1.電子認證服務组织需達到政策法規的各項要求
��《電子簽名法》(2004年版)規定:给予電子認證服務,應具備下列條件:
(1)具有與给予電子認證服務相適應的專業技術人員和管理人員。
(2)具有與给予電子認證服務相適應的資金和經營場所。
(3)具有符合國家安全標準的技術和設備。
(4)具有國家密碼管理组织同意使用密碼的證明文件。
(5)法律����、行政法規規定的其他條件。
��《電子認證服務管理辦法》(2009年版)規定:電子認證服務组织應具備下列條件���:
(1)具有獨立的企業法人資格。
(2)具有與给予電子認證服務相適應的人員。從事電子認證服務的專業技術人員���、運營管理人員��、安全管理人員和客戶服務人員不少於三十名,並且應當符合相應崗位技能要求。
(3)註冊資本不低於人民幣三千萬元。
(4)具有固定的經營場所和滿足電子認證服務要求的物理環境。
(5)具有符合國家有關安全標準的技術和設備。
(6)具有國家密碼管理组织同意使用密碼的證明文件。
(7)法律��、行政法規規定的其他條件。
��《電子政務電子認證服務管理辦法》(209年版)規定:電子認證服務组织應當具備以下條件:
(1)事業法人或者取得電子認證服務許可的國有控股企業法人。
(2)具有經國家密碼管理局批准的電子政務電子認證基礎設施。
(3)具有與從事認證服務相適應的專業技術人員����、運行維護人員����、安全管理人員和服務。
(4)具有與認證服務相適應的運行服務��、應用支持和安全保障等機制。
(5)法律法規規定的其他條件。
��《衛生系統電子認證服務管理辦法》(2009年版)規定:電子認證服務组织面向衛生系統给予電子認證服務應當具備以下必要條件��:
(1)取得工業和信息化部頒發的��《電子認證服務許可證》。
(2)符合��《電子政務電子認證體系建設總體規劃》(國密局聯字(2007)2號)中關於電子認證體系建設的相關要求。
(3)具有符合��《衛生系統電子認證服務規範》��、����《衛生系統數字證書格式規範》����、���《衛生系統數字證書介質技術規範》����、����《衛生系統數字證書應用集成規範》和���《衛生系統數字證書服務管理平台接入規範》等的電子認證服務體系。
(4)符合法律����、行政法規規定的其他條件。
2.電子認證服務组织需滿足業務運營的業務需求
應包括用戶證書服務與用戶證書密鑰服務兩類。用戶證書服務主要包括:
(1)認證業務方面
書申請與審核���、證書籤發��、證書存儲與發佈���、證書更新����、證書撤銷��、證書凍結���、證書狀態查詢��、證書歸檔等。用戶證書密鑰服務主要包括:用戶證書密鑰的產生傳遞/存儲���、用戶證書私鑰激活數據的產生/傳遞存儲��、用戶證書私鑰恢復����、用戶證書密鑰對的更新���、用戶證書私鑰的歸檔和銷毀等。
為保證認證業務的安全性,應加強業務流程的管控,嚴格制定各種業務流程或策略,主要包括證書申請審核流程和規範����、證書更新的自動審核策略��、證書撤銷管理策略和流程����、證書凍結策略和流程���、證書狀態查詢服務策略����、證書歸檔策略����、用戶證書密鑰和私鑰激活數據的傳遞策略����、用戶證書私鑰恢復的管理規定和流程���、用戶證書私鑰歸檔銷毀流程等。
(2)認證系統方面
認證系統功能方面,應符合GBT25056-2010(信息安全技術證書認證系統密碼及其相關安全技術規範)中的要求,能给予用戶證書的申請����、簽發��、存儲����、發佈���、更新����、撤銷���、凍結���、狀態查詢��、歸檔及用戶證書密鑰管理等功能。
認證系統運行方面,應保證各層面的技術和管理安全性,主要包括:網絡系統安全����、主機系統安全���、系統冗餘與備份����、系統運營維護安全管理���、密碼設備安全管理��、CA密鑰和證書管理等。其中,系統冗餘包括:網絡鏈路冗餘����、主機冗餘��、電源冗餘與後備發電等。系統備份包括:軟件與數據備份��、硬件設備備份等。系統運營維護安全管理包括:系統權限管理���、系統操作管理���、系統變更和升級��、賬戶與口令管理����、系統安全監控等。密碼設備安全管理包括:認證系統密碼設備管理��、用戶密碼設備管理等。CA密鑰和證書管理包括:CA密鑰的生成和存儲���、CA私鑰激活數據的管理���、CA密鑰的使用��、備份與恢復����、銷毀��、CA證書的創建和發佈����、更新����、撤銷����、CA密鑰和證書的歸檔等。
(3)物理環境與設施方面
主要包括:運營場地��、運營區域劃分及要求����、安全監控系統���、環境保護與控制設施��、支撐設備����、場地訪問安全管理����、場地監控安全管理����、註冊组织場地安全等其中,運營區域分為:公共區(控制區)���、服務區(限制區)����、管理區(敏感區)���、核心區(機密區)等。安全監控系統包括:門禁����、入侵檢測��、監控錄像等。環境保護與控制設施包括:空氣和溫濕度控制��、防雷擊和接地���、靜電防護���、水患防治��、消防設施等。支撐設備包括:供配電系統���、照明等。
(4)組織與人員管理方面。
主要包括:職能與角色設置���、安全組織��、人員安全管理等。
其中,職能與角色設置中,必要的職能部門]包括:安全策略管理部門��、安全管理部門���、運營管理部門����、人事管理部門���、認證服務部門���、技術服務部門等:必要的崗位角色包括:安全策略管理組織負責人��、安全管理人員����、密鑰管理員���、系統維護員��、鑑別與驗證員��、客戶檔案管理員����、客戶服務員����、審計員��、人事經理等。人員安全管理包括:人員安全策略��、可信背景調查��、人員可信保障��、人員異動處理等。
(5)文檔��、記錄與介質管理方面
主要包括:文檔管理����、記錄管理����、介質管理等。
其中,文檔管理包括:文檔歸類��、註冊组织的文檔����、人員與制度���、文檔保存���、使用控制��、文檔銷毀等,介質管理包括:保管����、使用����、銷毀等。
文檔可分為以下幾類:企業管理類��、安全策略類��、運營管理類���、客戶類,記錄可分為以下幾類:物理場地與設施日常管理記錄����、安全監控記錄����、密碼設備管理記錄���、密碼設備操作使用記錄��、CA證書和密鑰維護記錄��、認證系統運行日誌���、運營網絡安全監測記錄��、認證系統操作日誌����、認證服務記錄等。
(6)業務陆续在性方面。
主要包括:業務陆续在性計劃����、應急處理預案��、災難恢復計劃���、災備中心等。
(7)審計與改進方面。
審計包括系統審計���、運營審計��、註冊组织審計等,系統審計的目標是找出電子認證服務组织系統運行與操作中的風險和問題,並依此用對應的措施和手段,避免安全事故的發生,杜絕問題二次發生。運營審計是為核實電子認證服務组织是否按其業務規則���、規範��、管理制度和安全策略展開業務。註冊组织審計主要含是否法律法規���、安全運營與風險管理等,檢查其是否按有關的安全策略與運營管理規範進行業務。
審計時發現與安全要求不符的事項,應按相應的調整策略和規程適當調整���,必要時對調整後的事項評估,然後實施調整後的事項。
