必须进行安全分割，运营场地必须有门禁、入侵检测等安全防护系统，能有效防止、及时发现对运营场地的非授权进入。若RA注册机构建有RA系统，则RA 系统应采用同CA认证系统等同的安全防护措施。

RA注册机构必须有人员分别承担认证服务、系统运行维护和安全管理的职能。

对于授权承担RA职能的机构，电子认证服务机构应与其签订相应的协议，明确双方的权利、义务和责任。

8.6.2 RA业务管理

RA注册机构应制定与认证服务机构一致的安全策略及运营管理规范，如认证服务流程与规范、系统运行维护流程与规范、人员管理规范等。相关安全策略及运营管理规范需经过认证服务机构的安全策略管理组织批准才能实施。

电子认证服务机构应对RA注册机构的认证业务活动进行监控，检查其是否严格按照相关的安全策略及运营管理规范开展业务活动。若发现违反策略、规范的情况，应及时通知RA注册机构限期改正；若超期不改，则认证服务机构应立即暂停甚至中止RA注册机构的业务，并及时通知相关的用户。

9 安全管理

9.1 安全策略与规划

认证机构的运营管理者应该分析认证系统、场地设施、内部信息系统、运营管理等方面存在

的安全风险，明确安全需求，制定相应的安全策略。

安全策略应针对安全风险提出相应的安全规则和对策。安全策略应包括信息安全的明确定义、覆盖的整体目标和作用范围。

认证机构的运营管理者应根据安全策略制定相应的安全技术与管理实施方案。

9.2 安全组织

电子认证服务机构应设立安全策略管理组织，如安全策略管理委员会，负责安全策略的审批、安全责任的落实，协调安全策略的实施，审查和监控安全事故的处理活动。

电子认证服务机构应设立贯彻安全策略、执行安全制度的安全管理部门，设置安全经理、网络与系统安全管理人员、场地与设施安全管理人员、及审计员等安全管理岗位，建立覆盖企业内部和

外部业务活动的信息安全组织架构。

9.3 场地访问安全管理

电子认证服务机构应制定物理场地授权与访问规定，合理控制物理场地权限，保障场地安全。

内部人员因工作需要，可被赋予访问相应物理场地的权限。没有访问物理场地某区域权限而确因工作需要访问该场地区域的内部人员，在访问该区域时，必须由具有相应权限的人员全程陪同，并做好访问记录。

外来人员出入日志由电子认证服务机构陪同员工负责填写。所有外来人员进入、离开电子认证服务机构应有记录，能审计全部访问行为，并应定期将访问控制记录归档、保存。

9.4 场地监控安全管理

电子认证服务机构须安排安全人员通过场地安全监控设备对运营场地进行7X24小时监控，发现可疑问题或安全事件应及时处理，记录并及时报告上级安全主管。对于严重的安全事件，须上报安全策略管理组织。

安全监控人员不得擅离职守，运营场地任何时候都必须有安全值班人员监守。

9.5 系统运维安全管理

9.5.1 运营系统权限管理

认证机构应制定运营系统访问控制方面的管理规定，制定访问控制权限分配表，正确设置运营系统的用户角色和相应权限，所有运营维护只被赋予必须的、最小的权限，并对关键的、敏感的操作进行权限分割。

9.5.2 运营系统操作管理

a)应根据生产系统建设厂商的维护要求，制定运维策略和流程。

b)不经批准不得在服务器上安装任何软件和硬件；不经批准不得删除服务器上的任何文件。

c)应正确配置安全设备、网络设备、业务系统，定期检查、测试配置策略的有效性。应及时分析入侵检测系统的日志和问题，及时响应安全事件、调整安全策略。

d)应有与生产系统功能相一致的测试系统，用于功能、补丁部署、升级等测试用途。测试系统中不得使用生产系统的业务数据。

e)应及时升级系统和数据库补丁包、安全包；及时升级防病毒软件病毒库，IDS、防火墙及网络设备固件等。并且只有在测试系统中经测试合格后，方能在生产系统上正式部署。

f)应监控系统容量需求，制定未来容量需求的项目计划，保持适当的处理能力和存储能力。

g)生产系统的任何调整和升级，应先制定详细的技术实施方案，经电子认证服务机构的安全策略管理组织审核批准后，方可实施，并应有完整的实施记录。

h)对系统的任何操作，应做好操作记录。系统的事件和日志应及时归档保存。

9.5.3 系统变更和升级

应制定严谨的系统变更和升级的申请和审批策略、操作流程及验收标准，明确管理责任和程序，严格遵守管理控制程序，防止因为系统的变更和升级影响认证系统的正常运行。系统变更和升级应遵循如下准则：

1)对设备、软件或程序的所有变更指定严格的程序。

2)变更、升级前，对原系统业务数据和业务系统要进行全备份。

3)保证原有系统中的数据到变更、升级后系统的平稳过渡。

4)系统变更和升级实施方案和过程应不对已有客户、用户带来严重的影响。

9.5.4 帐户、口令管理

应对网络设备和主机系统的帐户口令的安全强度、使用期限、更换频率、保管手段、传输方式等进行要求和管理；应确保网络设备、主机和应用程序中没有设置有缺省的用户名、口令。

9.5.5 系统安全监控

电子认证服务机构在运营系统的各个重要环节须设置各类监测、防护设备，实时监测网络数据流，监视并记录内部、外部用户进行的操作，监测并记录各类安全事件，如攻击、入侵、病毒等，并能对异常的行为和安全事件采取相应的控制并及时报警。

电子认证服务机构应在运营场地管理区建立专门的系统监控室，由系统安全监控人员通过监控系统和设备对运营系统的运行状况、安全状况进行实时监控。当安全监控人员发现异常情况或安全事件后，须及时采取措施进行处理，记录并报告有关安全主管，对于严重的安全事件，须上报安全策略管理组织。

9.6 人员安全管理

9.6.1 人员安全策略

电子认证服务机构应制定人员安全策略，对正式员工和临时人员进行有效的安全管理。应在策略中明确定义关键岗位的职责和关键岗位管理要求，对关键岗位应采用职责分割、双重控制、岗位轮换、最小权限等安全管理措施。

9.6.2 可信背景调查

应制定可信人员策略，对正式雇佣的新员工进行可信背景调查。背景调查可分为基本调查和高级调查。对普通雇员执行基本调查，对关键岗位雇员执行高级背景调查。

9.6.3 人员异动处理

所谓人员异动是指由于不可预测的事件导致员工不能履行职责或员工不辞而别。电子认证服务机构应制定人员异动管理策略，要求关键岗位必须设置备份人员，以便在意外情况下能关键业务职能得到延续，避免人员异动发生影响企业运营。

