电子认证业务规则规范(试行)
信息产业部电子认证服务管理办公室
2005年4月
说明
为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。
信息产业部电子认证服务管理办公室
2005年4月
电子认证业务规则规范(试行)
一、电子认证业务规则的主要组成部分
电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。
(一)概括性描述
(二)信息发布与信息管理
(三)身份标识与鉴别
(四)证书生命周期操作要求
(五)认证机构设施、管理和操作控制
(六)认证系统技术安全控制
(七)证书、证书吊销列表和在线证书状态协议
(八)认证机构审计和其他评估
(九)法律责任和其他业务条款
二、主要组成部分的内容说明
(一)概括性描述
对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。
1、概述
对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。
2、文档名称与标识
关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。
3、电子认证活动参与者
* 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。
* 订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。
* 依赖方,依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是一个订户。
* 其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。
4、证书应用
* 所颁发证书适用的证书应用列表或者类型,如电子邮件、零售交易、合同、旅游订单等。
* 所颁发证书禁止的证书应用列表或者类型。
5、策略管理
描述负责起草、注册、维护和更新当前电子认证业务规则的组织名称和邮件地址,联系人姓名、电子邮件地址、电话号码和传真号码。作为一种替代方案,可不指定真实人,而是定义一个称谓或角色、一个电子邮件别名或其他通用的联系信息。
主管部分也可能会制定专门的证书策略,并可指定某个电子认证服务机构的电子认证业务规则符合某种证书策略。如果这样,则需要在此声明批准电子认证业务规则的人或机构,包括名称、电子邮件、电话、传真以及其他常用信息,并说明批准流程。
6、定义和缩写
文档中所使用术语的定义一览表,还包括缩略语及其含义的一览表。例如:
电子认证服务机构(CA)
注册机构(RA)
证书策略(CP)
电子认证业务规则(CPS)
证书吊销列表(CRL)
在线证书状态协议(OCSP)
电子签名认证证书(证书)
电子签名人(证书持有者、订户)
电子签名依赖方(证书使用者、依赖方)
私钥(电子签名制作数据)
公钥(电子签名验证数据)
(二)信息发布与信息管理
描述任何与认证信息发布相关的内容,包括信息库的运营者、运营者的职责、信息发布的频率以及对所发布信息的访问控制等。
1、运营信息库的实体标识,如电子认证服务机构、或独立信息库服务提供者。
2、运营者发布其业务实践、证书和证书当前状态的职责,标识出对公众可用和不可用的项、子项和元素。
3、信息发布的时间和频率。
4、对发布信息的访问控制,包括CP、CPS、证书、OCSP和CRL。
(三)身份标识与鉴别
描述电子认证服务机构在颁发证书之前,对证书申请者的身份和其他属性进行鉴别的过程,以及标识和鉴别密钥更新请求者和吊销请求者的方法。说明命名规则,包括在某些名称中对商标权的承认问题。
1、命名
* 分配给实体的名称类型,如X.500甄别名、RFC-822名称、X.400名称。
* 名称是否一定要有意义。
* 订户是否能够使用匿名或假名,如果可以,订户可以使用或将被分配给什么样的名称。
* 理解不同名称形式的规则,如X.500标准和RFC-822。
* 名称是否需要唯一。
* 对商标的承认、鉴别。
2、初始身份确认
* 对机构申请者的组织身份进行身份标识和鉴别的要求,如咨询提供组织身份识别服务的数据库、或检查组织的资质文件。
* 对于个人订户或代表组织订户的个人进行身份标识和鉴别的要求。
* 在初始注册中没有验证的订户信息列表。
* 对机构的验证涉及确定一个人是否具有特定的权力或许可,包括代表组织获取证书的许可。
3、密钥更新请求中的标识与鉴别
针对于密钥更新中对每个实体身份标识和鉴别过程,说明下列元素。
* 常规密钥更新中对身份标识和鉴别的要求,如使用当前有效密钥对包含新密钥的密钥更新请求进行签名。
* 证书被吊销后密钥更新中对身份标识和鉴别的要求,如使用原始身份验证相同的流程。
4、吊销请求中的标识与鉴别
描述对每个实体类型(电子认证服务机构、注册机构、订户或其他参与者)吊销请求的身份标识和鉴别过程。
(四)证书生命周期操作要求
说明在证书生命周期方面对电子认证服务机构及相关实体的要
求,注册机构、订户或其他参与者的要求,在每个子项中可能需要对电子认证服务机构、注册机构、订户或其他参与者予以分别考虑。
1、证书申请
* 提交证书申请的实体,如证书申请者或注册机构。
* 实体在提交证书申请时所使用的注册过程,以及在此过程中各方的责任。为了接收证书申请,电子认证服务机构或注册机构可能负有建立注册过程的责任。同样,证书申请者可能负有在其证书申请中提供准确信息的责任。
2、证书申请处理
描述处理证书申请的过程。例如,为了验证证书申请,电子认证服务机构或注册机构可能要执行身份标识和鉴别流程,根据这些步骤,电子认证服务机构或注册机构将可能依照某些准则或者批准或者拒绝该证书申请。最后,要设置电子认证服务机构或注册机构必须受理并处理证书申请的时间期限。
3、证书签发
* 在证书签发过程中电子认证服务机构的行为,如电子认证服务机构验证注册机构签名和确认注册机构的权限、并生成证书的过程。* 电子认证服务机构签发证书时对订户的通告机制,如电子认证服务机构用电子邮件将证书发送给订户或注册机构,或者用电子邮件将允许订户到网站下载证书的信息告知用户。
4、证书接受
* 构成申请者接受证书的行为。这种行为可以包括表示接受的确认
步骤、暗示接受的操作、没能成功反对证书或其内容。
* 电子认证服务机构对证书的发布方式,例如电子认证服务机构可以将证书发布到X.500或LDAP证书库。
* 电子认证服务机构在颁发证书时对其他实体的通告,例如,电子认证服务机构可能发送证书到注册机构。
5、密钥对和证书的使用
描述与密钥对和证书使用相关的责任。
* 与订户使用其私钥和证书相关的订户责任。例如,订户可能被要求只能在恰当的应用范围内使用私钥和证书,这些应用在CP中设置,并且与有关的证书内容相一致(如密钥用途字段)。
* 与使用订户公钥和证书相关的依赖方责任。例如,依赖方只能在恰当的应用范围内依赖于证书,这些应用在CP中设置,并且与有关的证书内容相一致(如密钥用途扩展)。
6、证书更新
证书更新指在不改变证书中订户的公钥或其他任何信息的情况下,为订户签发一张新证书。
* 进行证书更新的情形,如证书已到期,但策略允许继续使用相同的密钥对。
* 请求更新的实体,如订户、注册机构或电子认证服务机构可以自动更新订户证书。
* 为签发新证书,电子认证服务机构或注册机构处理更新请求的过程,如使用令牌,比如口令,来重新鉴别订户、或使用与原始签发证
书相同的过程。
* 颁发新证书给订户时的通告。
* 构成接受更新证书的行为。
* 电子认证服务机构对更新证书的发布。
* 电子认证服务机构在颁发证书时对其他实体的通告。
7、证书密钥更新
证书密钥更新指订户或其他参与者生成一对新密钥并申请为新公钥签发一个新证书。
* 证书密钥更新的情形,如因私钥泄漏而吊销证书之后、或者证书到期并且密钥对的使用期也到期之后。
* 可以请求证书密钥更新的实体,如订户。
* 为签发新证书,电子认证服务机构或注册机构处理密钥更新请求的过程。
* 颁发新证书给订户时的通告。
* 构成接受密钥更新证书的行为。
