《電子認證業(yè)務(wù)規則規范（試行）》全文

電子認證業(yè)務(wù)規則規范（試行）


 

為了規范電子認證業(yè)務(wù)規則的基本框架、主要內容和編寫(xiě)格式，根據目前電子認證系統大多采用基于非對稱(chēng)密鑰的PKI技術(shù)的現狀，參考國家標準化部門(mén)正在制定的相關(guān)標準，信息產(chǎn)業(yè)部電子認證服務(wù)管理辦公室編制了電子認證業(yè)務(wù)規則規范（試行）。電子認證服務(wù)機構應參照本規范，結合電子認證業(yè)務(wù)的具體情況，編制電子認證業(yè)務(wù)規則。
 

信息產(chǎn)業(yè)部電子認證服務(wù)管理辦公室

2005年4月

電子認證業(yè)務(wù)規則規范（試行）

一、電子認證業(yè)務(wù)規則的主要組成部分

電子認證業(yè)務(wù)規則是電子認證服務(wù)機構對所提供的認證及相關(guān)業(yè)務(wù)的全面描述。電子認證業(yè)務(wù)規則包括責任范圍、作業(yè)操作規范和信息安全保障措施等內容，主要由以下幾部分組成。

（一）概括性描述

（二）信息發(fā)布與信息管理

（三）身份標識與鑒別

（四）證書(shū)生命周期操作要求

（五）認證機構設施、管理和操作控制

（六）認證系統技術(shù)安全控制

（七）證書(shū)、證書(shū)吊銷(xiāo)列表和在線(xiàn)證書(shū)狀態(tài)協(xié)議

（八）認證機構審計和其他評估

（九）法律責任和其他業(yè)務(wù)條款


二、主要組成部分的內容說(shuō)明

（一）概括性描述
對電子認證業(yè)務(wù)規則進(jìn)行概要性表述，給出文檔的名稱(chēng)和標識，指出電子認證活動(dòng)的參與者及證書(shū)應用范圍，并說(shuō)明對電子認證業(yè)務(wù)規則的管理，最后給出電子認證業(yè)務(wù)規則中使用的定義和縮寫(xiě)。

1、概述
對電子認證業(yè)務(wù)規則提供一個(gè)概要性介紹，也可用于對電子認證服務(wù)機構的概要性描述。例如，可以設定所提供證書(shū)的不同保證等級，也可以用圖形的方式來(lái)表達電子認證服務(wù)機構的結構。

2、文檔名稱(chēng)與標識
關(guān)于電子認證業(yè)務(wù)規則的任何適用名稱(chēng)或標識符，包括ASN.1對象標識符的說(shuō)明。

3、電子認證活動(dòng)參與者
* 電子認證服務(wù)機構，也就是證書(shū)認證機構，是頒發(fā)證書(shū)的實(shí)體。

* 注冊機構，也就是為最終證書(shū)申請者建立注冊過(guò)程的實(shí)體，對證書(shū)申請者進(jìn)行身份標識和鑒別，發(fā)起或傳遞證書(shū)吊銷(xiāo)請求，代表電子認證服務(wù)機構批準更新證書(shū)或更新密鑰的申請。

* 訂戶(hù)，從電子認證服務(wù)機構接收證書(shū)的實(shí)體。在電子簽名應用中，訂戶(hù)即為電子簽名人。

* 依賴(lài)方，依賴(lài)于證書(shū)真實(shí)性的實(shí)體。在電子簽名應用中，即為電子簽名依賴(lài)方。依賴(lài)方可以是、也可以不是一個(gè)訂戶(hù)。

* 其他參與者，如證書(shū)制造機構、證書(shū)庫服務(wù)提供者、以及其他提供電子認證相關(guān)服務(wù)的實(shí)體。

4、證書(shū)應用
* 所頒發(fā)證書(shū)適用的證書(shū)應用列表或者類(lèi)型，如電子郵件、零售交易、合同、旅游訂單等。

* 所頒發(fā)證書(shū)禁止的證書(shū)應用列表或者類(lèi)型。

5、策略管理
描述負責起草、注冊、維護和更新當前電子認證業(yè)務(wù)規則的組織名稱(chēng)和郵件地址，聯(lián)系人姓名、電子郵件地址、電話(huà)號碼和傳真號碼。作為一種替代方案，可不指定真實(shí)人，而是定義一個(gè)稱(chēng)謂或角色、一個(gè)電子郵件別名或其他通用的聯(lián)系信息。

