电子认证服务密码管理办法

国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理

第一条

根据相关法律法规，国家密码管理局负责对电子认证服务提供者使用密码的行为进行监督管理。

第二条

省、自治区、直辖市密码管理机构根据国家密码管理局的委托，负责承担有关管理工作，并依据本办法进行管理。

第三条

电子认证服务提供者为社会公众提供第三方电子认证服务的系统（以下称为电子认证服务系统）应当使用商用密码技术。

第四条

提供电子认证服务的机构应当根据本办法申请《电子认证服务使用密码许可证》。

第五条

申请《电子认证服务使用密码许可证》需要满足以下条件：

1. 具备符合《证书认证系统密码及其相关安全技术规范》的电子认证服务系统；
2. 电子认证服务系统由具有商用密码产品生产资质的单位承建；
3. 电子认证服务系统采用的商用密码产品是国家密码管理局认定的产品；
4. 电子认证服务系统已通过国家密码管理局的安全性审查。

第六条

申请《电子认证服务使用密码许可证》需要向省、自治区、直辖市密码管理机构提交以下材料：

1. 书面申请使用密码；
2. 企业法人营业执照或者企业名称预先核准通知书的复印件；
3. 电子认证服务系统通过安全性审查的通知的复印件。

第七条

省、自治区、直辖市密码管理机构应当在受理申请材料之日起5个工作日内将全部申请材料报送国家密码管理局。

第八条

国家密码管理局应当在收到省、自治区、直辖市密码管理机构报送的材料之日起15个工作日内对申报材料进行审查，并做出是否许可的决定。对于予以许可的，发放《电子认证服务使用密码许可证》；对于不予许可的，应当书面通知申请人并说明理由。

第九条

电子认证服务系统的运行应当符合《证书认证系统密码及其相关安全技术规范》。

如果电子认证服务提供者对其电子认证服务系统进行技术改造，应当事先向国家密码管理局备案具体方案，并在改造完成后向国家密码管理局申请安全性审查，通过审查后方可投入运行。

第十条

未经许可，电子认证服务提供者擅自对电子认证服务系统进行技术改造的，国家密码管理局将责令其改正，并根据情况向信息产业主管部门提出处罚建议。

第十一条

国家密码管理局和省、自治区、直辖市密码管理机构的工作人员如有滥用职权、玩忽职守、徇私舞弊，不依法履行监管职责的行为，将受到行政处分；如果构成犯罪，将依法追究刑事责任。