* 电子认证服务机构对密钥更新证书的发布。
* 电子认证服务机构在颁发证书时对其他实体的通告。
8、证书变更
证书变更指改变证书中除订户公钥之外的信息而签发新证书的情形。
* 证书变更的情形,如名称改变等而造成的实体身份改变。
* 可以请求证书变更的实体,如订户或注册机构。
* 为签发新证书,电子认证服务机构或注册机构处理证书变更请求的过程,如采用与原始证书签发相同的过程。
* 颁发新证书给订户时的通告。
* 构成接受变更证书的行为。
* 电子认证服务机构对变更证书的发布。
* 电子认证服务机构在颁发证书时对其他实体的通告。
9、证书吊销和挂起
* 证书挂起的情形和证书必须吊销的情形,例如订户合同期满、密码令牌丢失或怀疑私钥泄漏。
* 可以请求吊销证书的实体,例如对最终用户证书而言,可能是订户、注册机构或电子认证服务机构。
* 证书吊销请求的流程,如由注册机构签署的消息、由订户签署的消息或由注册机构电话通知。
* 订户可用的宽限期,订户必须在此时间内提出吊销请求。
* 电子认证服务机构必须处理吊销请求的时间。
* 为检查其所依赖证书的状态,依赖方可以或必须使用的检查机制。
* 如果使用CRL,其发布频率是多少。
* 如果使用CRL,产生CRL并将其发布到证书库的最大延迟是多少(也就是在生成CRL之后,在将其发布到证书库中所用的处理和通信相关最长延迟)。
* 在线证书状态查询的可用性,例如OCSP和状态查询的Web网
站。
* 依赖方执行在线吊销状态查询的要求。
* 吊销信息的其他可用发布形式。
* 当因为私钥损害而造成证书吊销或挂起时,上述规定的不同之处(与其他原因造成吊销或挂起相比)。
* 证书挂起的情形。
* 可以请求证书挂起的实体,例如对于最终用户证书而言,订户、订户的上级、或者注册机构。
* 请求证书挂起的过程,如由订户或注册机构签署的消息、或由注册机构电话请求。
* 证书挂起的最长时间。
10、证书状态服务
* 证书状态查询服务的操作特点。
* 查询服务的可用性,以及服务不可用时的适用策略。
* 查询服务的其他可选特征。
11、停止使用认证服务
说明订户停止使用电子认证服务时所使用的过程。
* 停止使用认证服务时的证书吊销(依赖于停止使用认证服务是因为证书到期,还是因为服务终止,可能会有所不同)。
12、密钥生成、备份和恢复
说明与私钥生成、备份和恢复相关的策略和业务实践(通过电子认证服务机构或其他可信第三方)。
* 包含私钥生成、备份和恢复的策略和实践的文档标识,或此类策略和实践一览表。
* 包含会话密钥封装和恢复的策略和实践的文档标识,或此类策略和实践一览表。
(五)认证机构设施、管理和操作控制
描述物理环境、操作过程和人员的安全控制。电子认证服务机构使用这些控制手段来安全地实现密钥生成、实体鉴别、证书签发、证书吊销、审计和归档等功能。也可定义信息库、注册机构、订户或其他参与者的非技术安全控制。
1、物理控制
* 场所区域和建筑,如对高安全区的建筑要求,使用带锁的房间、屏蔽室、保险柜、橱柜。
* 物理访问,也就是从场所的一个区域到另一个区域或进入安全区的访问控制机制。
* 电力和空调。
* 水患防治。
* 火灾预防和保护。
* 介质存储,例如需要在不同的场所利用备份介质进行存储,该场所在物理上是安全的,能够防止水灾和火灾的破坏。
* 废物处理。
* 异地备份。
2、操作过程控制
描述定义可信角色的要求,以及各个角色的责任。可信角色包括系统管理员、安全官员和系统审计员等。声明完成该项任务所需的每个角色人员数,定义对每个角色的身份标识和鉴别要求。按照角色而定义的责任分离,这些角色不能由相同的人承担。
3、人员控制
* 对于充当可信角色或其他重要角色的人员,其需要具备的资格、经历和无过失要求,例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。
* 在招聘充当可信角色或其他重要角色的人员时所需背景审查程序,这些角色可能要求调查其犯罪记录、档案。
* 招聘人员后对每个角色的培训要求和过程。
* 在完成原始培训后对每个角色的再培训周期和过程。
* 在不同角色间的工作轮换周期和顺序
* 对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。
* 对独立签约者而非实体内部人员的控制。
* 在原始培训、再培训和其他过程中提供给员工的文档。
4、审计日志程序
描述事件日志和审计系统,实现该系统的目的在于维护一个安全的环境。
* 记录事件的类型,如证书生命周期操作、对系统的访问企图和对系统的请求。
* 处理或归档日志的周期,如每星期、在报警或异常事件之后,或审计日志已满时。
* 审计日志的保存期。
* 审计日志保护。
* 审计日志备份程序。
* 审计日志收集系统是在实体的内部还是外部。
* 是否对导致事件的实体进行通告。
* 脆弱性评估,如审计数据的运行工具破坏系统安全性的潜在可能性估计。
5、记录归档
描述通用的记录归档(或记录保留)策略。
* 归档记录的类型,例如所有审计数据、证书申请信息、支持证书申请的文档。
* 档案的保存期。
* 档案的保护。
* 档案备份程序。
* 对记录加盖时间戳的要求。
* 档案收集系统是内部还是外部。
* 获得和验证档案信息的程序,如由两个人分别来保留归档数据的两个拷贝,并且为了确保档案信息的准确,需要对这两个拷贝进行比较。
6、电子认证服务机构密钥更替
描述电子认证服务机构产生新密钥,并将新的公钥提供给电子认证服务机构用户的过程。此过程可以与产生当前密钥的过程相同,而且可以用旧密钥为新密钥签发证书。
7、损害和灾难恢复
描述与密钥损害或灾难事件相关的通告和恢复过程要求。
* 适用事件和损害的列表,以及对事件的报告和处理过程。
* 对计算资源、软件和(或)数据被破坏或怀疑被破坏的恢复过程,此过程包括如何重建一个安全环境,哪些证书要吊销,实体的密钥是否被吊销,如何将新的实体公钥提供给用户,以及如何为实体重新发证。
* 对实体私钥泄漏的恢复过程,此过程包括如何重建一个安全环境,如何将新的实体公钥提供给用户,以及如何为实体重新发证。* 自然或其他灾难后实体的业务连续性能力,此能力包括远程热备站点对运营的恢复,也可以包括在灾难发生后到重建安全环境前,或者在原始站点,或者在远程站点保护其设备的程序。
8、电子认证服务机构或注册机构终止
描述与电子认证服务机构或注册机构终止和终止通告相关的过程的要求,包括电子认证服务机构或注册机构档案记录管理者的身份问题。
(六)认证系统技术安全控制
阐述电子认证服务机构为保护其密钥和激活数据(如PIN码、口令字或手持密钥共享)而采取的安全措施。
说明对证书库、订户和其他参与者进行的限制,以保护他们的私钥、私钥激活数据和关键安全参数。
描述电子认证服务机构使用的其他技术安全控制手段,用以安全地实现密钥生成,用户鉴别,证书注册,证书吊销,审计和归档等功能。技术控制包含生命周期安全控制(包括软件开发环境安全,可信的软件开发方法论)和操作安全控制。
1、密钥对的生成和安装
* 生成公、私钥对的实体。可能会是订户、注册机构或电子认证服务机构。密钥对的生成实现方式。
* 私钥安全的提供给实体的方式。可能的方法包括实体自己生成因而自动拥有、用物理的方式将私钥传递给实体、邮寄保存私钥的令牌、或是通过SSL会话传递。
* 实体公钥安全地提供给证书认证服务机构的方式。可能通过在线SSL会话或经注册机构签署的消息。
* 将电子认证服务机构公钥安全地提供给潜在的依赖方的方式。可能的方式包括用人工将公钥发送给依赖方、用物理方式邮寄一份拷贝给依赖方、或通过SSL会话传递。
* 密钥长度。如RSA的模长是1024比特、DSA的大素数是1024比特。
* 生成公钥参数的实体。生成密钥时是否对参数的质量进行检查。* 密钥的使用目的,或者密钥的使用目的限制范围。对于X.509证书,这些目的需要映射到第三版证书的密钥用途标志位。
2、私钥保护和密码模块工程控制
* 用来产生密钥的模块标准。是否存在与密码模块相关的其他工程或控制。如密码模块边界的标定、输入/输出、角色和服务、有限状态机、物理安全、软件安全、操作系统安全、算法一致性、电磁兼容性和自检测等。