9.7 密码设备安全管理

电子认证服务机构应建立密码设备管理制度，对密码设备的采购、使用、测试、维修、保管、报废等各环节进行管理。

9.7.1 购买和运输

电子认证服务机构应根据国家密码主管部门的销售许可名单，测试并选型使用的密码设备。

密码设备从制造商到电子认证服务机构的运输过程应安全可靠，产品应使用防篡改安全标记包装。

电子认证服务机构收到密码设备后，应及时检查安全标记是否完整，并确认密码设备没有被替换或改动。

9.7.2 保管和存储

电子认证服务机构应委派可信雇员负责密码设备的接收、存储、保管、领用等流程，并有完整的记录。

9.7.3 使用和维修

电子认证服务机构的密码设备，在运营环境中的安装、拆卸，硬件更换、固件和软件升级等过程中均必须有2名以上可信雇员现场监督。

密码设备故障诊断时，必须有2名以上可信雇员在现场；密码设备的维修必须始终处于电子认证服务机构可信雇员的控制中。

苏州市数字证书认证中心电子认证服务协议(非个人)

苏州市数字证书认证中心电子认证服务协议（非个人） 数字证书（以下简称证书）是苏州市数字证书认证中心（以下简称苏州CA中心）签发的网上凭证，是为身份确实、资信可靠的个人、单位和服务器等在网上进行安全电子交易、安全电子事务处理等提供的一种身份认证。凡企业、机关团体、行政事业等单位、个人和服务器数字证书申请人（以下简称证书申请人）均可向苏州CA中心的业务受理审批单位申请领用数字证书。 为了保障数字证书申请人的合法权利，维护苏州市数字证书认证中心的合法经营权益，双方本着自愿、平等的原则，达成以下协议书条款，双方共同遵守执行。 一、协议双方的权利与责任 1.证书申请人的权利与责任 （1）证书申请人必须按照苏州CA中心的有关规定办理申请手续，如实提交各种申请材料，如实填写证书申请表格。证书申请人必须对所提供资料的真实性、合法性及完整性负责。 （2）证书申请人在身份审核时，故意或过失提供不真实资料，导致苏州CA中心签发证书错误，因而造成损失时，由证书申请人承担一切相关责任。 （3）证书申请人应当妥善保管苏州CA中心所签发的数字证书和私钥及保护密码，不得泄漏或交付他人。如因故意、过失导致他人知道或遭盗用、冒用、伪造或者篡改时，证书申请人应当自行负责承担一切责任；如遇遗失或被窃，应立即向苏州CA中心或其受理审批单位办理挂失/报失，并配合调查。 （4）如发生第（3）条情况，或者证书申请人不希望继续使用数字证书时，应当立即到受理审批单位申请报失数字证书。报失手续遵循苏州CA中心的规定。苏州CA中心在接到受理审批单位的报失申请后，在24小时内废止证书申请人数字证书。证书申请人应当承担在数字证书废止之前所有使用数字证书造成的责任。 （5）证书申请人数字证书的有效期为1年或2年。证书申请人必须及时提出数字证书更新请求。苏州CA中心对此不负任何责任。 （6）证书一律不得转让、转借或转用。因转让、转借或转用而产生的一切损失均由证书申请人负责。若单位的法人、网站等发生变动，应立即通知苏州CA中心。因证书申请人信息发生变化且未及时通知苏州CA中心更新证书信息而造成的不良后果由证书申请人自行承担。 （7）所有使用证书在网上进行的电子商务活动均视为证书申请人所为，因此而产生的一切后果均由证书申请人负责，证书申请人必须遵守国家的相关规定。 （8）证书申请、废止、更新等的审核权在苏州CA中心，证书申请人必须按照苏州CA中心制定的有关规定按期缴纳相关费用。如申请人未能按时缴纳费用的，由此产生的一切后果均由证书申请人承担。 （9）如果证书申请人单位停业或解散时，则其法定责任人需要携带相关证明文件及原数字证书申请表格存根，向苏州CA中心请求报失证书申请人数字证书。如果数字证书申请证明遗失，凭法律效力证明废止证书申请人数字证书。相关责任人应当承担其数字证书在废止前产生的一切行为。 2.苏州CA中心的权利与责任 （1）苏州CA中心发放的各类型数字证书只能用于在网络上标识身份、加密数据、保证网络安全通讯，不能作为其他任何用途。若证书申请人将其数字证书用于其他用途，苏州CA中心不承担任何责任。

电子认证服务密码管理规定

电子认证服务密码管理规定 第一条 为了规范电子认证服务提供者使用密码的行为，根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法 规的规定，制定本办法。 第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。省、自治区、直辖市密码管理机构依据本办法承担有关监督 管理工作。 第三条 提供电子认证服务，应当依据本办法申请《电子认证服务使用密码许可证》。 第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下 称电子认证服务系统)使用商用密码。电子认证服务系统应当由具有 商用密码产品生产资质的单位承建。 第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。 第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。 第七条

申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后，向所在地的省、自治区、直辖市密码管理机构提交下列材料： (一)《电子认证服务使用密码许可证申请表》; (二)企业法人营业执照或者企业名称预先核准通知书的复印件; (三)电子认证服务系统安全性审查相关技术材料，包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明; (四)电子认证服务系统互联互通测试相关技术材料; (五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件; (六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。 第八条 申请人提交的申请材料齐全并且符合规定形式的，省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的，省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的，应当书面通知并说明理由。省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。 第九条 国家密码管理局对省、自治区、直辖市密码管理机构报送的材料进行核查，组织对电子认证服务系统进行安全性审查和互联互通测试，并自省、自治区、直辖市密码管理机构受理申请之日起15个工作日内，将安全性审查和互联互通测试所需时间书面通知申请人。电子认证服务系统通过安全性审查和互联互通测试的，由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安

