电子认证服务密码管理办法

第一条 为了规范电子认证服务提供者使用密码的行为，根据《中华人民共和国电子签名法》和《商用密码管理条例》，制定本办法。

第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。

省、自治区、直辖市密码管理机构受国家密码管理局的委托，依据本办法承担有关管理工作。

第三条 电子认证服务提者采用密码技术为社会公众提供第三方电子认证服务的系统（以下称电子认证服务系统）使用商用密码。

第四条 提供电子认证服务，应当依据本办法申请《电子认证服务使用密码许可证》。

第五条 申请《电子认证服务使用密码许可证》应当具备下列条件：

（一）具有符合《证书认证系统密码及其相关安全技术规范》的电子认证服务系统；

（二）电子认证服务系统由具有商用密码产品生产资质的单位承建；

（三）电子认证服务系统采用的商用密码产品是国家密码管理局认定的产品；

（四）电子认证服务系统通过国家密码管理局安全性审查。

第六条 申请《电子认证服务使用密码许可证》应当向省、自治区、直辖市密码管理机构提交下列材料：

（一）  使用密码的书面申请。

（二） 企业法人营业执照或者企业名称预先核准通知书

（复印件）。

（三） 电子认证服务系统通过安全性审查的通知（复印件）。

第七条 省、自治区、直辖市密码管理机构应当自受理申请材料之日起5个工作日内完成初审，并将初审意见和全部申请材料报国家密码管理局。

第八条 国家密码管理局应当自收到省、自治区、直辖市密码管理机构报送的材料之日起15个工作日内对申报材料进行审查，并做出是否许可的决定。予以许可的，发给《电子认证服务使用密码许可证》；不予许可的，书面通知申请人并说明理由。

第九条 电子认证服务系统的运行应当符合《证书认证系统密码及其相关安全技术规范》。

电子认证服务提供者对其电子认证服务系统进行技术改造的，事先将具体方案报国家密码管理局备案，事后向国家密码管理局申请安全性审查，通过审查的方可投入运行。

第十条 电子认证服务提供者擅自对电子认证服务系统进行技术改造的，由国家密码管理局责令改正，并根据不同情况向信息产业主观部门提出处罚建议。

第十一条 国家密码管理局和省、自治区、直辖市密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊，不依法履行监管职责的，给予行政处分；构成犯罪的，依法追究刑事责任。

第十二条 本办法施行前从事电子认证服务的机构拟继续提供电子认证服务的，所使用的电子认证服务系统符合《证书认证系统密码及其相关安全技术规范》并通过国家密码管理机构的技术鉴定的，只需持书面申请领取《电子认证服务使用密码许可证》。

第十三条 《证书认证系统密码及其相关安全技术规范》由国家密码管理局发布。

第十四条 本办法自2005年4月1日起施行。