* 私钥是否由M选N多人控制。如果是,N和M是多少(两人控制是一个特殊的例子,其中N=M=2)。
* 私钥是否被托管。私钥托管的机构,密钥托管(如明文、密文、分割密钥)形式,托管系统的安全控制。
* 私钥是否备份。私钥备份机构,私钥备份(如明文、密文、分割密钥)形式,备份系统的安全控制。
* 私钥是否归档。私钥归档机构,私钥归档(如明文、密文、分割密钥)形式,归档系统的安全控制。
* 私钥可以被导入或导出密码模块的条件。执行此类操作的实体,导入/导出时私钥的形式(如明文、密文、分割密钥)。
* 私钥保存在模块中的形式(如明文、密文、分割密钥)。
* 激活(使用)私钥的实体。为激活私钥必须执行哪些操作(例如登录、上电、提供PIN、插入令牌/钥匙、自动等等)。一旦私钥被激活,私钥是活动无限长的时间、只活动一次、还是活动于一个定义的时间段。
* 解除私钥激活状态的实体以及方式。解除私钥激活状态的方式包括退出、切断电源、移开令牌/钥匙,自动冻结或者有效期届满。
* 销毁私钥以及方式。销毁密钥的方式包括交出令牌、销毁令牌或者重写密钥。
* 密码模块在下列方面的内容及性能:边界的标定、输入/输出、角色和服务、有限状态机、物理安全、软件安全、操作系统安全、算法一致性、电磁兼容性和自检测。
3、密钥对管理的其他方面
* 公钥是否归档,归档机构实体以及归档系统的安全控制。
* 颁发给订户的证书的操作期,订户密钥对的使用期或生命期。
4、激活数据
说明激活数据的组成和生命周期。
5、计算机安全控制
描述计算机安全控制,计算机系统的安全级别,评估分析和测试。
6、生命周期安全控制
描述系统开发控制、安全管理控制和生命周期安全等级,系统开发控制包括开发环境安全、开发人员安全、产品维护期的配置管理安全、软件工程实施、软件开发方法论、模块化、层次化、使用容错设计和实现技术(如防御性编程)、以及开发工具安全。
安全管理控制包括执行工具和程序,保证操作系统和网络符合设置的安全标准。
7、网络安全控制
说明与网络安全相关的控制,如防火墙、防病毒、入侵检测等。
8、时间戳
说明与对不同数据使用时间戳相关的要求或业务实践,还可声明时间戳应用是否需要使用可信时间源。
(七)证书、证书吊销列表和在线证书状态协议
说明证书、证书吊销列表和在线证书状态协议的格式,包括描述、版本号和扩展项的使用。
1、证书
* 支持的版本号。
* 证书的扩展项及其关键性。
* 密码算法对象标识符。
* 电子认证服务机构、注册机构和订户所使用的名称形式。
* 名称限制及其形式。
* 证书策略对象标识符。
* 策略约束扩展项的使用。
* 策略限定符的语法和语义。
* 对关键证书策略扩展项的处理规则。
2、证书吊销列表
* CRL支持的版本号。
* CRL和CRL入口扩展项及其关键性。
3、在线证书状态协议
* OCSP版本号。
* OCSP扩展项及其关键性。
中华人民共和国工业和信息化部令 第1号 《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,现予公布,自2009年3月31日起施行。原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。 部长李毅中 二〇〇九年二月二十八日 电子认证服务管理办法 第一章总则 第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。 第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。 本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。 向社会公众提供服务的电子认证服务机构应当依法设立。 第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。 第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。 第二章电子认证服务机构
第五条电子认证服务机构应当具备下列条件: (一)具有独立的企业法人资格。 (二)具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。 (三)注册资本不低于人民币三千万元。 (四)具有固定的经营场所和满足电子认证服务要求的物理环境。 (五)具有符合国家有关安全标准的技术和设备。 (六)具有国家密码管理机构同意使用密码的证明文件。 (七)法律、行政法规规定的其他条件。 第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。 (二)人员证明。 (三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。 (四)经营场所证明。 (五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。 (六)国家密码管理机构同意使用密码的证明文件。 第七条工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。 第八条工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。 第九条工业和信息化部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。 第十条工业和信息化部应当自接到申请之日起四十五日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发《电子认证服务许可证》,并公布下列信息: (一)《电子认证服务许可证》编号。 (二)电子认证服务机构名称。 (三)发证机关和发证日期。 电子认证服务许可相关信息发生变更的,工业和信息化部应当及时公布。
信息系统运行维护 技术服务规范 审核:XXX 批准:XXX 版本:BS—YWFW—19002 受控状态:受控 XXXXXX科技有限公司
1前言 《信息系统运行维护技术服务规范》本指导性文件由XXXXXX科技有限公司提出。本规范得提出就是为了规范公司运维部门得运维管理工作,使得相关工具有持续改善性及相互协作性,支撑公司系统得健康得运行,本规范适用于XX XXXX科技有限公司运维服务部门所有岗位人员. 2范围 本部分规定了本规范中信息系统设备运行维护技术服务规范,包括设备、软件、服务运维技术服务体系结构、基本流程与各类系统得运行维护得管理规范. 本部分主要适用于信息系统设备安全运行维护技术服务工作得要求,供各相关负责部门在开展信息系统安全运维服务过程中参照执行。 3规范性引用文件 下列文件中得条款通过本部分得引用而成为本部分得条款。凡就是注日期得引用文件,其随后所有得修改单(不包括勘误得内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议得各方研究就是否可使用这些文件得最新版本.凡就是不注日期得引用文件,其最新版本适用于本部分. GB/T 24405、1—2009信息技术服务管理第1部分:规范 GB 1526-89 (ISO 5807-1985 ) 信息处理-数据流程图、程序流程图、系统流程图、程序网络图与系统资源图得文件编制符号及约定GB/T11457—1995软件工程术语 GB/T 5271 信息技术词汇 GB50462-2008 电子信息系统机房施工及验收规范
ISO/IEC 20000-2:2005 信息技术服务管理第2部分:实践规则GB/T14079—93软件维护指南 GB16260-1996 信息技术软件产品评价质量特征及其使用指南 GB/T16680-1996 软件文档管理指南 GB/T 12504—90计算机软件质量保证计划规范 4术语与定义 规范性引用文件中规定得有关术语与定义以及下列术语与定义适用于本部分。 A:系统 指由种类不同得、相互作用得、专门得结构、机器、子功能部件所组成得一个完整得整体。本规范所指系统由系统软件、应用软件、系统硬件与固件、外围设备、网络设备等组成。 B:软件配置 软件配置就是通过在软件生命周期得不同得时间点上对软件配置进行标志并对这些被标志得软件配置项得更改进行系统控制从而达到保证软件产品得完整性与可溯源性得过程。 C:设备 本规范所指“设备”信息系统基础设施中得计算机系统设备、外围设备、网络设备与其它相关电气设备. D:软件 本规范所指“软件”指信息系统中得基础软件、业务软件、办公软件、中间