主管部分也可能會(huì )制定專(zhuān)門(mén)的證書(shū)策略，并可指定某個(gè)電子認證服務(wù)機構的電子認證業(yè)務(wù)規則符合某種證書(shū)策略。如果這樣，則需要在此聲明批準電子認證業(yè)務(wù)規則的人或機構，包括名稱(chēng)、電子郵件、電話(huà)、傳真以及其他常用信息，并說(shuō)明批準流程。

6、定義和縮寫(xiě)
文檔中所使用術(shù)語(yǔ)的定義一覽表，還包括縮略語(yǔ)及其含義的一覽

表。例如：

電子認證服務(wù)機構（CA）

注冊機構（RA）

證書(shū)策略（CP）

電子認證業(yè)務(wù)規則（CPS）

證書(shū)吊銷(xiāo)列表（CRL）

在線(xiàn)證書(shū)狀態(tài)協(xié)議（OCSP）

電子簽名認證證書(shū)（證書(shū)）

電子簽名人（證書(shū)持有者、訂戶(hù)）

電子簽名依賴(lài)方（證書(shū)使用者、依賴(lài)方）

私鑰（電子簽名制作數據）

公鑰（電子簽名驗證數據）

（二）信息發(fā)布與信息管理
描述任何與認證信息發(fā)布相關(guān)的內容，包括信息庫的運營(yíng)者、運營(yíng)者的職責、信息發(fā)布的頻率以及對所發(fā)布信息的訪(fǎng)問(wèn)控制等。

1、運營(yíng)信息庫的實(shí)體標識，如電子認證服務(wù)機構、或獨立信息庫服務(wù)提供者。
2、運營(yíng)者發(fā)布其業(yè)務(wù)實(shí)踐、證書(shū)和證書(shū)當前狀態(tài)的職責，標識出對公眾可用和不可用的項、子項和元素。
3、信息發(fā)布的時(shí)間和頻率。
4、對發(fā)布信息的訪(fǎng)問(wèn)控制，包括CP、CPS、證書(shū)、OCSP和CRL。
（三） 身份標識與鑒別
描述電子認證服務(wù)機構在頒發(fā)證書(shū)之前，對證書(shū)申請者的身份和其他屬性進(jìn)行鑒別的過(guò)程，以及標識和鑒別密鑰更新請求者和吊銷(xiāo)請求者的方法。說(shuō)明命名規則，包括在某些名稱(chēng)中對商標權的承認問(wèn)題。

1、命名
* 分配給實(shí)體的名稱(chēng)類(lèi)型，如X.500甄別名、RFC-822名稱(chēng)、X.400名稱(chēng)。

* 名稱(chēng)是否一定要有意義。

* 訂戶(hù)是否能夠使用匿名或假名，如果可以，訂戶(hù)可以使用或將被分配給什么樣的名稱(chēng)。

* 理解不同名稱(chēng)形式的規則，如X.500標準和RFC-822。

* 名稱(chēng)是否需要唯一。

* 對商標的承認、鑒別。

2、初始身份確認
* 對機構申請者的組織身份進(jìn)行身份標識和鑒別的要求，如咨詢(xún)提供組織身份識別服務(wù)的數據庫、或檢查組織的資質(zhì)文件。

* 對于個(gè)人訂戶(hù)或代表組織訂戶(hù)的個(gè)人進(jìn)行身份標識和鑒別的要求。

* 在初始注冊中沒(méi)有驗證的訂戶(hù)信息列表。

* 對機構的驗證涉及確定一個(gè)人是否具有特定的權力或許可，包括代表組織獲取證書(shū)的許可。

3、密鑰更新請求中的標識與鑒別
針對于密鑰更新中對每個(gè)實(shí)體身份標識和鑒別過(guò)程，說(shuō)明下列元素。

* 常規密鑰更新中對身份標識和鑒別的要求，如使用當前有效密鑰對包含新密鑰的密鑰更新請求進(jìn)行簽名。

* 證書(shū)被吊銷(xiāo)后密鑰更新中對身份標識和鑒別的要求，如使用原始身份驗證相同的流程。

4、吊銷(xiāo)請求中的標識與鑒別
描述對每個(gè)實(shí)體類(lèi)型（電子認證服務(wù)機構、注冊機構、訂戶(hù)或其他參與者）吊銷(xiāo)請求的身份標識和鑒別過(guò)程。