电子产品常见认证

认证是由第三方经授权的独立的权威机构根据相关的国家或国际法规标准，对生产厂家的产品或生产体系进行检测与监督，并就通过与否签发检测报告与证书的过程。如果取得认证，也就说明产品质量符合了国家或国际标准。 UL认证（美国）：保险实验室认证标志。进入美国的货物，很多都需要有UL标志。 UL是英文保险商试验所（Underwriter Laboratories Inc.）的简写，UL安全试验所是美国最有权威的，也是界上从事安全试验和鉴定的较大的民间机构。它是一个独立的、非营利的、为公共安全做试验的专业机构。它采用科学的测试方法来研究确定各种材料、装置、产品、设备、建筑等对生命、财产有无危害和危害的程度；确定、编写、发行相应的标准和有助于减少及防止造成生命财产受到损失的资料，同时开展实情调研业务。总之，它主要从事产品的安全认证和经营安全证明业务，其最终目的是为市场得到具有相当安全水准的商品，为人身健康和财产安全得到保证作出贡献。目前，UL在美国本土有五个实验室，总部设在芝加哥北部的Northbrook镇，同时在台湾和香港分别设立了相应的实验室。 CE认证（欧盟）： “CE”标志是一种安全认证标志，被视为制造商打开并进入欧洲市场的护照。凡是贴有“CE”标志的产品就可在欧盟各成员国内销售，无须符合每个成员国的要求，从而实现了商品在欧盟成员国范围内的自由流通。 在欧盟市场“CE”标志属强制性认证标志，不论是欧盟内部企业生产的产品，还是其他国家生产的产品，要想在欧盟市场上自由流通，就必须加贴“CE”标志，以表明产品符合欧盟《技术协调与标准化新方法》指令的基本要求。 CE两字，是从法语“Communate Europpene”缩写而成，是欧洲共同体的意思。欧洲共同体后来演变成了欧洲联盟（简称欧盟）。CE标志加贴的商品表示其符合安全、卫生、环保和消费者保护等一系列欧洲指令所要表达的要求。 有关CE标志的产品：符合欧盟的有关健康，卫生，安全，环保和消费者保护的等一系列规定。是产品在欧明境内销售的市场准入证明，目前有20多条欧盟指令规定CE涵盖的产品范围及相关的安全要求。 CE标志对贸易和工业产生巨大的影响，符合欧洲标准指令的产品才可贴CE标志。一般而言，欧洲指令的要求适用于最终产品和其它部件的销售。对于绝大多数电子，电器类产品而言，申请CE认证必须符合低电压指令（LVD）和电磁兼容指令（EMC）。 有关指令要求加贴CE标志的工业产品，没有CE标志的，不得上市销售，已加贴CE标志进入市场的产品，发现不符合安全要求的，要责令从市场收回，持续违反指令有关CE标志规定的，将被限制或禁止进入欧盟市场或被迫退出市场。现今执行的指令主要有如下： 低电压指令电磁兼容机械玩具简单压力容器个人护具 衡器活性移植医疗设备燃气设备电讯终端设备防爆设备 VDE认证（德国）： VDE是德国国家产品标志。VDE的全称是Prufstelle Testing and Certification Institute,意即德国电气工程师协会。它成立于1920年，是一个国际认可的电子电器及其零部件安全测试及出证机构，是欧洲最有测试经验的试验认证和检查机构之一，也是获欧盟授权的CE公告机构及国际CB组织成员。在欧洲和国际上，得到电工产品方面的CENELEC 欧洲认证体系、CECC电子元器件质量评定的欧洲协调体系、世界性的IEC电工产品、电子元器件认证体系等的认可。评估的产品非常广泛包括家用及商业用途的电器、IT设备、工业和医疗科技设备、组装材料及电子元器件、电线电缆等。 VDE标志主要适用范围为各类电工产品，电子元器件产品等。 VDE是德国著名的测试机构，在电器零部件认证是欧洲最权威的认证。 根据申请按照VDE规范或其他公认的技术标准对电工产品进行试验和认证。因而它向公众提供了一种保护性服务，避免电器在使用时造成危害和产生无线电干扰。 VDE一P的试验和认证特别适用于家用电器、照明器具、手持式工具、娱乐电子设备、医疗电气设备、信息技术设备、安装材料。电线、电缆和电子元器件。VDE—P还对电器所产生的无线电干扰进行测量，在需要时也测量电磁兼容性（EMC）。 GS认证（德国）： GS的含义是德语Geprufte Sicherheit(安全性已认证)，也有Germany Safety" （德国安全）的意思。GS认证以德国产品安全法（SGS）为依据，按照欧盟统一标准EN或德国工业标准DIN进行检测的一种自愿性认证，是欧洲市场公认的德国安全认证标志。 GS标志表示该产品的使用安全性已经通过公信力的独立机构的测试。GS标志，虽然不是法律强制要求，但是它确实能在 产品发生故障而造成意外事故时，使制造商受到严格的德国（欧洲）产品安全法的约束。所以GS标志是强有力的市场工具，能增强顾客的信心及购买欲望。虽然GS是德国标准，但欧洲绝大多数国家都认同。而且满足GS认证的同时，

商场运营管理规定

商场运营管理规定 为树立商场良好的信誉和形象，规范经营户的经营活动，商场制定了运营相关管理规定，下面学习啦小编给大家介绍关于商场运营管理规定的相关资料，希望对您有所帮助。 商场运营管理规定如下 1.商场经营户在与商场签订《租赁合同》获得商位使用权后，应按规定特有效证件及时向工商等部门申领营业执照等有关证照,经领取后方可开业经营;实行许可证制度销售的商品，必须同时领取“特种行业许可证”。 .商场经营户要严格遵守国家法令、法规和商场各项管理制度，服从商场管理，接受商场检查监督，落实违章整改;按规定依法纳税，及时交纳商场各项费用。 .按核定的经营范围在约定的商位上经营，做到亮证经营，人证相符，不随意设摊堆物，不占道经营，不场外交易。 .确保销售的商品符合质量要求。销售的商品应符合商品规定;包装产品的标识必须符合国家标准;商品的进货索证要齐全，并接受商场管理人员核查和检测;凡索证不全的商品一律不准在商场上销售。禁止销售假冒伪劣的商品及国家禁令的销售商品。 .在商品交易中，遵循自愿、平等、公平、诚实、信用的原则，遵守商业道德，以次充好;不强卖强买，欺行霸市;不

得以任何手段欺骗消费者，自觉维护商场信誉，维护消费者的合法权益。 .商场内不准打牌、赌博、偷窃、打架斗殴、酗酒闹事，不准以任何形式扰乱商场的正常交易秩序。遇消费者投诉或纠纷，到商场管理办公室协商调解或经政府职能部门依法处理，不得仗势欺人、态度粗暴。 .爱护商场设施。不准乱搭货架、乱挂乱贴、乱接乱拉，有碍于商场环境行为的发生;不准擅自改变商场设施和水电管线。不随意挪用商场或他人的经营设备用具，如造成损坏照价赔偿。营业房装修、广告、空调设置及使用大功率电器，必须经商场申报批准。自有设施使用不得有碍商场外观形象，不得危害毗邻商位的利益及安全。 .做好消防、治安安全防范工作，经营户要保管好自己的钱物、单据和物品;商场内不得带入有毒和易爆物品，不得动用明火及燃放烟花爆竹;每日营业结束，清除好应清理的物品，切断电源，锁好门窗，带走现金和物品，经营人员不准在商场内过夜。 .维护商场整洁，搞好商位“三包”工作，样品上货架或上商位台面，要摆放整齐;车辆要在指定停放的位置停放。严禁乱堆商品，乱丢垃圾杂物，瓜皮果壳，严禁随地吐痰。不准在商场内带养宠物，以及做与本商场不适宜的其它行为。