**集团财务有限公司 电子商业汇票业务管理办法 第一章总则 第一条为规范**集团财务有限公司(以下简称:财务公司)的电子商业汇票业务管理,有效防范电子商业汇票系统风险,健全内部管理和操作流程,促进业务健康发展,根据《中华人民共和国票据法》、《票据管理实施办法》、《支付结算办法》及《电子商业汇票业务管理办法》等有关法律法规,并依据《太原钢铁(集团)有限公司票据资金归集管理办法》,制订本办法。 第二条本办法所称的电子商业汇票是指出票人依托电子商业汇票系统,以数据电文形式制作的,委托付款人在指定日期无条件支付确定金额给收款人或者持票人的票据。电子商业汇票分为电子银行承兑汇票和电子商业承兑汇票。电子银行承兑汇票由银行业金融机构、财务公司承兑;电子商业承兑汇票由金融机构以外的法人或其他组织承兑。电子商业汇票的付款人为承兑人。 电子商业汇票业务包括承兑、贴现、转贴现、再贴现及提示付款等事项。 第三条本办法适用于财务公司所办理的电子商业汇票业务。 经集团公司授权,财务公司办理成员单位的电子商业汇票业务。在财务公司不能满足成员单位需求时,由财务公司统筹安排其它银行办理。 第四条电子商业汇票承兑、贴现业务期限最长不得超过12个月。 第二章办理条件 (一)办理承兑业务须在财务公司已开立存款账户;办理贴现业务可以
在财务公司开立存款账户。 (二)在财务公司取得信用评级并获得授信额度,如需担保则严格按照授信条件要求落实担保措施。 (三)生产经营正常,产品质量和服务较好,具有持续经营能力; (四)财务状况良好,具有支付汇票金额的可靠资金来源,无不良信用记录; (五)财务公司要求的其他条件。 第六条申请办理电子商业汇票业务的申请人应提供以下资料: (一)三证合一的《企业营业执照》原件,未办理三证合一的提供《企业营业执照》、《组织机构代码证》、《税务登记证》(国税、地税)原件,财务公司审查后留取复印件,并在复印件上加盖公章或财务专用章; (二)根据电子票据业务类型,提供相应的申请书并加盖财务专用章和法人名章; (三)财务公司要求提供的其他资料。 第三章电子商业汇票推广 第七条电子商业汇票业务作为集团融资的渠道,且为国家大力推广的金融产品,应当在集团内积极进行推广实施。 第八条集团公司计财部、**股份公司计财部负责在月度财务收支预算中安排电子商业汇票签发预算,合理安排各单位的电子商业汇票使用额度。 在集团内部推广成员单位之间结算使用电子商业汇票进行支付结算,拓宽融资渠道,减少银行借款的使用量,降低融资成本(见附件1)。 第九条财务公司协调各采购部门、销售部门向供应商、客户推广使用电子商业汇票,严格执行财务收支预算,保证电子商业汇票使用额度(见附
电子认证业务规则规范(试行) 信息产业部电子认证服务管理办公室 2005年4月
说明 为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。 信息产业部电子认证服务管理办公室 2005年4月
电子认证业务规则规范(试行) 一、电子认证业务规则的主要组成部分 电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。 (一)概括性描述 (二)信息发布与信息管理 (三)身份标识与鉴别 (四)证书生命周期操作要求 (五)认证机构设施、管理和操作控制 (六)认证系统技术安全控制 (七)证书、证书吊销列表和在线证书状态协议 (八)认证机构审计和其他评估 (九)法律责任和其他业务条款 二、主要组成部分的内容说明 (一)概括性描述 对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。 1、概述
对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。 2、文档名称与标识 关于电子认证业务规则的任何适用名称或标识符,包括对象标识符的说明。 3、电子认证活动参与者 * 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。* 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。 * 订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。 * 依赖方,依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是一个订户。 * 其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。 4、证书应用 * 所颁发证书适用的证书应用列表或者类型,如电子邮件、零售交易、合同、旅游订单等。 * 所颁发证书禁止的证书应用列表或者类型。 5、策略管理
国家标准《电子认证服务机构从业人员岗位技能规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《电子认证服务机构从业人员岗位技能规范》是全国信息安全标准化技术委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20111604-T-469。由北京天威诚信电子商务服务有限公司负责起草。 主要工作过程 2010年6月,北京天威诚信电子商务服务有限公司就召集相关人员举行了第一次会议,成立了标准工作组,就工作组成员、组织形式、工作机制,项目具体研究内容、研究范围,项目工作计划、时间安排、成员单位的任务分工及其它事项达成了一致意见。 2010年8月,标准工作组先后召开了两次规范起草会议,就本规范的编写提纲、编写内容、专业术语、章节编排以及规范具体细节内容开展了多回合的讨论,形成电子认证服务机构从业人员岗位技能规范编写思路。 2011年2月,在全国电子认证服务年会上讨论了本规范初稿,收集整理和各电子认证服务机构反馈的意见,并进行了修改调整,细化了岗位设置,明确了安全要求。 2011年8月,就课题研究进度向安标委WG7工作组领导做了中期汇报。 2012年2月,北京天威诚信电子商务服务有限公司征求安标委WG7工作组相关领导和专家的意见,对关键岗位进行了重新梳理,对从业人员技能要求进行了细化和明确,并突出了电子认证服务行业特殊性。 2012年4月,参加了WG7工作组在北京召开的“信息安全服务标准研讨会”。会议中,天威诚信从标准的框架及作用,信息安全服务类标准的建议等方面对电子认证服务机构从业人员岗位技能规范标准情况进行了详细的汇报,并邀请全国信安标委WG1组专家就信息安全服务标准相关问题进行研讨和交流。 2012年11月,北京天威诚信电子商务服务有限公司形成了草案,并提交安标委。 2013年9月,参加了WG7工作组在北京召开的阶段性专家评审会,会议中
电子认证业务规则规范(试行) 说明 为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。 信息产业部电子认证服务管理办公室 2005年4月 电子认证业务规则规范(试行) 一、电子认证业务规则的主要组成部分 电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。 (一)概括性描述 (二)信息发布与信息管理 (三)身份标识与鉴别 (四)证书生命周期操作要求 (五)认证机构设施、管理和操作控制 (六)认证系统技术安全控制 (七)证书、证书吊销列表和在线证书状态协议 (八)认证机构审计和其他评估 (九)法律责任和其他业务条款 二、主要组成部分的内容说明 (一)概括性描述 对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。
