电子认证服务注册机构备案管理要求
电子认证服务注册机构备案管理要求
(征求意见稿)
第一章 总 则
第一条 为促进电子认证服务机构对其注册机构的规范管理,规范电子认证服务市场,维护电子认证服务活动中相关各方的合法权益,根据《中华人民共和国电子签名法》、《电子认证服务管理办法》、《电子认证服务机构运营管理规范 (试行)》和《电子认证服务机构从业人员岗位技能规范 (试行)》制定本要求。
第二条 本要求所称电子认证服务注册机构(以下简称为“注册机构”),是依法经具有《电子认证服务许可证》的电子认证服务机构批准授权设立,主要从事受理数字证书(以下简称“证书”)申请等业务的机构。其具体业务包括:
(一)证书申请的受理和审批(包括:身份鉴别和标识、录入、审核、批准或拒绝证书申请);
(二)证书制作和签名设备送达;
(三)证书更新、冻结、撤销的受理和审批;
(四)签名设备解锁;
(五)证书相关资料保存;
(六)加密密钥对的恢复;
(七)赔偿申请的受理。
第三条 在中华人民共和国境内设立的注册机构,其备案管理适用本要求。
第四条 中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对注册机构实施备案管理及监督检查。
第二章 注册机构的设立
第五条 注册机构的设立必须由获得《电子认证服务许可证》的电子认证服务机构批准和授权,并接受工业和信息化部监督。
第六条 电子认证服务机构设立或合作设立注册机构,应确保其具备下列要求:
(一)具有电子认证服务机构的授权证明文件;
(二)具有与电子认证服务机构一致的安全策略及运营管理规范,并通过电子认证服务机构的审批;
(三)具有与拟开展的业务相适应的人员配置,有满足岗位技能要求的人员分别承担认证服务、系统运行维护和安全管理的职能;
(四)具有与拟开展的业务相适应的运营场所和物理环境,建有注册审核系统(以下简称“RA系统”)的注册机构,其运营场所的不同功能区必须进行安全分割,并设有门禁、入侵检测等安全防护措施,能有效防止、及时发现对运营场所的非授权进入,必须有专门的机房放置、运行系统,并对RA系统采用同CA认证系统相同的安全防护措施;
(五)具有与拟开展的业务相适应的软件系统和硬件设备;
(六)具有与拟开展的业务相适应的运营、服务、技术支持和安全保障机制;
(七)法律、行政法规规定的其他条件。
第三章 备案内容与程序
第七条 电子认证服务机构应制定注册机构设立、撤销和管理规范,并及时向工业和信息化部报备。
第八条 电子认证服务机构在设立注册机构后十五日内,应当向工业和信息化部报备。备案材料包括:
(一)电子认证服务机构的授权证明文件;
(二)机构资质证明文件(工商营业执照、税务登记证、事业单位法人证书、组织机构代码证的复印件,并加盖公章);
(三)电子认证服务合作协议或合同(复印件,并加盖公章);
(四)注册机构的人员配备承诺或证明材料(人员配备承诺书复印件、人员聘用合同复印件、关键岗位人员资质证明复印件等);
(五)注册机构的运营管理材料;
(六)注册机构介绍(1000字);
(七)注册机构的其他需备案材料。
设置RA系统的注册机构还需备份以下材料:
(一)经营场所证明文件(房屋产权或租赁合同复印件,并加盖公章);
(二)注册机构的设施和物理环境相关材料;
(三)注册机构的运营场所外观及服务区照片。
第九条 工业和信息化部对提交的备案材料进行形式审查。
材料齐全的,由工业和信息化部予以备案;材料不齐全的,当场或者在五个工作日内一次告知需要补全的材料。
第十条 当注册机构变更机构名称、住所、法定代表人等事项,以及物理设施、经营场所、人员等发生重大变化时,电子认证服务机构应当在十五日内向工业和信息化部报备。
第十一条 电子认证服务机构在撤销注册机构后十五日内,应当向工业和信息化部报告。由工业和信息化部予以公告,并撤销备案登记,归档所有已备案材料。
第十二条 由工业和信息化部公布已备案的注册机构名录。
第四章 对注册机构的管理
第十三条 电子认证服务机构负责对其设立或合作设立的注册机构的设立、运营、撤销进行管理,并按照本要求的规定向工业和信息化部报备。工业和信息化部通过备案管理,对注册机构的设立、运营、撤销进行监督。
第十四条 电子认证服务机构应根据其制定的相关规范,受理和审批其注册机构的设立申请,核实备案材料,并按照本要求的规定向工业和信息化部报备。
第十五条 电子认证服务机构应公布其已备案的注册机构名录和撤销备案的注册机构名录。
第十六条 电子认证服务机构应公布其注册机构的授权信息。对外公布的授权信息包括但不限于:
(一)授权编号;
(二)授权内容;
(三)注册机构名称及法定代表人;
(四)经营场所和联系办法;
(五)授权期限;
(六)其他根据国家法律、法规规定应予对外公布的信息。 第十七条 电子认证服务机构应审核其注册机构的安全策略及运营管理规范,包括认证服务流程与规范、系统运行维护流程与规范、人员管理规范等。
第十八条 电子认证服务机构应审核其注册机构的名称、场所、物理设施、人员等重大变更,并根据本要求的规定向工业和信息化部报备。
第十九条 电子认证服务机构应对其注册机构的重大事件(重大系统和关键设备事故、重大财产损失、重大法律诉讼)处理进行监督,并及时向工业和信息化部报告。
第二十条 电子认证服务机构应对其注册机构进行定期、不定期的监督审查,包括法律法规符合性审查和运营规范执行情况审查。
第二十一条 电子认证服务机构应对由其注册机构持有的电子认证服务业务相关材料(订户身份证明材料、订户合同、依赖方合同等)进行备案。
第二十二条 电子认证服务机构应根据其制定的相关规范,受理和审批其注册机构的撤销申请,监督注册机构的业务承接和
资料转移工作,并按照本要求的规定向工业和信息化部报告。
第二十三条 工业和信息化部对电子认证服务机构的注册机构管理进行监督检查。根据需要,可开展对注册机构的现场检查,电子认证服务机构应积极配合工业和信息化部的检查工作。
第五章 附 则
第二十四条 本规定自 年 月 日起施行。