电子认证服务协议文本

电子认证服务协议文本 Effectively restrain the parties’ actions and ensure that the legitimate rights and interests of the state, collectives and individuals are not harmed ( 协议范本 ) 甲方：______________________ 乙方：______________________ 日期：_______年_____月_____日 编号：MZ-HT-074195

电子认证服务协议文本 在申请、接受或使用全球服务器数字证书之前，您必须先详细阅读本全球服务器数字证书订户协议(以下称订户协议)。若您不同意本订户协议之条款，请勿申请、接受或使用全球服务器数字证书。 本订户协议将于您向指定的发证机构交付证书申请的当日开始生效。藉由交付本订户协议(与证书申请)，即表示您要求发证机构签发全球服务器数字证书予您，亦表示您已同意本协议中的条款。北京_______电子商务服务有限公司(下称_______)的公共认证服务受_______认证业务声明(以下称「认证业务声明」)所规范，认证业务声明将不定时修改，且视为本订户协议之一部份。认证业务声明公布于_______网站的资料库，网址为https：//_________和ftp：//_______________， 也可以通过E-mail：___________获得。认证业务声明之修

订条文也公布于_______的资料库中，具体网址为https：//_______。 您必须同意，完全按照认证业务声明及本订户协议的条件使用全球服务器数字证书及相关的发证机构服务。您还必须同意，在信赖全球服务器数字证书、安全服务器证书或发证机构签发的其他证书的时候，明确遵守_______的「信赖方协议」和认证业务声明第8章的规定。该信赖方协议也公布在_______的资料库中，网址为https：//_____________。除遵守认证业务声明及信赖方协议所载内容外，您还赞同并接受以下1-7部分。 附加信息及条款和条件： 1.出口许可 全球服务器证书的出口将符合中国相关法律法规的的规定。您必须符合上述有关规定，_______才会签发给您全球服务器数字证书。 2.全球服务器数字证书 全球服务器数字证书使您能使用128位的RC4或IDEA，56位的DES，双密钥Triple-DES加密技术，或_____可能采用的其他加

电子认证服务业

电子认证服务业“十二五”发展规划

目录 一、“十一五”回顾 (1) （一）《电子签名法》配套政策法规逐步完善 (1) （二）电子认证服务市场规模不断扩大 (2) （三）电子认证应用范围日益广泛 (2) （四）电子认证技术稳步发展 (3) （五）电子认证标准规范体系初步形成 (3) 二、“十二五”面临形势 (4) （一）电子认证服务作用更加凸显 (4) （二）电子认证服务发展空间日益广阔 (5) （三）电子认证服务资源亟待整合 (5) （四）电子认证服务亟待创新与突破 (6) 三、指导思想与发展目标 (6) （一）指导思想 (6) （二）发展目标 (7) 四、重点任务 (8) （一）健全政策法规，完善电子认证服务发展环境 (8) （二）规范认证服务，突破重点领域电子认证服务瓶颈 9 （三）拓展应用市场，发展壮大电子认证服务业 (9) （四）开展试点示范，推动电子认证服务创新发展 (10) （五）完善标准规范，加强电子签名技术检测与认证服务监

督 (10) （六）开展合作交流，促进电子签名与认证跨境互认 .. 11 五、重大工程 (11) （一）数字证书交叉认证及应用试点工程 (11) （二）可靠电子签名与数据电文应用试点工程 (11) 六、保障措施 (12) （一）改进行政管理模式 (12) （二）加大资金保障力度 (12) （三）加快专业人才培养 (13) （四）营造良好社会氛围 (13)

根据《国民经济和社会发展第十二个五年规划纲要》和《2006-2020年国家信息化发展战略》的精神，按照《“十二五”工业转型升级规划》和《国民经济和社会发展信息化“十二五”规划》的总体部署，制定《电子认证服务业“十二五”发展规划》。本规划侧重指导第三方电子签名认证服务，是推进行业发展、开展行业管理、组织实施重大工程的依据。 一、“十一五”回顾 （一）《电子签名法》配套政策法规逐步完善 《电子签名法》为电子认证服务奠定法律基础。2005年4月1日实施的《电子签名法》确立了电子签名的法律效力。《电子签名法》关于数据电文的书面形式效力、原件效力、证据效力以及数据电文的存档与收发时间、收发地点的规定和由依法设立的电子认证服务机构提供电子签名第三方认证的要求，为电子签名的应用以及相关认证服务奠定了坚实的法律基础。 《电子签名法》配套政策法规逐步完善。依据《电子签名法》，工业和信息化部制定并发布了《电子认证服务管理办法》，对电子认证服务机构的设立、许可、服务、暂停和终止、法律责任以及监督管理作出了规定。相关部门从电子认证服务机构的密码使用及管理要求、电子政务领域的认证服务应用、电子商务领域的认证服务应用等方面制定了《电子认证服务密码管理办法》、《电子政务电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》等相关政策文件。部分省市还出台