1、概述 对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方式来表达电子认证服务机构的结构。 2、文档名称与标识 关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。 3、电子认证活动参与者 * 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。 * 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。 * 订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。 * 依赖方,依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是一个订户。 * 其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。 4、证书应用 * 所颁发证书适用的证书应用列表或者类型,如电子邮件、零售交易、合同、旅游订单等。 * 所颁发证书禁止的证书应用列表或者类型。 5、策略管理 描述负责起草、注册、维护和更新当前电子认证业务规则的组织名称和邮件地址,联系人姓名、电子邮件地址、电话号码和传真号码。作为一种替代方案,可不指定真实人,而是定义一个称谓或角色、一个电子邮件别名或其他通用的联系信息。 主管部分也可能会制定专门的证书策略,并可指定某个电子认证服务机构的电子认证业务规则符合某种证书策略。如果这样,则需要在此声明批准电子认证业务规则的人或机构,包括名称、电子邮件、电话、传真以及其他常用信息,并说明批准流程。 6、定义和缩写 文档中所使用术语的定义一览表,还包括缩略语及其含义的一览表。例如:
电子认证业务规则规范 电子认证业务规则规范(试行) 电子认证业务规则规范说明 为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前 参考国家标准化部门电子认证系统大多采用基于非对称密钥的PKI技术的现状, 正在制定的相关标准,信息产业部电子认证服务管理办公室编制了电子认证业务规则规范(试行)。电子认证服务机构应参照本规范,结合电子认证业务的具体情况,编制电子认证业务规则。 信息产业部电子认证服务管理办公室 . 2005年4月 . 电子认证业务规则规范(试行) 一、电子认证业务规则的主要组成部分 电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。 (一)概括性描述 (二)信息发布与信息管理 (三)身份标识与鉴别 (四)证书生命周期操作要求 (五)认证机构设施、管理和操作控制 (六)认证系统技术安全控制 (七)证书、证书吊销列表和在线证书状态协议
(八)认证机构审计和其他评估 (九)法律责任和其他业务条款 二、主要组成部分的内容说明 (一) 概括性描述 对电子认证业务规则进行概要性表述,给出文档的名称和标识,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。 1、概述 对电子认证业务规则提供一个概要性介绍,也可用于对电子认证服务机构的概要性描述。例如,可以设定所提供证书的不同保证等级,也可以用图形的方式 1 来表达电子认证服务机构的结构。 2、文档名称与标识 关于电子认证业务规则的任何适用名称或标识符,包括ASN.1对象标识符的说明。 3、电子认证活动参与者 * 电子认证服务机构,也就是证书认证机构,是颁发证书的实体。 * 注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进发起或传递证书吊销请求,代表电子认证服务机构批准更新行身份标识和鉴别, 证书或更新密钥的申请。 * 订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。
电子签章管理办法(试行) 为规范我局电子印章在电子公文及诉讼文书中的使用,保证公文传输的安全、合法、有效,根据《中华人民共和国电子签名法》,参照《国务局关于地方各级人民政府和部门印章管理的规定》等公章管理的相关规定,结合我局实际情况,制定本办法。 第一章电子签章的适用范围 第一条本规定适用于我局通过在线网络流转的各类公文、诉讼文书。 第二条适用电子签章的公文包括通过网上办公系统流转的各类行政文件、办公室文件。未经过网上办公系统流转的公文及党组文件,暂不适用电子签章。 第三条适用电子签章的文书包括:表格类文书、填充类文书、制作类文书(如请示、决定、委托函等)。 第四条加盖电子印章的公文、文书与加盖实物印章的纸质公文、文书具有同等法律效力。但该电子文件的复印稿或经任何形式的电子格式转换稿,不具备相同法律效力。 第二章电子签章的定制和管理 第五条电子签章管理部门为办公室,电子印章的印模由办公室统一制作、颁发。
第六条根据工作需要确定电子签章的数量,统一配发至办公室文书或指定的专人保管和使用,并做好登记工作,电子印章专管人员因事、病、休假等原因不在岗位时,应经办公室主任同意指定他人代管,并做好交接工作。 第七条电子印章使用人员包括运行、维护、申请、管理、打印电子印章的工作人员,要自觉遵守系统运行中相关的规章制度,按照自己的权限,熟悉系统操作,认真完成本人在系统中所承担的工作。 第八条电子印章管理人员应妥善保管好账号和密码,并定期(建议每60天)更改密码。取得账号和初始密码后应立即修改密码,如忘记密码应报信息技术人员进行处理。如因用户使用初始密码、简单密码或者密码外泄等原因造成不良后果的,追究管理人员的责任。 第三章电子签章的使用 第九条电子印章的签署流程与实物印章的加盖流程一致(详见附件)。提起电子签章的公文、文书需按照审批流程通过审批后方可申请加盖电子印章,签章人需审核是否经有签发权人签发后方可使用电子印章。公文、文书未经过审批,不能启动电子签章及在线打印程序。 第十条文书送审批前,撰稿人或承办人应根据文书性质决定启动电子签章还是传统签章。文书一经送电子签章,系统自动设定该文件无法编辑。如确需修改,应重新启动审批程序。
电子合同在线流程规范 (征求意见稿) 引言 合同是交易的桥梁,是商务活动的核心。随着电子商务的发展,利用互联网进行相对复杂商务合同谈判的需求呈现不断增长的趋势。我国已经颁布了《中华人民共和国电子签名法》,为电子合同的应用与推广排除了法律障碍。 相对于传统合同,在网络环境下,电子合同从形式到内容都发生了重大变化,传统合同法律规范已不能完全适应在线订立电子合同的需要。为适应网络经济发展的新形势,制定电子合同在线订立流程规范已经成为一项非常重要的工作。 为规范各类电子商务交易中的合同行为,保护企业和消费者合法权益,营造公平、诚信的交易环境,保障交易安全,促进电子签名的应用和电子商务的快速发展,依据中华人民共和国有关法律法规和相关政策文件制定本标准。 1 范围 本标准规定了电子商务活动当事人在中华人民共和国境内通过互联网在线订立电子合同时可遵循的通用流程规范,以利于提高通过此种方式订立的合同的证据效力。 《中华人民共和国电子签名法》规定不得使用电子签名的领域,包括涉及婚姻、收养、继承等人身关系的;涉及土地、房屋等不动产权益转让的;涉及停止供水、供热、供气、供电等公用事业服务的等不适用本规范。 国务院商务行政主管部门负责对本标准的解释。 2 规范性引用文件 本标准起草过程中参考了下述文件 (1)全国人大:《中华人民共和国合同法》(2003); (2)全国人大:《中华人民共和国电子签名法》(2004); (3)商务部:《商务部关于网上交易的指导意见(暂行) 》(2007); (4)国家工商行政管理总局:《网络商品交易及有关服务行为管理暂行办法》(2010); (5)商务部:《电子商务第三方交易平台服务规范》(2011); (6)国家标准:《电子商务模式标准》(SB/T10518-2009);
认证机构认可规则 中国认证机构国家认可委员会(CNAB)