（四）證書(shū)生命周期操作要求

說(shuō)明在證書(shū)生命周期方面對電子認證服務(wù)機構及相關(guān)實(shí)體的要求，注冊機構、訂戶(hù)或其他參與者的要求，在每個(gè)子項中可能需要對電子認證服務(wù)機構、注冊機構、訂戶(hù)或其他參與者予以分別考慮。

1、證書(shū)申請
* 提交證書(shū)申請的實(shí)體，如證書(shū)申請者或注冊機構。

* 實(shí)體在提交證書(shū)申請時(shí)所使用的注冊過(guò)程，以及在此過(guò)程中各方的責任。為了接收證書(shū)申請，電子認證服務(wù)機構或注冊機構可能負有建立注冊過(guò)程的責任。同樣，證書(shū)申請者可能負有在其證書(shū)申請中提供準確信息的責任。

2、證書(shū)申請處理
描述處理證書(shū)申請的過(guò)程。例如，為了驗證證書(shū)申請，電子認證服務(wù)機構或注冊機構可能要執行身份標識和鑒別流程，根據這些步驟，電子認證服務(wù)機構 或注冊機構將可能依照某些準則或者批準或者拒絕該證書(shū)申請。最后，要設置電子認證服務(wù)機構或注冊機構必須受理并處理證書(shū)申請的時(shí)間期限。

3、證書(shū)簽發(fā)
* 在證書(shū)簽發(fā)過(guò)程中電子認證服務(wù)機構的行為，如電子認證服務(wù)機構驗證注冊機構簽名和確認注冊機構的權限、并生成證書(shū)的過(guò)程。

* 電子認證服務(wù)機構簽發(fā)證書(shū)時(shí)對訂戶(hù)的通告機制，如電子認證服務(wù)機構用電子郵件將證書(shū)發(fā)送給訂戶(hù)或注冊機構，或者用電子郵件將允許訂戶(hù)到網(wǎng)站下載證書(shū)的信息告知用戶(hù)。

4、證書(shū)接受
* 構成申請者接受證書(shū)的行為。這種行為可以包括表示接受的確認步驟、暗示接受的操作、沒(méi)能成功反對證書(shū)或其內容。

* 電子認證服務(wù)機構對證書(shū)的發(fā)布方式，例如電子認證服務(wù)機構可以將證書(shū)發(fā)布到X.500或LDAP證書(shū)庫。

* 電子認證服務(wù)機構在頒發(fā)證書(shū)時(shí)對其他實(shí)體的通告，例如，電子認證服務(wù)機構可能發(fā)送證書(shū)到注冊機構。

5、密鑰對和證書(shū)的使用
描述與密鑰對和證書(shū)使用相關(guān)的責任。

* 與訂戶(hù)使用其私鑰和證書(shū)相關(guān)的訂戶(hù)責任。例如，訂戶(hù)可能被要求只能在恰當的應用范圍內使用私鑰和證書(shū)，這些應用在CP中設置，并且與有關(guān)的證書(shū)內容相一致（如密鑰用途字段）。

* 與使用訂戶(hù)公鑰和證書(shū)相關(guān)的依賴(lài)方責任。例如，依賴(lài)方只能在恰當的應用范圍內依賴(lài)于證書(shū)，這些應用在CP中設置，并且與有關(guān)的證書(shū)內容相一致（如密鑰用途擴展）。

6、證書(shū)更新
證書(shū)更新指在不改變證書(shū)中訂戶(hù)的公鑰或其他任何信息的情況下，為訂戶(hù)簽發(fā)一張新證書(shū)。

* 進(jìn)行證書(shū)更新的情形，如證書(shū)已到期，但策略允許繼續使用相同的密鑰對。

* 請求更新的實(shí)體，如訂戶(hù)、注冊機構或電子認證服務(wù)機構可以自動(dòng)更新訂戶(hù)證書(shū)。

* 為簽發(fā)新證書(shū)，電子認證服務(wù)機構或注冊機構處理更新請求的過(guò)程，如使用令牌，比如口令，來(lái)重新鑒別訂戶(hù)、或使用與原始簽發(fā)證書(shū)相同的過(guò)程。