各国电器电子产品认证标致及说明

各国电器电子产品认证标致及说明 认证是由第三方经授权的独立的权威机构根据相关的国家或国际法规标准，对生产厂家的产品或生产体系进行检测与监督，并就通过与否签发检测报告与证书的过程。如果取得认证，也就说明产品质量符合了国家或国际标准。 1、CCC标志 长城标志又称CCEE安全认证标志，为电工产品专用认证标志。中国电工产品认证委员会（CCEE）是国家技术监督局授权，代表中国参加国际电工委员会电工产品安全认证组织（IECEE）的唯一合法机构，代表国家组织对电工产品实施安全认证（长城标志认证）。 3C认证标志的名称为“中国强制认证”（英文名称为“ChinaCompulsoryCertification”，英文缩写为“CCC”，也可简称为“3C”标志）。 按照《中华人民共和国标准化法》和《中华人民共和国产品质量认证管理条例》，电工产品开展安全认证是以等效转化国际电工委员会（IEC）安全标准的强制性国家标准和行业标准为依据，按此类标准开展的认证必须进行强制性监督管理，凡未经安全认证的此类产品，不准出厂、销售、进口和使用。 2、UL标志 UL是美国保险商实验室（Underwrite rs Laboratories Incorporation）的缩写，它是一个国际认可的安全检验及UL标志的授权机构，对机电包括民用电器类产品颁发安全保证标志。一百多年来，一直致力于对有关材料、工具、产品、设备、构造、方法和系统等对生命财产的危险性进行评估实验。美国安全检测实验室公司提出了为公众所接受的科学测试方法和要求，它制订了七百多种安全标准，其中部分UL安全标准被美国政府采纳为国家标准。产品要行销美国市场，UL认证标志是不可缺少的条件。 3、CE标志 CE标志是欧洲共同市场安全标志，是一种宣称产品符合欧盟相关指令的标识。使用CE标志是欧盟成员对销售产品的强制性要求。目前欧盟已颁布12类产品指令，主要有玩具、低压电器、医疗设备、电讯终端（电话类）、自动衡器、电磁兼容、机械等。 4、GS标志 GS标志是德国安全认证标志，它是德国劳工部授权由特殊的TUV法人机构实施的一种在世界各地进行产品销售的欧洲认证标志。GS标志虽然不是法律强制要求，但是它确实能在产品发生故障而造成意外事故时，使制造商受到严格的德国（欧洲）产品安全法的约束，所以GS标志是强有力的市场工具，能增强顾客的信心及购买欲望，通常GS认证产品销售单价更高而且更加畅销。欧共体CE规定，从1997年1月1日起管制“低电压指令（LVD）”。GS已经包含了“低电压指令（LVD）”的全部要求。所以获得GS标志后，TUV会例外免费颁发该产品LVD的CE证明（COC），TUV Rhein land1997年后的证书则在GS证书中包含了LVD证书。厂商申请GS标志的同时获得了LVD证明。瑞士和波兰产品安全认证标志产品范围同GS标志。 5、JIS标志 JIS标志是日本标准化组织（JISC）对经指定部门检验合格的电器产品、纺织品颁发的产品标志。 左右；温度-20-100℃以内； 3、采用烙铁焊接、浸锡炉或回流焊接时，温度控制在260±5℃，时间控制在5S以内；焊接距离胶体边沿不的小于2毫米。

电子认证服务协议通用范本

内部编号：AN-QP-HT786 版本/ 修改状态：01 / 00 The Contract / Document That Can Be Held By All Parties Of Natural Person, Legal Person And Organization Of Equal Subject Acts On Their Establishment, Change And Termination Of Civil Rights And Obligations, And Defines The Corresponding Rights And Obligations Of All Parties Participating In The Contract. 甲方：__________________ 乙方：__________________ 时间：__________________ 电子认证服务协议通用范本

电子认证服务协议通用范本 使用指引：本协议文件可用于平等主体的自然人、法人、组织之间设立的各方可以执以为凭的契约/文书，作用于他们设立、变更、终止民事权利义务关系，同时明确参与合同的各方对应的权利和义务。资料下载后可以进行自定义修改，可按照所需进行删减和使用。 在申请、接受或使用全球服务器数字证书之前，您必须先详细阅读本全球服务器数字证书订户协议（以下称订户协议）。若您不同意本订户协议之条款，请勿申请、接受或使用全球服务器数字证书。 本订户协议将于您向指定的发证机构交付证书申请的当日开始生效。藉由交付本订户协议（与证书申请），即表示您要求发证机构签发全球服务器数字证书予您，亦表示您已同意本协议中的条款。北京_____电子商务服务有限公司（下称_____）的公共认证服务受_____认证业务声明（以下称「认证业务声明」）所规

各种电子设备认证标志

电子设备常见认证标志解析

随着中国加入W TO,几乎所有名牌硬件产品的包装上都印有不同的认证标志，可见国际认证标志已经随着中国加入WTO 进入了我们的生活。 什么是认证？认证是由第三方经授权的独立的权威机构根据相关的国家或国际法规标准，对生产厂家的产品或生产体系进行检测与监督，并就通过与否签发检测报告与证书的过程。如果取得认证，也就说明产品质量符合了国家或国际标准。 购买带有认证标志的电子产品是一种质量的承诺，是使消费者安心购买的砝码，了解一些常见的国际国内认证标志也会使消费者购买时作出正确的选择。 一、电脑硬件通用认证标志 UL （Underwriters Laboratories ，Inc ），此认证标志是美国质量安全认证规范，世界范围内其使用比较广泛，通常称为安规认证。美国保险商实验室（ＵＬ），是美国在电子电工产品方面安全检查和质量认证的最高权威机构，在国际上也享有很高的声誉，ＵＬ标志已被许多国家接受，通过ＵＬ标志认证的产品可在世界大多数国家的市场销售。 CB 体制是以IEC （国际电子委员会）标准为基础，CB 标志意味着制造商的电器 和电子产品已通过国际认证机构（NCB ）的检测。CB 证书和检测报告被IEC 会员 国的NCB 认可。在NCB 相同的范围内，制造商无需到各个国家的认证机构重复认 证相同的产品， CSA （CSA International ），CSA 全称为Canadian Standards Association ——加拿大权威标准组织，其使用范围也很广，常常与UL 认证同时出现。此标志常见于各种电脑硬件产品，部分外设产品，如：键盘等，也采用此认证。 CE （European Community ），CE 认证是欧共体成员国通用的认证标志，通过此认证的产品才能在欧共体内销售，该认证也是世界权威的认证之一，使用范围很广。此标

电子认证服务协议示范文本

电子认证服务协议示范文 本 In Order To Protect Their Legitimate Rights And Interests, The Cooperative Parties Reach A Consensus Through Consultation And Sign Into Documents, So As To Solve And Prevent Disputes And Achieve The Effect Of Common Interests 某某管理中心 XX年XX月

电子认证服务协议示范文本 使用指引：此协议资料应用在协作多方为保障各自的合法权益，经过共同商量最终得出一致意见，特意签订成为文书材料，从而达到解决和预防纠纷实现共同利益的效果，文档经过下载可进行自定义修改，请根据实际需求进行调整与使用。 电子认证服务协议 电子认证服务协议 在申请、接受或使用全球服务器数字证书之前，您 必须先详细阅读本全球服务器数字证书订户协议(以下称订 户协议)。若您不同意本订户协议之条款，请勿申请、接受 或使用全球服务器数字证书。 本订户协议将于您向指定的发证机构交付证书申请 的当日开始生效。藉由交付本订户协议(与证书申请)，即表 示您要求发证机构签发全球服务器数字证书予您，亦表示 您已同意本协议中的条款。北京_______电子商务服务有限 公司(下称_______)的公共认证服务受_______认证业务声明 (以下称「认证业务声明」)所规范，认证业务声明将不定时