认证机构认可规则 1 范围 1.1 本文件规定了对认证机构认可的政策和程序,适用于CNAB对从事认证活动的认证机构的认可。 1.2 需要时,对于特别领域或行业,CNAB还将补充相应规定。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。 GB/T 19011-2003质量和(或)环境管理体系审核指南(idt ISO19011:2002) CNAB-AR02认证机构认可资格的暂停与撤销规则 CNAB-AR03认证机构信息通报规则 CNAB-AR04认可标志和国际互认标志的使用规则 CNAB-AR05申诉、投诉和争议处理规则 CNAB-AR06认可收费规则 CNAB-AR07多场所认证机构认可规则 3 术语和定义 3.1 认可规范 CNAB实施认可活动的政策、程序、准则及其说明和应用指南,包括认可规则、认可准则、认可指南和认可方案等文件。 1)认可规则(AR系列)是CNAB实施认可活动的政策和程序,包括通用规则和专项规则等文件。 2)认可准则(AC系列)是CNAB认可的认证机构应满足的基本要求,包括等同采用相关ISO/IEC标准、导则和IAF对相关ISO/IEC标准、导则的应用指南,以及特别行业的特定要求等文件。 3)认可指南(AG系列)是CNAB对认可准则的说明或应用指南,包括通用和专项说明或应用指南等文件。
4)认可方案(AS系列)是针对特别领域或行业对认可规则、认可准则和认可指南的补充。 3.2 认证领域 特定的认证活动类型,如:质量管理体系认证、环境管理体系认证、职业健康安全管理体系认证、食品安全管理体系认证、产品认证等领域。 3.3 认证业务范围 在特定的认证领域内,认证活动所涉及的特定技术领域。 注:可以根据行业或活动的不同特征(如初级生产、制造、服务业等)、产品或服务实现的不同过程(如机械、电子、食品、金融、医疗等)和活动的不同属性(如质量、安全、环境等)、产品标准等进行认证业务范围的分类。根据不同的认证目的,对认证业务范围的分类可能有多种分类方法。 3.4 认可范围 寻求认可或已获得认可的特定的认证服务,如:认可所覆盖的认证领域以及相关认证领域内的特定认证业务范围。 3.5 严重不符合 缺少或未能实施和保持适用的认可规则、认可准则和认证机构质量管理体系文件的一个或多个要求,或根据获得的客观证据,足以怀疑认证机构颁发的认证证书的可信性的评审发现。 3.6 一般不符合 可能发展为严重不符合的评审发现,如: 1)单个或孤立地缺少或未能实施和保持认可规则和认可准则中某一项条款的要求,但其后果对认证机构的质量管理体系尚未构成严重影响;或 2)在实施中未执行或偏离认可规则和认可准则的要求,尚未造成严重后果或对认证结果的可信度未造成严重影响;或 3)违反认证机构有关文件要求,进而没有达到认可规范中某一条款的要求。 3.7 观察项:尚未构成不符合,但需提请认证机构注意或改进的评审发现。 3.8 文件评审:对认证机构提交的质量管理体系文件或材料所实施的评审。 3.9 办公室评审:在认证机构办公场所实施的评审。 3.10 见证评审:对认证机构在其受审核方的场所实施的审核/检查活动进行的评审。 3.11初次评审:对初次申请认可的认证机构或扩大认可领域所实施的评审。
电子认证服务管理办法 第一章总则 第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。 第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。 本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。 向社会公众提供服务的电子认证服务机构应当依法设立。 第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。 第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。 第二章电子认证服务机构 第五条电子认证服务机构应当具备下列条件: (一)具有独立的企业法人资格。 (二)具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。 (三)注册资本不低于人民币三千万元。 (四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。 (六)具有国家密码管理机构同意使用密码的证明文件。 (七)法律、行政法规规定的其他条件。 第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。 (二)人员证明。 (三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。 (四)经营场所证明。 (五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。 (六)国家密码管理机构同意使用密码的证明文件。 第七条工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。 第八条工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。 第九条工业和信息化部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。 第十条工业和信息化部应当自接到申请之日起四十五日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发《电子认证服务许可证》,并公布下列信息: (一)《电子认证服务许可证》编号。 (二)电子认证服务机构名称。 (三)发证机关和发证日期。
合同是交易的桥梁,是商务活动的核心。随着电子商务的发展,利用互联网进行相对复杂商务合同谈判的需求呈现不断增长的趋势。我国已经颁布了《中华人民共和国电子签名法》,为电子合同的应用与推广排除了法律障碍。? 相对于传统合同,在网络环境下,电子合同从形式到内容都发生了重大变化,传统合同法律规范已不能完全适应在线订立电子合同的需要。为适应网络经济发展的新形势,制定电子合同在线订立流程规范已经成为一项非常重要的工作。? 为规范各类电子商务交易中的合同行为,保护企业和消费者合法权益,营造公平、诚信的交易环境,保障交易安全,促进电子签名的应用和电子商务的快速发展,依据中华人民共和国有关法律法规和相关政策文件制定本标准。? 1 范围? 本标准规定了电子商务活动当事人在中华人民共和国境内通过互联网在线订立电子合同时可遵循的通用流程规范,以利于提高通过此种方式订立的合同的证据效力。? 《中华人民共和国电子签名法》规定不得使用电子签名的领域,包括涉及婚姻、收养、继承等人身关系的;涉及土地、房屋等不动产权益转让的;涉及停止供水、供热、供气、供电等公用事业服务的等不适用本规范。? 国务院商务行政主管部门负责对本标准的解释。? 2 规范性引用文件? 本标准起草过程中参考了下述文件? (1)全国人大:《中华人民共和国合同法》(2003);? (2)全国人大:《中华人民共和国电子签名法》(2004);? (3)商务部:《商务部关于网上交易的指导意见(暂行) 》(2007);? (4)国家工商行政管理总局:《网络商品交易及有关服务行为管理暂行办法》(2010);? (5)商务部:《电子商务第三方交易平台服务规范》(2011);? (6)国家标准:《电子商务模式标准》(SB/T10518-2009);? (7)国家标准:《网络交易服务标准》(SB/T10519-2009);? (8)国家标准:《大宗商品电子交易标准》(GB/T18769-2003);? (9)国家标准:《电子商务协议》(GB/T19252-2003);? (10)工业和信息化部:《电子认证服务管理办法》(2009);? (11)工业和信息化部:《互联网信息服务管理办法》(2000);? (12)公安部等:《信息安全等级保护管理办法》(2007)。?
