中华人民共和国密码法

——————————————————————————————————————————————————————————————————————

第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。

——————————————————————————————————————————————————————————————————

释义：本条是关于电子政务电子认证服务管理的规定。

——————————————————————————————————————————————————————————————————

一、电子政务电子认证服务机构认定

电子政务电子认证服务，是指电子认证服务机构采用商用密码技术，通过数字证书，为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。典型的电子政务电子认证服务包括：基于公钥密码技术为政务部门的网上行政审批行为提供身份认证和电子签名服务。

根据《电子签名法》及有关规定，从事电子政务电子认证服务的机构应当经国家密码管理局审查，取得电子政务电子认证服务机构资质认定。截至2019年12月，通过认定的电子政务电子认证服务机构共有49家。电子政务电子认证服务是一种专业技术性很强的特殊服务,直接服务于政务部门的政务活动,涉及范围广,敏感信息多,其质量与安全性直接关系国家安全和社会公共利益,应当采取行政许可的方式对服务机构的电子政务电子认证服务能力进行评估,加强对建设、运维、应用和服务等各环节的行政监管和技术把关,确保其质量与安全性。《密码法》基于维护国家安全和社会公共利益的需要,设立了电子政务电子认证服务机构认定制度。

这里需要说明的是，电子政务电子认证服务机构认定制度与《电子签名法》规定的电子认证服务许可是两项不同的行政许可，不存在重复许可的问题。一是审批的使用领域不同。电子认证服务许可适用于电子商务领域的电子认证服务机构，电子政务电子认证服务机构认定适用于电子政务领域的电子认证服务机构。二是审批对象不同。电子认证服务许可的审批对象只有经营性的企业。电子政务电子认证服务机构认定的审批对象既包括经营性的企业，也包括非经营性、提供公共服务的事业单位。目前经批准的49家电子政务电子认证服务机构中，就有43家企业和6家事业单位。

商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。

二、政务活动中使用的电子签名、数据电文的管理

电子签名、数据电文是《电子签名法》中的概念。电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。传统的签名（手写、印章）必须依附于某种有形的介质，而在电子交易过程，文件是通过电子方式形成的，没有有形介质，这就需要通过一种技术手段来识别交易当事人、保证交易安全，已达到与传统签名相同的功能。这种能够达到与传统签名相同功能的技术手段，就称为电子签名。数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。换句话说，数据电文就是通过电子手段形成的各种信息。

《电子签名法》第三十五条也规定:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”目前,国家密码管理局依据该条的规定管理政务活动中电子签名、数据电文的使用,制定的GM/T0014—2012《数字证书认证系统密码协议规范》、GM/T0047—2016《安全电子签章密码检测规范》、GM/T0044.2—2016《SM9标识密码算法第2部分:数字签名算法》、GM/T0031—2014《安全电子签章密码应用技术规范》等商用密码行业标准,对使用电子签名、数字电文提出了管理要求。

——————————————————————————————————————————————————————————————————

常见问题

我们公司的电子认证服务使用密码许可证将要到期，期满换证申请材料和程序是什么？

答：根据《电子认证服务密码管理办法》第十二条规定，《电子认证服务使用密码许可证》应当在有效期届满30日前向国家密码管理局提出申请。国家密码管理局根据申请，在许可证有效期满前作出是否准予延续的决定。为了方便行政相对人申请延续办证，国家密码管理局简化申请材料要求和审查程序，委托各省（区、市）密码管理局受理延续申请和现场核查，由省级密码管理局提出意见，报国家密码管理局审批（必要时国家密码管理局进行抽查）。详情见《电子认证服务使用密码许可服务指南》。

公司今年计划对CA系统软件进行升级，扩展证书管理功能，更新升级防护措施，并计划明年整体迁址，应当履行什么手续？

答：根据《电子认证服务密码管理办法》第十五条规定，电子认证服务提供者对其电子认证服务系统进行技术改造或者进行系统搬迁的，应当将有关情况书面报国家密码管理局，经国家密码管理局同意后方可继续运行。必要时，国家密码管理局可以组织对电子认证服务系统进行安全性审查和互联互通测试。

我们单位是地方政府部门的内设机构，专门从事信息化工作，单位性质是事业单位，根据信息化发展需求和工作需要，我们计划对外提供数字证书服务业务，不知事业单位是否能申请电子认证服务使用密码许可证？