修改，且视为本订户协议之一部份。认证业务声明公布于_______网站的资料库，网址为https：//_________和ftp：//_______________， 也可以通过e-mail：___________获得。认证业务声明之修订条文也公布于_______的资料库中，具体网址为https：//_______。 您必须同意，完全按照认证业务声明及本订户协议的条件使用全球服务器数字证书及相关的发证机构服务。您还必须同意，在信赖全球服务器数字证书、安全服务器证书或发证机构签发的其他证书的时候，明确遵守_______的「信赖方协议」和认证业务声明第8章的规定。该信赖方协议也公布在_______的资料库中，网址为https： //_____________。除遵守认证业务声明及信赖方协议所载内容外，您还赞同并接受以下1-7部分。 附加信息及条款和条件：

工信部：将完善电子认证服务标准规范

工信部：将完善电子认证服务标准规范 本报记者万静 近日，引起社会各界广泛关注的支付宝(微博)用户“被捐款事件”，再次让中国数亿网络用户对网络支付安全环境产生担忧。 工信部今天公布的《电子认证服务业“十二五”发展规划》披露，身份盗用、交易诈骗、网络钓鱼等各种网上安全事件的频发，与蓬勃发展的网络应用的矛盾日益突出。据统计，我国有近1.28亿互联网用户遭遇过上述安全事件影响，初步估计损失超过150亿元，严重打击网络用户的信心，阻碍网络应用的快速发展。 为此，工信部表示，将根据信息化发展对身份认证、授权管理、责任认定等方面的需求，完善网络身份认证管理政策。 “被捐款”事件再敲警钟 近日，支付宝就用户因密码被盗等原因导致的“被捐款”事件作出回应。其相关负责人表示，经过与相关机构沟通决定，将全额退还此类非出自本人意愿的打款。同时，支付宝方面梳理并发布了若干安全支付须知，其中包括合理使用数字证书、支付盾、宝令等安全产品，呼吁用户提高安全意识。 这次“被捐款”事件早在今年8月就初露端倪，一位网友曾发布截图称，他两个月没有使用过支付宝，一次无意间登录发现其支付宝账号曾在自己未登录时捐给了某绿化基金会一毛钱。随后不少有相似经历的网友跟帖响应，直至9月底，此类事件已发生多起，“被捐款”的数额从一角到几元、几十元不等。 据了解，这类“捐款”疑是由木马、钓鱼网站等恶意攻击，导致的账户密码泄露。支付盾与用户的支付宝账户成对应绑定关系，申请使用后只有在电脑上插入与支付宝账户相匹配的支付盾才能对资金进行支付、转账等操作，否则只能进行查询。支付盾内设置微型智能卡处理器，与用户身份认证、账户安全息息相关的数字证书便蕴含在其中。 支付宝“被捐款”事件被媒体踢爆后，业内人士普遍对电子支付系统中的电子签名认证安全现状表示忧虑。知名网络法律专家王春晖认为，社会要求构建可信网络空间的需求日益迫切，而这其中最关键的环节就是建立统一规范的电子认证标准体系。 面临诸多法律问题待解 据工信部披露，截至2010年底，我国网民数量已突破4.5亿，网络购物用户数量1.61亿，电子商务交易额4.5万亿元。据预测，“十二五”期间，网络应用在国民经济和社会各领域将进一步普及深化，到2015年，电子商务年交易额将突破18万亿元，电子认证服务市场潜力巨大。 社保、医疗、保险等诸多公共服务领域将逐步深化电子认证的应用，电子病历、电子保单等更多业务将得到广泛开展。随着社会对电子认证服务的认可程度进一步提高，网络购物用户数量将迅速增长，网上交易活动开展更为频繁，在线招投标、电子合同签订与电子订购等业务将蓬勃发展。 但蓬勃发展的电子商务市场，也蕴涵着很多由电子认证服务法律制度滞后所引发的问题。多年致力于研究电子商务法律研究的、北京京都律师事务所律师黄永华说，电子商务合同主要是双方通过电子形式(email;传真；电话；或者网络电子表格等等)来签订的。电子商务进行的是无纸贸易，其在形式上和法律效果上与传统合同相比有很大的变化，这涉及电子签名的法律地位和效力问题，必然产生很多问题。 比如，电子商务合同双方当事人基本属于不见面，双方都通过网络虚拟平台进行运作，其信用仅仅依靠密码的辨认或认证机构的认证，密码认证的虚拟性和认证机构认证的多样性

电子产品需做的常见20种检测认证

电子产品需做的常见20种检测认证 现在世界上无论是何种行业，所使用的电子家电产品都通过了各种各样的安全认证。为什么要有安全认证呢？这也是各厂家对自己产品的一种安全承诺，有关辐射的，有关电气安全的，有关人身安全的等等。 你的显示器还有你的电脑电源(POWER)上是是否有好多标识呢？如果没有，可要小心了，那些产品是没有安全保障的。面对种种认证及其标示，你都明白是什么意思吗？这里就简单介绍一些电脑资讯行业里最常见的安全认证，希望对大家在以后的硬件采购会有所帮助。 1、CCC产品认证- 中国强制认证 中国强制性产品认证于2002年5月1日起实施，认证标志的名称为“中国强制认证”(英文China Compulsory Certification的缩写“CCC”)。对列入国家质量监督检验检疫总局和国家认证认可监督管理委员会发布的《第一批实施强制性产品认证的产品目录》中的产品实施强制性的检测和审核。 凡列入目录内的产品未获得指定机构认证的，未按规定标贴认证标志，一律不得出厂、进口、销售和在经营服务场所使用。中国强制认证标志实施以后，将逐步取代原实行的“长城”标志和“CCIB”标志。原有的“长城”标志和“CCIB”标志自2003年5月1日起废止。 2、CCEE产品认证- 现已废止 CCEE的认证标志--长城标志中国电工产品认证委员会(CCEE)于一九八四年成立，英文名称为China Commission for Conformity Certification of Electrical Equipment(以下简称CCEE)，是代表中国参加国际电工委员会电工产品安全认证组织(IECEE)的唯一机构，是中国电工产品领域的国家认证组织，CCEE下设有电工设备、电子产品、家用电器、照明设备四个分委员会。现已废止。 3、CCIB认证- CCIB是中国国家进出口商品检验局(China Commodity Inspection Bureau)的英文字头缩写。进口商品安全质量许可制度是国家进出口商品检验局(简称SACI)对进口商品实施的安全认证制度，凡列入SACI进口安全质量许可制度目录内的商品，必须通过产品安全型式试验及工厂生产与检测条件审查，合格后，加贴CCIB商检安全标志，方允许向我国出口、销售。常见于正宗的进口设备，电器上。现已废止。 4、CE认证–欧洲安全合格标志 CE标志的使用现在越来越多，加贴CE标志的商品表示其符合安全、卫生、环保和消费者保护等一系列欧洲指令所要表达的要求。CE代表欧洲统一(CONFORMITE EUROPEENNE)。CE只限于产品不危及人类、动物和货品的安全方面的基本安全要求，而不是一般质量要求，一般指令要求是标准的任务。 产品符合相关指令有关主要要求，就能加附CE标志，而不按有关标准对一般质量的规定裁定能否使用CE标志。因此准确的含义是：CE 标志是安全合格标志而非质量合格标志。 5、CQC产品自愿认证 CQC机构名称为中国质量认证中心，现中国强制认证CCC认证由其承担。获得CQC产品认证证书，加贴CQC 产品认证标志，就意味着该产品被国家级认证机构认证为安全的、符合国家响应的质量标准。