抖音「企业认证」审核标准详解 抖音企业认证有好处: 经认证的企业帐号将享有官方认证的相应权益: 官方认证标示:彰显企业身份,权威信用背书 (未上线)自定义主页头图,品牌推广更直观 (未上线)主页链接跳转,为企业官网内容提供落地平台 (未上线)视频主页置顶,提高重点内容主页内观看优先级抖音「企业认证」服务已上线,企业主用户可以前往抖音直接申请,已经开通头条「企业认证」的用户也可通过帐号关联的方式快速获取抖音认证。 受平台形式和用户群体不同的影响,抖音「企业认证」和头条「企业认证」的审核标准略有不同,以下为抖音「企业认证」审核标准详解,请有认证需求的企业主认证关注,并按要求提交您的审核资料。 请您务必仔细阅读《企业认证审核标准》,特别是不支持认证的行业,请您勿提交认证申请。如有不支持认证的行业提交申请和/或您提交的资质存在无效、不实等情形以及申请认证的账号信息不符合平台要求,将做认证失败或不予通过处理,认证失败或不予通过的不退还审核费用。 一、账号信息 企业号昵称
1.昵称应为基于公司或品牌名或产品的全称或无歧义简称,谨慎使用简称,如“小米”应为“小米公司”,“keep”应为“keep健身”,易混淆类词汇必须添加后缀(公司、帐号、小助手、官方等)。具体业务部门或分公司不得使用简称,如“美的电饭锅”不得申请“美的”; 2.不得以个人化昵称认证企业帐号,如xx公司董事长、xx公司CEO、xx小编等;或系统默认/无意义昵称,如“手机用户123”、“abcd”、“23333”。涉及名人引用但无相关授权的无法通过审核。 3.抖音昵称不允许重名,企业认证采取先到先得的原则,但也不支持恶意抢注,您需提供能够支持您昵称内容的所有相关资质。分公司或分产品线的帐号不建议以总公司昵称入驻,以免影响后续总公司的注册。 4.如体现特定内容,需结合认证信息及其他扩展资料判定。涉及应用类,提供软著,涉及网站,提供ICP截图,涉及品牌及商标,提供商标注册证,,如“下厨房APP”,需提供软著,如“雅诗兰黛”,需提供商标注册证明。 5.昵称宽泛的不予通过,1)拟人化宽泛,如“小神童”,2)范围宽泛,如“学英语”。3)地域性宽泛,如“日本旅游”,不可通过。用户品牌名/产品名/商标名涉及常识性词语时,如“海洋之心”、必须添加后缀,如xxAPP、xx网站、xx软件、xx官方帐号等,否则无法通过审核。 6.昵称中不得包含“最”、“第一”等广告法禁止使用的词语。
★电子签名与电子认证 1.电子签名的概念?分类? 电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子签名具有技术性、排它性、确定性和虚拟性等特征。 {电子签名是以电子形式出现的数据。 电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。 数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。}从广义上讲,凡是能在电子计算机通信中起到证明当事人身份及当事人对文件内容的认可的电子技术手段,都可称为电子签名。 2.电子签名的具体形式 就现阶段的技术发展水平来看,有口令、密码、数字加密、生物特征认证等等,随着计算机技术的不断发展,电子签名的具体形式无疑将会推陈出新。 3.可靠电子签名 我国《电子签名法》本着技术中立的原则,并没有指出哪种技术更为先进或哪种技术是安全的,只是要求该技术满足电子签名法的规定或当事人的自行选择。 具体来说,我国《电子签名法》第13条规定,只要能够同时满足以下四个条件的电子签名就被视为可靠的电子签名: (1)电子签名生成数据用于电子签名时,属于电子签名人专有; (2)签署时电子签名生成数据由电子签名人控制; (3)签署后对电子签名的改动能够被发现; (4)签署后对数据电文内容和形式的改动能够被发现。 可靠的电子签名与手写签名或者盖章具有同等的法律效力,满足识别签名人身份和保证签名人认可文件中的内容两个条件。 4. 电子认证法律关系中的主体、主体之间的关系 一般情况下,电子认证服务活动涉及三方主体:证书持有人、认证服务机构、证书信赖人。认证服务机构与当事人之间的法律关系: (1)认证服务机构与数字证书持有人之间的法律关系 认证服务机构与其数字证书持有人之间是合同关系。
2004年第13号 为了推进全国“三绿工程”建设,促进绿色市场认证工作,建立确保食品安全的流通网络体系,维护消费者权益,根据《中华人民共和国认证认可条例》、《绿色市场认证管理办法》(国家认监委商务部2003年14号公告)有关要求,国家认证认可监督管理委员会、商务部联合制定了《绿色市场认证实施规则》,现予以公告。自公告之日起执行。 二○○四年五月三十一日
编号:CNCA—N—002:2004 绿色市场认证实施规则 2004-5-31发布2004-6-30实施中国国家认证认可监督管理委员会发布
目录 1. 目的和范围 2. 认证准则 3.认证机构 4. 认证人员 5.认证程序 6. 认证证书和认证标(牌)(志) 7.认证变更 8. 认证收费 附件1 《农副产品绿色批发市场》标准审核细则附件2 《农副产品绿色零售市场》标准审核细则
1.目的和范围 1.1 为推进全国“三绿工程”建设,促进绿色市场认证工作,建立确保食品安全的流通网络体系,维护消费者权益,根据《中华人民共和国认证认可条例》(以下简称《认证认可条例》)和《绿色市场认证管理办法》,制定本规则。 1.2 本规则规定了从事绿色市场认证的认证机构(以下简称认证机构)实施绿色市场认证委托的受理、审核和评定的程序及管理的基本要求。 1.3 本规则适用的认证对象包括:蔬菜批发市场、水果批发市场、肉禽蛋批发市场、水产品批发市场、粮油批发市场、调味品批发市场等专营批发市场和农副产品综合批发市场;食品生鲜超市等专营农副产品的零售市场,以及大型综合超市大卖场、仓储式商场、便利店等兼营农副产品的零售场所。 2. 认证准则 相关法律法规及技术规范 GB/T19220 农副产品绿色批发市场 GB/T19221 农副产品绿色零售市场 《农副产品绿色批发市场》标准审核细则 《农副产品绿色零售市场》标准审核细则 3. 认证机构 3.1认证机构设立条件 3.1.1认证机构的设立应符合《认证认可条例》、《绿色市场认证管理办法》相关条款的要求。 3.1.2申请设立认证机构的单位应熟悉农副产品流通行业组织的管理结构、经营环境、设施设备、商品准入过程和信用管理等状况,熟悉食品安全、环境安全管理,熟悉该行业的有关法律、法规、技术标准及其他要求。 3.2.1 设立认证机构应按照《认证认可条例》的有关规定,向国家认监委提出书面申请,并提供相关材料。 3.2.2 国家认监委按照《认证认可条例》有关规定,与商务部共同进行初审。 3.2.3初审合格者,由国家认监委批准设立。 3.3认证机构应按《认证认可条例》)、《绿色市场认证管理办法》和本规则要求从事绿色市场的认证活动。