* 頒發(fā)新證書(shū)給訂戶(hù)時(shí)的通告。

* 構成接受更新證書(shū)的行為。

* 電子認證服務(wù)機構對更新證書(shū)的發(fā)布。

* 電子認證服務(wù)機構在頒發(fā)證書(shū)時(shí)對其他實(shí)體的通告。

7、證書(shū)密鑰更新
證書(shū)密鑰更新指訂戶(hù)或其他參與者生成一對新密鑰并申請為新公鑰簽發(fā)一個(gè)新證書(shū)。

* 證書(shū)密鑰更新的情形，如因私鑰泄漏而吊銷(xiāo)證書(shū)之后、或者證書(shū)到期并且密鑰對的使用期也到期之后。

* 可以請求證書(shū)密鑰更新的實(shí)體，如訂戶(hù)。

* 為簽發(fā)新證書(shū)，電子認證服務(wù)機構或注冊機構處理密鑰更新請求的過(guò)程。

* 頒發(fā)新證書(shū)給訂戶(hù)時(shí)的通告。

* 構成接受密鑰更新證書(shū)的行為。

* 電子認證服務(wù)機構對密鑰更新證書(shū)的發(fā)布。

* 電子認證服務(wù)機構在頒發(fā)證書(shū)時(shí)對其他實(shí)體的通告。

8、證書(shū)變更
證書(shū)變更指改變證書(shū)中除訂戶(hù)公鑰之外的信息而簽發(fā)新證書(shū)的情形。

* 證書(shū)變更的情形，如名稱(chēng)改變等而造成的實(shí)體身份改變。

* 可以請求證書(shū)變更的實(shí)體，如訂戶(hù)或注冊機構。

* 為簽發(fā)新證書(shū)，電子認證服務(wù)機構或注冊機構處理證書(shū)變更請求的過(guò)程，如采用與原始證書(shū)簽發(fā)相同的過(guò)程。

* 頒發(fā)新證書(shū)給訂戶(hù)時(shí)的通告。

* 構成接受變更證書(shū)的行為。

* 電子認證服務(wù)機構對變更證書(shū)的發(fā)布。

* 電子認證服務(wù)機構在頒發(fā)證書(shū)時(shí)對其他實(shí)體的通告。

9、證書(shū)吊銷(xiāo)和掛起
* 證書(shū)掛起的情形和證書(shū)必須吊銷(xiāo)的情形，例如訂戶(hù)合同期滿(mǎn)、密碼令牌丟失或懷疑私鑰泄漏。

* 可以請求吊銷(xiāo)證書(shū)的實(shí)體，例如對最終用戶(hù)證書(shū)而言，可能是訂戶(hù)、注冊機構或電子認證服務(wù)機構。

* 證書(shū)吊銷(xiāo)請求的流程，如由注冊機構簽署的消息、由訂戶(hù)簽署的消息或由注冊機構電話(huà)通知。

* 訂戶(hù)可用的寬限期，訂戶(hù)必須在此時(shí)間內提出吊銷(xiāo)請求。

* 電子認證服務(wù)機構必須處理吊銷(xiāo)請求的時(shí)間。

* 為檢查其所依賴(lài)證書(shū)的狀態(tài)，依賴(lài)方可以或必須使用的檢查機制。

* 如果使用CRL，其發(fā)布頻率是多少。

* 如果使用CRL，產(chǎn)生CRL并將其發(fā)布到證書(shū)庫的最大延遲是多少（也就是在生成CRL之后，在將其發(fā)布到證書(shū)庫中所用的處理和通信相關(guān)最長(cháng)延遲）。

