关于印发《国家机械工业局计算机网络系统保密管理暂行办法》的通知
国家机械工业局
关于印发《国家机械工业局计算机网络系统保密管理暂行办法》的通知
1999年6月3日,国家机械工业局
局机关各司室、在京直属单位:
根据国家保密局《计算机信息系统保密管理暂行规定》(国保发〔1998〕1号)和《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发〔1998〕6号),结合我局的实际情况,特制定《国家机械工业局计算机网络系统保密管理暂行办法》,现印发给你们,请认真照此执行。
第一条 计算机信息网络是提高办公效率的现代化手段,随着社会信息化进程的加快,越来越多的信息将利用计算机网络进行传输交换。而政府信息网及相关对口网络中相当一部分信息涉及国家的政治、经济机密。为了加强新形势下的保密工作,同时更好地运用网络技术为振兴机械工业服务,特制定国家机械工业局计算机网络系统保密管理暂行办法。
第二条 局系统计算机信息网络要严格执行中央办公厅、国务院办公厅、国家保密局印发的所有信息系统保密管理暂行规定和加强保密工作的规定。
第三条 局保密委员会全面负责局机关和在京直属单位的保密工作。局办公室和行业管理司在保密委员会的领导下具体负责局机关以及在京直属单位计算机网络系统的保密工作。局内各司局及在京直属单位分管保密工作的领导负责本单位计算机网络系统的保密工作。
第四条 局系统计算机及网络系统在规划和建设中,必须采取相应保密措施,与外界联接的通道必须设置防火墙,重要的内部信息必须限定在一定的局域网内。
第五条 网络上传递信息的保密要求要与文件密级管理一致,必须建立严格的审批、处理、传递、使用和销毁程序。并接受局保密办的统一监督检查指导。
第六条 网络上传递的统计信息及数据库由行业管理司统一管理,数据在规定解密的期限内,不允许在公开网络上转载,涉及企业商业秘密的信息(如:利润、成本、产品价格、库存等指标)不允许上网。其他业务工作的涉密界定按原机械工业部《关于印发〈机械工业国家秘密及其密级具体范围的规定〉的通知》(机械办〔1996〕1071号)确定并由相关业务部门会同局保密办审核、把关、管理。
第七条 局机关及在局楼内办公的所有单位计算机网,一律由局委托经济信息中心承担设计和安装、维护。并提供接入互联网的统一出口。各单位计算机接入国际互联网,必须经本单位领导同意,报局行业管理司批准,上网费用各单位自付。
第八条 各单位采取拨号上网必须经本单位领导同意,并报局办公室、行业管理司备案登记。上网费用及电话费用自付。
第九条 局机关局域网(OA网)已在大部分办公室布线,是机关内部办公网,楼内其他单位未经行业管理司允许不得擅自接入OA网。
第十条 局机关及大楼内所有单位设内部办公局域网传递信息时,不要干扰和移动OA网线,在按工作需要接通计算机并进行技术培训的同时也必须制订相应的保密措施。
第十一条 计算机网络接入国际互联网的单位必须建立使用管理制度和保密措施。要加强对使用人员的管理,由经过培训的专人负责,确保计算机网络接入互联网后不发生泄密事件。
第十二条 通过国际互联网输出或下载有关信息时,必须经本单位领导批准,并做好登记,以备核查。
第十三条 各单位要按照有关规定,对电子邮件、下载软件和新程序、新软件使用前进行检查,防止BO黑客等有害程序和病毒的侵入。
第十四条 接入国际互联网的计算机要专机专用,该机不得打印机械办〔1996〕1071号文内规定的涉密材料,不得储存秘密级以上文件。联网机器采取严格的技术安全措施,以防失密现象发生。
第十五条 使用联网计算机人员,应当自觉遵守国家有关法律和行政法规,严格执行保密制度,不得利用网络从事危害国家安全,泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播政治谣言、妨碍社会安定以及淫秽色情的信息。
第十六条 行业管理司负责我局计算机网络的监管工作,如发现违反上述规定的事件,将会同局保密办责令拆除连接,并视情节追究有关人员的责任。
第十七条 本办法适用于局机关(包括楼内所有办公单位)及在京直属单位。
第十八条 本办法自颁布之日起实行。
第十九条 本办法由局办公室和行业管理司负责解释。
电子认证服务管理办法
信息产业部
中华人民共和国信息产业部令
第35号
《电子认证服务管理办法》已经2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过,现予发布,自2005年4月1日起施行。
部 长:王旭东
二00五年二月八日
电子认证服务管理办法
第一章 总 则
第一条 为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,依照《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条 本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。