国家电子政务外网电子认证业务规则 (征求意见稿) 发布时间:年月日 国家电子政务外网管理中心
目录 1 概括性描述10 1.1 概述10 1.2 文档名称与标识11 1.3 电子认证活动参与者11 1.3.1 政务CA 11 1.3.2 注册机构(RA) 12 1.3.3 证书持有者12 1.3.4 依赖(证书)方 12 1.3.5 证书使用者13 1.3.6 其它参与者13 1.4 证书应用错误!未指定书签。1.4.1 证书类型及应用范围错误!未指定 书签。1.4.2 证书禁止使用的情形错误!未指定书签。 1.5 策略管理14 1.5.1 策略文档管理机构14 1.5.2 联系人14 1.5.3 决定电子认证业务说明符合策略的机构14 1.5.4 电子认证业务说明批准程序14 1.6 定义和缩写错误!未指定书签。1.6.1 定义错误!未指定书签。1.6.2 缩 略语错误!未指定书签。 2 信息发布与信息管理15 2.1 认证信息的发布15 2.2 发布的时间或频率16 2.3 信息库访问控制16 3 身份识别与鉴别16 3.1 命名16 3.1.2 对名称有意义的要求 (17) 3.1.3 证书持有者的匿名或伪名17 3.1.4理解不同名称形式的规则 (17) 3.1.5名称的唯一性 (17)
3.1.6商标的识别、鉴别和角色 17 3.2 初始身份确认17 3.2.1 证明拥有私钥的方法17 3.2.2 组织机构身份的鉴别18 3.2.3 个人身份鉴别18 3.2.4 没有验证的证书持有者信息 18 3.2.5 授权确认18 3.3 密钥更新请求的标识与鉴别19 3.3.1 常规密钥更新的标识与鉴别19 3.3.2 吊销后密钥更新的标识与鉴别20 3.4 吊销请求的标识与鉴别20 1)在证书持有者自己吊销时,可接受的鉴别过程如下:20 4 证书生命周期操作要求20 4.1 证书申请20 4.1.1 证书申请实体20 4.1.2 注册过程与责任 21 4.2 证书申请处理21 4.2.1 执行识别与鉴别功能 21 4.2.2 证书申请批准和拒绝 21 4.2.3 处理证书申请的时间 22 4.3 证书签发22 4.3.1 证书签发过程中政务CA和RA注册机构的行为22 4.3.2政务CA和RA注册机构对证书持有者的通告 (22) 4.4 证书接受23 4.4.1 构成接受证书的行为 23 4.4.2 政务CA对证书的发布错误!未指定书签。4.4.3 政务CA对其他实体的通告错误!未指定书签。 4.5 密钥对和证书的使用23 4.5.1 证书使用者私钥和证书的使用23 4.5.2 依赖方公钥和证书的使用24 4.6 证书更新24
关于《有机产品认证实施规则》和《有机产品生 产、加工、标识与管理体系要求》标准换版的认 可转换说明 1 背景 1.1 GB/T 19630:2019 《有机产品生产、加工、标识与管理体系要求》发布 GB/T 19630:2019 《有机产品生产、加工、标识与管理体系要求》于2019年8月30日发布,该标准代替GB/T 19630.1-2011 《有机产品第1部分:生产》,GB/T 19630.2-2011 《有机产品第2部分:加工》,GB/T 19630.3-2011 《有机产品第3部分:标识与销售》,GB/T 19630.4-2011 《有机产品第4部分:管理体系》。 1.2 CNCA-N-009:2019《有机产品认证实施规则》发布 CNCA-N-009:2019《有机产品认证实施规则》于2019年11月6日发布,代替2014年4月23日发布的《有机产品认证实施规则》(认监委2014年第11号公告)。1.3 转换相关的要求 国家认监委于2019年11月6日发布《认监委关于发布新版<有机产品认证实施规则>的公告》(2019年第21号公告),公告要求:新版《有机产品认证实施规则》自2020年1月1日起实施。自2020年1月1日起,认证机构对新申请有机产品认证企业及已获认证企业的认证活动均需依据新版《有机产品认证实施规则》执行。 2 目的和范围 本转换说明旨在根据国家认监委的公告要求,指导已获得CNAS认可的有机产品认证机构有序完成标准和实施规则换版引起的认可转换。 本次认可转换工作涉及《CNAS认可制度体系表》(CNAS-ASC01)中有机产品认证专项认可制度。 3 转换依据 转换工作安排根据国家认监委2019年第21号公告制定。 4 转换期 认可转换期:《有机产品认证实施规则》和《有机产品生产、加工、标识与管理体系要求》换版的认可转换过渡期自本文件实施之日起至2020年12月31日结束。 5 认可转换准备
第六条根据工作需要确定电子签章的数量,统一配发至办公室文书或指定的专人保管和使用,并做好登记工作,电子印章专管人员因事、病、休假等原因不在岗位时,应经办公室主任同意指定他人代管,并做好交接工作。 第七条电子印章使用人员包括运行、维护、申请、管理、打印电子印章的工作人员,要自觉遵守系统运行中相关的规章制度,按照自己的权限,熟悉系统操作,认真完成本人在系统中所承担的工作。 第八条电子印章管理人员应妥善保管好账号和密码,并定期(建议每60天)更改密码。取得账号和初始密码后应立即修改密码,如忘记密码应报信息技术人员进行处理。如因用户使用初始密码、简单密码或者密码外泄等原因造成不良后果的,追究管理人员的责任。 第三章电子签章的使用 第九条电子印章的签署流程与实物印章的加盖流程一致(详见附件)。提起电子签章的公文、文书需按照审批流程通过审批后方可申请加盖电子印章,签章人需审核是否经有签发权人签发后方可使用电子印章。公文、文书未经过审批,不能启动电子签章及在线打印程序。 第十条文书送审批前,撰稿人或承办人应根据文书性质决
定启动电子签章还是传统签章。文书一经送电子签章,系统自动设定该文件无法编辑。如确需修改,应重新启动审批程序。 第十一条电子印章管理人只能通过信息化应用系统对已 经审批的电子文件进行盖章,按规定的份数进行在线打印,并定期生成电子印章签章和在线打印情况汇总表,送办公室统一存档备查。 第十二条电子印章须在专用计算机上使用。使用电子印章,要做到位置准确,印章端正,清晰,防止错盖、斜盖和模糊。第十三条密级文书一律在密级电脑和密级打印机制作和打印。 第十四条定制的单机版电子签章参照本规定执行。该电子印章指定专人限在镇街道工作站文书制作范围内使用,确因工作需要使用单机版电子印章的,须经工作站领导小组办公室主任及本局办公室主任批准,做好登记,用后立即交还。第十五条本办法自下发之日起试行。 附件:电子签章操作流程: 一、文书审批流程 1. 公文文书。公文文书的“审批人”一般为科长或副科长,需经分管局领导审批的为分管局领导。承办人拟稿后,按照传统纸质审批程序逐级送“审批人”审批,“审批人”审批