* 在線(xiàn)證書(shū)狀態(tài)查詢(xún)的可用性，例如OCSP和狀態(tài)查詢(xún)的Web網(wǎng)站。

* 依賴(lài)方執行在線(xiàn)吊銷(xiāo)狀態(tài)查詢(xún)的要求。

* 吊銷(xiāo)信息的其他可用發(fā)布形式。

* 當因為私鑰損害而造成證書(shū)吊銷(xiāo)或掛起時(shí)，上述規定的不同之處（與其他原因造成吊銷(xiāo)或掛起相比）。

* 證書(shū)掛起的情形。

* 可以請求證書(shū)掛起的實(shí)體，例如對于最終用戶(hù)證書(shū)而言，訂戶(hù)、訂戶(hù)的上級、或者注冊機構。

* 請求證書(shū)掛起的過(guò)程，如由訂戶(hù)或注冊機構簽署的消息、或由注冊機構電話(huà)請求。

* 證書(shū)掛起的最長(cháng)時(shí)間。

10、證書(shū)狀態(tài)服務(wù)
* 證書(shū)狀態(tài)查詢(xún)服務(wù)的操作特點(diǎn)。

* 查詢(xún)服務(wù)的可用性，以及服務(wù)不可用時(shí)的適用策略。

* 查詢(xún)服務(wù)的其他可選特征。

11、停止使用認證服務(wù)
說(shuō)明訂戶(hù)停止使用電子認證服務(wù)時(shí)所使用的過(guò)程。

* 停止使用認證服務(wù)時(shí)的證書(shū)吊銷(xiāo)（依賴(lài)于停止使用認證服務(wù)是因為證書(shū)到期，還是因為服務(wù)終止，可能會(huì )有所不同）。

12、密鑰生成、備份和恢復
說(shuō)明與私鑰生成、備份和恢復相關(guān)的策略和業(yè)務(wù)實(shí)踐（通過(guò)電子認證服務(wù)機構或其他可信第三方）。

* 包含私鑰生成、備份和恢復的策略和實(shí)踐的文檔標識，或此類(lèi)策略和實(shí)踐一覽表。

* 包含會(huì )話(huà)密鑰封裝和恢復的策略和實(shí)踐的文檔標識，或此類(lèi)策略和實(shí)踐一覽表。

（五）認證機構設施、管理和操作控制

描述物理環(huán)境、操作過(guò)程和人員的安全控制。電子認證服務(wù)機構使用這些控制手段來(lái)安全地實(shí)現密鑰生成、實(shí)體鑒別、證書(shū)簽發(fā)、證書(shū)吊銷(xiāo)、審計和歸檔等功能。也可定義信息庫、注冊機構、訂戶(hù)或其他參與者的非技術(shù)安全控制。

1、物理控制
* 場(chǎng)所區域和建筑，如對高安全區的建筑要求，使用帶鎖的房間、屏蔽室、保險柜、櫥柜。

* 物理訪(fǎng)問(wèn)，也就是從場(chǎng)所的一個(gè)區域到另一個(gè)區域或進(jìn)入安全區的訪(fǎng)問(wèn)控制機制。

* 電力和空調。

* 水患防治。

* 火災預防和保護。

* 介質(zhì)存儲，例如需要在不同的場(chǎng)所利用備份介質(zhì)進(jìn)行存儲，該場(chǎng)所在物理上是安全的，能夠防止水災和火災的破壞。

* 廢物處理。

* 異地備份。

2、操作過(guò)程控制
描述定義可信角色的要求，以及各個(gè)角色的責任?？尚沤巧ㄏ到y管理員、安全官員和系統審計員等。聲明完成該項任務(wù)所需的每個(gè)角色人員數，定義對每個(gè)角色的身份標識和鑒別要求。按照角色而定義的責任分離，這些角色不能由相同的人承擔。

3、人員控制
* 對于充當可信角色或其他重要角色的人員，其需要具備的資格、經(jīng)歷和無(wú)過(guò)失要求，例如對這些職位的候選者所需具備的信任證明、工作經(jīng)歷和官方憑證。