购物中心、商场营运统一经营管理守则

购物中心营运统一经营管理守则 第一节总则 1.0目的：为共同促进XXXX中央商务区（以下简称XXCBD） 的繁荣与发展，充分保障每位经营者以及消费者的合法利益，不断提高和完善XXXX中央商务区经营管理体系和商业信誉；规范经营者的交易行为，将XXCBD的经营者管理纳入法制化、规范化轨道，特制定本守则。 1.1本制度适用于XXXX新世界开发有限公司（以下简称管理 公司）实施管理的XXXX中央商务区。 1.2经营者应当遵循合法经营、依法纳税、公平交易、平等竞争的经营原则。 经营者必须遵守和执行国家法律和地方相关宏观调控政策。 1.3经营者同意遵守管理公司的各项经营管理规定，按照统

一经营管理守则的相关内容管理经营者员工并对其行为负责。 第二节经营者入场管理规定 2.0经营者所经营商品必须符合XXXX中央商务区的各类商 品经营区域的划分。各业主在进场前，请先到XXXX新世界开发有限公司办理装修等手续后，方可进场。 2.1经营者所经营商品必须符合XXXX中央商务区的商品经 营定位：以高档商品为主，结合部分中档、低档商品为辅。 2.2经营者所经营品牌、品类必须提前向管理公司提出申请， 管理公司根据品牌的知名度、美誉度、品牌形象,以及在本地或外地门店、专卖店的经营情况进行综合审核和筛选，结合品类决定其经营区域和经营面积大小，确保每个商户经营的稳定性，为今后XXXX中央商务区的持续稳

场和旺场经营奠定下良好的基础。 2.3经营者所经营的商品质量符合《中华人民共和国产品质 量法》，应向管理公司提供营业执照、税务登记证、商标注册证、经销授权书的复印件；并承诺不经营假冒伪劣、质次残缺商品，对所经营的商品均须提供由国家承认的质量检验合格的相关质检报告，以证明其产地、品质、合法身份等情况。 第三节经营者装修管理规定 经营者进场装修必须严格按照《XXXX中央商务区装修守则》执行。附《XXXX中央商务区装修守则》。 第四节经营者经营行为管理规定 4.0 为了确保XXCBD的有序经营，使XXCBD经营管理纳入高 效、民主、相互支持、相互监督的管理机制，管理公司

国家政务外网数字证书中心电子认证服务协议 .doc

企业“小升规”申报所需材料和流程 从2016年12月15日起，区“小升规”申报工作按以下要求开展： 一．区级认定 （一）区级申报材料 1.封面（样式见附件1） 2.基本情况表（样式见附件2） 3.工商营业执照复印件 4.税务登记证复印件(若三证合一企业只需提供营业执照)。 5.2016年度纳税20万的完税证明或者缴纳20万履约保证金的证明。 6.企业调查摸底表（必须填写有供电用户号） （二）区级申报流程 1.帮扶单位负责挂点企业的申报资料的收集，统一收集好交给所在乡镇；乡镇汇总梳理后，统一报送区转企办。 2.转企办只接受乡镇报送的材料，将材料初审后交复核组审查。 3.复核审查组通过上门复核、会议联审后，认定企业是否达到区级规上标准。 4.达到标准的企业，由转企办统计归档，并将名单企业服务组，负责优惠政策的兑现落实。未达到标准的企业，由转企办通知乡镇领回材料整改。 二．省级入规 （一）省级申报材料 除了区级申报材料需要的资料外，还要补充以下资料： 1．中华人民共和国组织机构代码证（副本）复印件。(若三证合一企业只需提供营业执照)。 2.截至申报期最近1个月的利润表复印件。

3.截至申报期最近1个月的企业增值税纳税申报表及增值税纳税申报表附列资料（表一）(与国税端报表格式一致) 4.现场核查表（各部门或企业将照片插入现场核查表，打印后盖章扫描，只要电子版） （二）省级申报流程 1.需要申报省级入规的企业，必须已经通过区级认定。 2.由转企办将申报省级入规企业的资料移交统计局，统计局进行资料审核，有问题直接联系挂点帮扶干部进行整改。 3.税务申报表不再由转企办统一盖章，请各乡镇、挂点帮扶单位认真按照省级申报要求，做好申报表填写工作。 4.统计局将复核条件的企业录入系统。

数字证书认证服务机构名单

卫生部复审、测试的数字证书认证服务机构名单 根据《卫生系统电子认证服务管理办法（试行）》和《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和卫生系统电子认证服务体系建设系列技术规范的要求，经认真复核和测试，现公布通过卫生部复审、测试的数字证书认证服务机构名单，名单如下： 第一批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2010）23号）（中华人民共和国卫生部 2010-11-0414:35:09） 一、北京数字证书认证中心有限公司 二、上海市数字证书认证中心有限公司 三、江苏省电子商务证书认证中心有限公司 四、东方中讯数字证书认证有限公司 五、湖南省数字认证服务中心有限公司 六、福建省数字安全证书管理有限公司 第二批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2011）1号）（中华人民共和国卫生部2011-01-07 08:57:21） 一、新疆数字证书认证中心（有限公司） 二、国投安信数字证书认证有限公司 三、山西省数字证书认证中心（有限公司） 四、河南省数字证书有限责任公司 五、山东省数字证书认证管理有限公司 六、江西省数字证书有限公司 第三批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2011〕9号） （中华人民共和国卫生部 2011-05-09 17:55:03）