本办法所称电子认证服务提供者,是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构(以下称为“电子认证服务机构”)。
第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条 中华人民共和国信息产业部(以下简称“信息产业部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章 电子认证服务机构
第五条 电子认证服务机构,应当具备下列条件:
(一)具有独立的企业法人资格;
(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;
(三)注册资金不低于人民币三千万元;
(四)具有固定的经营场所和满足电子认证服务要求的物理环境;
(五)具有符合国家有关安全标准的技术和设备;
(六)具有国家密码管理机构同意使用密码的证明文件;
(七)法律、行政法规规定的其他条件。
第六条 申请电子认证服务许可的,应当向信息产业部提交下列材料:
(一)书面申请;
(二)专业技术人员和管理人员证明;
(三)资金和经营场所证明;
(四)国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证;
(五)国家密码管理机构同意使用密码的证明文件。
第七条 信息产业部对提交的申请材料进行形式审查,依法作出是否受理的决定。
第八条 信息产业部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。
第九条 信息产业部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。
第十条 信息产业部自接到申请之日起四十五日内作出许可或者不予许可的书面决定。不予许可的,说明理由并书面通知申请人;准予许可的,颁发《电子认证服务许可证》,并公布下列信息:
(一)《电子认证服务许可证》编号;
(二)电子认证服务机构名称;
(三)发证机关和发证日期。
电子认证服务许可相关信息发生变更的,信息产业部应当及时公布。
《电子认证服务许可证》的有效期为五年。
第十一条 取得电子认证服务许可的,应当持《电子认证服务许可证》到工商行政管理机关办理相关手续。
第十二条 取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息:
(一)机构名称和法定代表人;
(二)机构住所和联系办法;
(三)《电子认证服务许可证》编号;
(四)发证机关和发证日期;
(五)《电子认证服务许可证》有效期的起止时间。
第十三条 电子认证服务机构在《电子认证服务许可证》的有效期内变更法人名称、住所、注册资本、法定代表人的,应自完成相关变更手续之日起五日内按照本办法第十二条的规定公布变更后的信息,并自公布之日起十五日内向信息产业部备案。
第十四条 《电子认证服务许可证》的有效期届满要求续展的,电子认证服务机构应在许可证有效期届满三十日前向信息产业部申请办理续展手续,并自办结之日起五日内按照本办法第十二条的规定公布相关信息。
第三章 电子认证服务
第十五条 电子认证服务机构应当按照信息产业部公布的《电子认证业务规则规范》的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向信息产业部备案。
电子认证业务规则发生变更的,电子认证服务机构应当予以公布,并自公布之日起三十日内向信息产业部备案。
第十六条 电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。
第十七条 电子认证服务机构应当保证提供下列服务:
(一)制作、签发、管理电子签名认证证书;
(二)确认签发的电子签名认证证书的真实性;
(三)提供电子签名认证证书目录信息查询服务;
(四)提供电子签名认证证书状态信息查询服务。
第十八条 电子认证服务机构应当履行下列义务:
(一)保证电子签名认证证书内容在有效期内完整、准确;
(二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;
(三)妥善保存与电子认证服务相关的信息。
第十九条 电子认证服务机构应当建立完善的安全管理和内部审计制度,并接受信息产业部的监督管理。
第二十条 电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。
电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。
第二十一条 电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:
(一)电子签名认证证书和电子签名的使用条件;
(二)服务收费的项目和标准;
(三)保存和使用证书持有人信息的权限和责任;
(四)电子认证服务机构的责任范围;
(五)证书持有人的责任范围;
(六)其他需要事先告知的事项。
第二十二条 电子认证服务机构受理电子签名认证申请后,应当与证书申请人签订合同,明确双方的权利义务。
第四章 电子认证服务的暂停、终止
第二十三条 电子认证服务机构在《电子认证服务许可证》的有效期内拟终止电子认证服务的,应在终止服务六十日前向信息产业部报告,同时向信息产业部申请办理证书注销手续,并持信息产业部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记。
第二十四条 电子认证服务机构拟暂停或者终止电子认证服务的,应在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务六十日前向信息产业部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。
第二十五条 电子认证服务机构拟暂停或者终止电子认证服务,未能就业务承接事项与其他电子认证服务机构达成协议的,应当申请信息产业部安排其他电子认证服务机构承接其业务。
第二十六条 电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项的处理按照信息产业部的规定进行。
第二十七条 电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务。
第五章 电子签名认证证书
第二十八条 电子签名认证证书应当准确载明下列内容:
(一)签发电子签名认证证书的电子认证服务机构名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务机构的电子签名;
(七)信息产业部规定的其他内容。
第二十九条 有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:
(一)证书持有人申请撤销证书;
(二)证书持有人提供的信息不真实;
(三)证书持有人没有履行双方合同规定的义务;
(四)证书的安全性不能得到保证;
(五)法律、行政法规规定的其他情况。
第三十条 有下列情况之一的,电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验,并对有关材料进行审查:
(一)申请人申请电子签名认证证书;
(二)证书持有人申请更新证书;
(三)证书持有人申请撤销证书。
第三十一条 电子认证服务机构更新或者撤销电子签名认证证书时,应当予以公告。
第六章 监督管理
第三十二条 信息产业部对电子认证服务机构进行年度检查并公布检查结果。
年度检查采取报告审查和现场核查相结合的方式。
第三十三条 取得电子认证服务许可的电子认证服务机构,在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。
第三十四条 电子认证服务机构应当按照信息产业部信息统计的要求,按时和如实报送认证业务开展情况及有关资料。
第三十五条 电子认证服务机构应当对其从业人员进行岗位培训。
第三十六条 信息产业部根据监督管理工作的需要,可以委托有关省、自治区和直辖市的信息产业主管部门承担具体的监督管理事项。
第七章 罚 则
第三十七条 电子认证服务机构向信息产业部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的,由信息产业部依据职权责令改正,并处警告或者五千元以上一万元以下罚款。
第三十八条 信息产业部和省、自治区和直辖市的信息产业主管部门的工作人员,不依法履行监督管理职责的,由信息产业部或者省、自治区和直辖市的信息产业主管部门依据职权视情节轻重,分别给予警告、记过、记大过、降级、撤职、开除的行政处分;构成犯罪的,依法追究刑事责任。
第三十九条 电子认证服务机构违反本办法第十六条、第二十七条的规定的,由信息产业部依据职权责令限期改正,并处警告或一万元以下的罚款,或者同时处以以上两种处罚。
第四十条 电子认证服务机构违反本办法第三十三条的规定的,由信息产业部依据职权责令限期改正,并处三万元以下罚款。
第八章 附 则
第四十一条 本办法施行前已从事电子认证服务的机构拟继续从事电子认证服务的,应在2005年9月30日前依照本办法取得电子认证服务许可;拟终止电子认证服务的,应当对终止业务的相关事项作出妥善安排。自2005年10月1日起,未取得电子认证服务许可的,不得继续从事电子认证服务。
第四十二条 经信息产业部根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。
第四十三条 本办法自2005年4月1日起施行。