* 在招聘充當可信角色或其他重要角色的人員時(shí)所需背景審查程序，這些角色可能要求調查其犯罪記錄、檔案。

* 招聘人員后對每個(gè)角色的培訓要求和過(guò)程。

* 在完成原始培訓后對每個(gè)角色的再培訓周期和過(guò)程。

* 在不同角色間的工作輪換周期和順序

* 對下列行為的處罰。未授權行為、未授予的權力使用和對系統的未授權使用等。

* 對獨立簽約者而非實(shí)體內部人員的控制。

* 在原始培訓、再培訓和其他過(guò)程中提供給員工的文檔。

4、審計日志程序
描述事件日志和審計系統，實(shí)現該系統的目的在于維護一個(gè)安全的環(huán)境。

* 記錄事件的類(lèi)型，如證書(shū)生命周期操作、對系統的訪(fǎng)問(wèn)企圖和對系統的請求。

* 處理或歸檔日志的周期，如每星期、在報警或異常事件之后，或審計日志已滿(mǎn)時(shí)。

* 審計日志的保存期。

* 審計日志保護。

* 審計日志備份程序。

* 審計日志收集系統是在實(shí)體的內部還是外部。

* 是否對導致事件的實(shí)體進(jìn)行通告。

* 脆弱性評估，如審計數據的運行工具破壞系統安全性的潛在可能性估計。

5、記錄歸檔
描述通用的記錄歸檔（或記錄保留）策略。

* 歸檔記錄的類(lèi)型，例如所有審計數據、證書(shū)申請信息、支持證書(shū)申請的文檔。

* 檔案的保存期。

* 檔案的保護。

* 檔案備份程序。

* 對記錄加蓋時(shí)間戳的要求。

* 檔案收集系統是內部還是外部。

* 獲得和驗證檔案信息的程序，如由兩個(gè)人分別來(lái)保留歸檔數據的兩個(gè)拷貝，并且為了確保檔案信息的準確，需要對這兩個(gè)拷貝進(jìn)行比較。

6、電子認證服務(wù)機構密鑰更替
描述電子認證服務(wù)機構產(chǎn)生新密鑰，并將新的公鑰提供給電子認證服務(wù)機構用戶(hù)的過(guò)程。此過(guò)程可以與產(chǎn)生當前密鑰的過(guò)程相同，而且可以用舊密鑰為新密鑰簽發(fā)證書(shū)。

7、損害和災難恢復
描述與密鑰損害或災難事件相關(guān)的通告和恢復過(guò)程要求。

* 適用事件和損害的列表，以及對事件的報告和處理過(guò)程。

* 對計算資源、軟件和（或）數據被破壞或懷疑被破壞的恢復過(guò)程，此過(guò)程包括如何重建一個(gè)安全環(huán)境，哪些證書(shū)要吊銷(xiāo)，實(shí)體的密鑰是否被吊銷(xiāo)，如何將新的實(shí)體公鑰提供給用戶(hù)，以及如何為實(shí)體重新發(fā)證。

* 對實(shí)體私鑰泄漏的恢復過(guò)程，此過(guò)程包括如何重建一個(gè)安全環(huán)境，如何將新的實(shí)體公鑰提供給用戶(hù)，以及如何為實(shí)體重新發(fā)證。

* 自然或其他災難后實(shí)體的業(yè)務(wù)連續性能力，此能力包括遠程熱備站點(diǎn)對運營(yíng)的恢復，也可以包括在災難發(fā)生后到重建安全環(huán)境前，或者在原始站點(diǎn)，或者在遠程站點(diǎn)保護其設備的程序。

8、電子認證服務(wù)機構或注冊機構終止
描述與電子認證服務(wù)機構或注冊機構終止和終止通告相關(guān)的過(guò)程的要求，包括電子認證服務(wù)機構或注冊機構檔案記錄管理者的身份問(wèn)題。

（六）認證系統技術(shù)安全控制

闡述電子認證服務(wù)機構為保護其密鑰和激活數據（如PIN碼、口令字或手持密鑰共享）而采取的安全措施。

說(shuō)明對證書(shū)庫、訂戶(hù)和其他參與者進(jìn)行的限制，以保護他們的私鑰、私鑰激活數據和關(guān)鍵安全參數。

描述電子認證服務(wù)機構使用的其他技術(shù)安全控制手段，用以安全地實(shí)現密鑰生成，用戶(hù)鑒別，證書(shū)注冊，證書(shū)吊銷(xiāo)，審計和歸檔等功能。技術(shù)控制包含生命周期安全控制（包括軟件開(kāi)發(fā)環(huán)境安全，可信的軟件開(kāi)發(fā)方法論）和操作安全控制。