答：《电子认证服务密码管理办法》第七条规定，电子认证服务使用密码许可证申请人应当为企业法人,事业单位不能申请电子认证服务使用密码许可证。但为了保证电子认证密码使用安全，可以向国家密码管理局申请电子认证系统安全性审查，通过安全性审事业单位能否申请电子认证服务使用密码许可证查的，发给通过安审的通知。

《电子认证服务密码管理办法》规定，提供电子认证服务，应当申请电子认证服务使用密码许可证，请问申请使用密码许可证应当符合什么条件？

答：根据《电子认证服务密码管理办法》有关规定，电子认证服务使用密码许可条件是：电子认证服务系统由具有商用密码产品生产资质的单位承建；电子认证服务系统符合《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》等标准规范要求；电子认证服务系统采用的商用密码产品是国家密码管理局认可的产品；电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求；电子认证服务系统采用的信息安全产品是国家有关部门或机构认定的产品；电子认证服务系统通过国家密码管理局安全性审查和互联互通测试。

电子认证服务系统建设所使用的电磁屏蔽机房应该达到什么标准的屏蔽效能？

答：《电子认证服务密码管理办法》明确规定，电子认证服务系统建设和运行应当符合证书认证系统密码及其相关安全技术规范。根据《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》（GM/T 0034-2014）有关要求，电子认证服务系统所使用的电磁屏蔽机房屏蔽效能应达到《处理涉密信息的电磁屏蔽室的技术要求和测试方法》（BMB 3-1999）中C级要求。

内容来源：《中华人民共和国密码法释义》 童卫东 李兆宗主编

————————————————————————— 网安检测公司主营业务介绍 —————————————————————————

商用密码应用安全性评估服务：对采用商用密码算法、技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估，帮助关键信息基础设施等相关信息系统密码应用符合法律法规和标准规范要求。

ISO27001体系建设咨询服务：基于ISO/IEC27001体系框架和标准，帮助客户在其组织内部建立一套适当、可落地、全局性和可视化的信息安全政策、管理制度、操作流程和执行记录的信息安全管理体系，并协助通过ISO 27001认证。

网络安全等级保护测评服务：依据公安部关于网络安全等级保护的有关法律法规和要求，对用户方的重要二/三/四级信息系统的网络安全等级保护状况进行评估、咨询和评测，全面、完整地了解网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况以及系统的整体安全性，出具安全等级测评的结论；指出该系统存在的安全问题并提出相应的整改建议，出具《网络安全等级保护测评报告》。

信息系统审计服务：依据国家法律法规和行业监管，客观独立地审查和评价信息系统规划设计、开发、运营等生命周期中涉及的设施、流程、技术、管理和资源存在的风险、控制和价值实现，为高级管理层实施治理决策提供重要依据，满足监管合规要求。

ICP/EDI评测服务：包含符合性评测与风险评估。符合性评测根据相关规范的要求，针对物理环境安全、基础网络安全、设备与系统安全、业务与应用安全、安全管理等领域16个层面进行标准符合性评测，查找差距，提出整改建议，促进信息系统符合通信行业标准要求。风险评估内容包含技术风险评估与管理风险评估，评估和分析在基础网络架构、信息系统上存在的安全技术风险与管理组织存在的这些脆弱性，指导用户方的信息安全保障建设，促进用户方安全管理水平和安全技术保护能力的提高，增强用户方的信息安全风险管理意识，降低用户方信息系统安全风险，确保信息系统的安全稳定运行。

APP个人信息安全合规评估服务：在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面，为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持，确保APP个人信息保护满足监管要求。

信息安全风险评估服务：立足于全局观角度，根据行业与业务特点、信息系统生命周期过程，并融合多项安全标准规范，开展安全风险识别和安全能力评估，识别信息安全隐患、威胁以及所形成的安全风险，提出整改和优化建议，全面提高安全管理水平并落实监管要求。

安证云第三方电子数据保全服务：提供面向重点行业（政府行政服务、医疗卫生、教育、互联网金融、游戏、直播、众筹等）行为存证的电子数据证据保管、取证、鉴定、出证和高级安全防护的一体化支撑服务，加强数据的属地化管理，帮助客户一站式解决诉讼前和诉讼中的“取证难，举证难，出证难”等问题。

安全培训：提供CISP攻防领域渗透测试⽅向PTE/PTS（注册信息专业⼈员渗透测试⼯程师/专家），应急响应⽅向IRE/IRS（注册信息安全专业⼈员应急响应⼯程师/专家）等培训服务。