一、陕西省数字证书认证中心有限责任公司 二、广东省电子商务认证有限公司 三、辽宁数字证书认证管理有限公司 四、广东数字证书认证中心有限公司 五、西部安全认证中心有限责任公司 六、河北省电子商务认证有限公司 第四批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2012〕2号） （中华人民共和国卫生部 2012-03-01 12:28:43） 一、安徽省电子认证管理中心有限责任公司 二、湖北省数字证书认证管理中心有限公司 三、浙江省数字安全证书管理有限公司 四、深圳市电子商务安全证书管理有限公司

关于电信运营商电子渠道发展的思考

行业经济 一、电子渠道的概念 中国移动对电子渠道的定义为：电子渠道是指移动公司与客户非面对面通过信息化方式提供服务和销售产品的自有渠道，是公司整体渠道体系的重要组成部分，与实体渠道互为补充、相互结合，形成多层次、立体化的服务营销渠道体系。 现阶段中国移动的电子渠道包括电话营业厅、网上营业厅、短信营业厅、掌上营业厅和自助终端。 二、发展电子渠道的意义 电子渠道最大的特点在于它是以客户为主导，通过电子渠道办理业务，客户将拥有比过去更大的选择自由。可以根据自己的个性特点选择商品，并且不再受到时间和地域的限制。从某种程度上来说，这对于传统的电信渠道是一个颠覆。大力开发电子化服务平台，通过电子渠道将具有竞争力的产品和服务提供给客户，成为公司提升核心竞争力的一个重要举措。可以说，中国移动发展电子渠道有着深远意义： 1.提供了方便快捷服务，扩大了服务范围，提升客户满意度与忠诚度。电子渠道能够提供24小时的查询和业务受理服务，同时支持多用户的并发受理，不再受时间和空间的限制，极大地方便了客户，同时也提升了客户的感知，增强客户品牌认知。 2.能够极大促进新业务的发展。电子渠道可以向客户提供“图文并茂+声音”式的全新服务，更能够迎合客户的心理，满足客户更多个性化的需求，有利于提升客户体验。通过电子渠道宣传推广新业务，更适合新业务的消费特点。 3.降低营销服务成本。实体渠道因场地建设、人员配置、管理等，投入较大。相比传统渠道，电子渠道的成本优势非常明显。 4.降低人工服务压力、规范服务标准：完善电子渠道，加大业务承载力度，分流业务受理量，可以极大地缓解了人工服务的压力，同时，电子系统服务的标准化、统一化还可以在一定程度上避免因服务态度、服务质量引起客户不满意等问题。 5.减小代理渠道对运营商的威胁：目前代理渠道占运营商渠道的比重很大，代理商渠道的销售量对运营商举足轻重。扩大完全掌握在运营商手里的电子渠道，可以防止当运营商和代理商目标不一致时，代理商出于自身利益考虑而与运营商“叫板”的行为，减小代理渠道对运营商的威胁。 三、影响电子渠道发展的不利因素 1.资源的分散与多渠道的混乱。随着移动新业务的发展，产品线不断丰富，其对应的电子渠道也越来越多。门户的聚焦作用越来越弱，营销和服务资源被不断分散，客户所需的服务被分散到众多门户网站上，使客户在使用时无所适从，无法形成统一、完整的概念。而且，电子渠道包含的五个渠道缺乏统一的规划，在办理业务时统一性、整合度不够，各渠道业务办理能力高低不一，客户在使用不同电子渠道时感受和服务差异较大，也使客户感觉到混乱和无所适从。 2.受用户使用终端能力的限制。目前国内很多通信用户对电子平台不熟悉，缺乏电子设备的使用技巧，很多用户尚不会使用计算机上网，也不会编辑短信。向这些客户推广电子渠道，成本大，见效低。因此，在推广电子渠道的初期，应通过细分，锁定具备操作能力和乐于接受新鲜事物的目标客户群，差异化营销。 3.电子渠道推广力度不足，社会了解度不够。相对于银行等其他行业对电子渠道的大力推广，电信运营商电子渠道的宣传和推广显得力度不足。即使是有强烈需求，对电子渠道有偏爱的客户，也有部分因为不了解电子渠道办理方式而未能使用。扩大电子渠道的宣传力度，使客户对电子渠道有一定的认识和了解，是推广电子渠道使用的基础。 四、电子渠道未来发展的策略 电信运营商未来电子渠道的建设，应主要以客户体验为核心，引导客户消费行为，提升客户的感知度，打造客户的忠诚度。 1.全业务承载，分流实体渠道的压力 作为方便用户，提升客户体验的渠道，尽可能地增加承载的业务，真正做到使用户足不出户即可办理所有需要的业务是电子渠道当前最需要完成的任务。 2.整合各电子渠道，同时为各渠道建立统一的门户入口 各电子渠道应整合为一个整体，建立统一的业务标准和服务标准，使客户不管通过任何一种电子渠道办理业务，都能得到统一的信息，获得统一的服务。同时，各渠道应建立统一的门户入口，使得客户通过一个入口即可关联到所有需要的业务，不需要针对不同的需要，去记忆众多的接入口，造成客户认知的混乱。 3.建立以客户为导向的业务和服务流程，提升电子渠道的营销服务能力 发展电子渠道，应以客户为导向，从客户需求出发对客户具有引导性的、符合客户使用习惯的、富有用户个性的业务和服务流程，同时保持适度的客户差异化，满足不同客户的需要。 4.全方位宣传和推广电子渠道 目前电子渠道的宣传和推广力度还有明显不足，应在科学的细分目标用户群体的基础上，不断研发新的目标群体，并针对其使用习惯和消费特点采取不同的宣传、推广手段；同时，对于大众群体，也应采用大面积的、连续滚动的营销活动，吸引客户的关注和参与，培养和巩固客户的使用习惯。 渠道的电子化是运营商渠道发展不可逆转的趋势，发展电子渠道，提前抢占这个渠道，对于各运营商未来的发展具有重大的战略意义。在今后电子渠道建设发展的工作中，应全面审视目前电子渠道工作中发展的困难和不足，科学发展电子渠道，加强宣传，做好渠道建设工作。 关于电信运营商电子渠道发展的思考 彭皓 (中国移动通信集团河北有限公司邯郸分公司056001) 摘要：本文首先明确了电子渠道的概念，阐述了运营商发展电子渠道的意义和当前影响和制约电子渠道发展的不利因素，最后对公司电子渠道发展的未来策略提出了一些意见。 关键词：电子渠道意义策略