1、密鑰對的生成和安裝

* 生成公、私鑰對的實(shí)體?？赡軙?huì )是訂戶(hù)、注冊機構或電子認證服務(wù)機構。密鑰對的生成實(shí)現方式。

* 私鑰安全的提供給實(shí)體的方式?？赡艿姆椒ò▽?shí)體自己生成因而自動(dòng)擁有、用物理的方式將私鑰傳遞給實(shí)體、郵寄保存私鑰的令牌、或是通過(guò)SSL會(huì )話(huà)傳遞。

* 實(shí)體公鑰安全地提供給證書(shū)認證服務(wù)機構的方式?？赡芡ㄟ^(guò)在線(xiàn)SSL會(huì )話(huà)或經(jīng)注冊機構簽署的消息。

* 將電子認證服務(wù)機構公鑰安全地提供給潛在的依賴(lài)方的方式?？赡艿姆绞桨ㄓ萌斯⒐€發(fā)送給依賴(lài)方、用物理方式郵寄一份拷貝給依賴(lài)方、或通過(guò)SSL會(huì )話(huà)傳遞。

* 密鑰長(cháng)度。如RSA的模長(cháng)是1024比特、DSA的大素數是1024比特。

* 生成公鑰參數的實(shí)體。生成密鑰時(shí)是否對參數的質(zhì)量進(jìn)行檢查。

* 密鑰的使用目的，或者密鑰的使用目的限制范圍。對于X.509證書(shū)，這些目的需要映射到第三版證書(shū)的密鑰用途標志位。

2、私鑰保護和密碼模塊工程控制

* 用來(lái)產(chǎn)生密鑰的模塊標準。是否存在與密碼模塊相關(guān)的其他工程或控制。如密碼模塊邊界的標定、輸入/輸出、角色和服務(wù)、有限狀態(tài)機、物理安全、軟件安全、操作系統安全、算法一致性、電磁兼容性和自檢測等。

* 私鑰是否由M選N多人控制。如果是，N和M是多少（兩人控制是一個(gè)特殊的例子，其中N＝M＝2）。

* 私鑰是否被托管。私鑰托管的機構，密鑰托管（如明文、密文、分割密鑰）形式，托管系統的安全控制。

* 私鑰是否備份。私鑰備份機構，私鑰備份（如明文、密文、分割密鑰）形式，備份系統的安全控制。

* 私鑰是否歸檔。私鑰歸檔機構，私鑰歸檔（如明文、密文、分割密鑰）形式，歸檔系統的安全控制。

* 私鑰可以被導入或導出密碼模塊的條件。執行此類(lèi)操作的實(shí)體，導入/導出時(shí)私鑰的形式（如明文、密文、分割密鑰）。

* 私鑰保存在模塊中的形式（如明文、密文、分割密鑰）。

* 激活（使用）私鑰的實(shí)體。為激活私鑰必須執行哪些操作（例如登錄、上電、提供PIN、插入令牌/鑰匙、自動(dòng)等等）。一旦私鑰被激活，私鑰是活動(dòng)無(wú)限長(cháng)的時(shí)間、只活動(dòng)一次、還是活動(dòng)于一個(gè)定義的時(shí)間段。

* 解除私鑰激活狀態(tài)的實(shí)體以及方式。解除私鑰激活狀態(tài)的方式包括退出、切斷電源、移開(kāi)令牌/鑰匙，自動(dòng)凍結或者有效期屆滿(mǎn)。

* 銷(xiāo)毀私鑰以及方式。銷(xiāo)毀密鑰的方式包括交出令牌、銷(xiāo)毀令牌或者重寫(xiě)密鑰。

* 密碼模塊在下列方面的內容及性能：邊界的標定、輸入/輸出、角色和服務(wù)、有限狀態(tài)機、物理安全、軟件安全、操作系統安全、算法一致性、電磁兼容性和自檢測。

3、密鑰對管理的其他方面

* 公鑰是否歸檔，歸檔機構實(shí)體以及歸檔系統的安全控制。

* 頒發(fā)給訂戶(hù)的證書(shū)的操作期，訂戶(hù)密鑰對的使用期或生命期。

4、激活數據

說(shuō)明激活數據的組成和生命周期。

5、計算機安全控制

描述計算機安全控制，計算機系統的安全級別，評估分析和測試。

6、生命周期安全控制

描述系統開(kāi)發(fā)控制、安全管理控制和生命周期安全等級，系統開(kāi)發(fā)控制包括開(kāi)發(fā)環(huán)境安全、開(kāi)發(fā)人員安全、產(chǎn)品維護期的配置管理安全、軟件工程實(shí)施、軟件開(kāi)發(fā)方法論、模塊化、層次化、使用容錯設計和實(shí)現技術(shù)（如防御性編程）、以及開(kāi)發(fā)工具安全。

安全管理控制包括執行工具和程序，保證操作系統和網(wǎng)絡(luò )符合設置的安全標準。

7、網(wǎng)絡(luò )安全控制

說(shuō)明與網(wǎng)絡(luò )安全相關(guān)的控制，如防火墻、防病毒、入侵檢測等。

8、時(shí)間戳

說(shuō)明與對不同數據使用時(shí)間戳相關(guān)的要求或業(yè)務(wù)實(shí)踐，還可聲明時(shí)間戳應用是否需要使用可信時(shí)間源。

（七）證書(shū)、證書(shū)吊銷(xiāo)列表和在線(xiàn)證書(shū)狀態(tài)協(xié)議

說(shuō)明證書(shū)、證書(shū)吊銷(xiāo)列表和在線(xiàn)證書(shū)狀態(tài)協(xié)議的格式，包括描述、版本號和擴展項的使用。

1、證書(shū)

* 支持的版本號。

* 證書(shū)的擴展項及其關(guān)鍵性。

* 密碼算法對象標識符。

* 電子認證服務(wù)機構、注冊機構和訂戶(hù)所使用的名稱(chēng)形式。

* 名稱(chēng)限制及其形式。

* 證書(shū)策略對象標識符。

* 策略約束擴展項的使用。

* 策略限定符的語(yǔ)法和語(yǔ)義。

* 對關(guān)鍵證書(shū)策略擴展項的處理規則。

2、證書(shū)吊銷(xiāo)列表

* CRL支持的版本號。

* CRL和CRL入口擴展項及其關(guān)鍵性。

3、在線(xiàn)證書(shū)狀態(tài)協(xié)議

* OCSP版本號。

* OCSP擴展項及其關(guān)鍵性。

（八）認證機構審計和其他評估

說(shuō)明對電子認證服務(wù)機構進(jìn)行審計或評估相關(guān)的內容，包括評估所涵蓋的主題、評估頻率、評估者的資質(zhì)、評估者與被評估者的資質(zhì)、對問(wèn)題所采取的措施以及結果的公告等。

1、評估所涵蓋的主題和（或）評估的方法列表。

2、依照某一CP或CPS，對每個(gè)實(shí)體進(jìn)行一致性審計或其他評估的頻率，或者是引發(fā)評估事件的條件?？赡艿那闆r如每年一次的年審，運營(yíng)前評估，或一個(gè)疑似或真實(shí)安全泄密后的調查。

3、關(guān)于執行審計或其他評估的人員的身份和資質(zhì)。

4、評估者與被評估實(shí)體之間的關(guān)系，包括評估者的獨立程度。

5、對評估中出現的不足所采取的措施，例如暫停運營(yíng)直到錯誤得到改正，吊銷(xiāo)被評估實(shí)體的證書(shū)，變換人員，觸發(fā)特殊調查或增加后續一致性評估頻率，宣布被評估實(shí)體的損失等。

6、察看審計結果的權限（如被評估實(shí)體、其他參與者、公眾），提供評估結果的實(shí)體（評估者或被評估實(shí)體）。

（九）法律責任和其他業(yè)務(wù)條款

涵蓋了一般性的業(yè)務(wù)和法律問(wèn)題。在業(yè)務(wù)條款中說(shuō)明不同服務(wù)的費用問(wèn)題，和各參與方為了保證資源維持運營(yíng)，針對參與方的訴訟和審判提供支付所需承擔的財務(wù)責任。法律責任條款則與通用的技術(shù)協(xié)定標題相近，涉及保密、隱私、知識產(chǎn)權、擔保及免責等內容。

1、費用

* 證書(shū)頒發(fā)或更新費用。

* 證書(shū)訪(fǎng)問(wèn)費用。

* 吊銷(xiāo)或狀態(tài)信息訪(fǎng)問(wèn)費用。

* 其他服務(wù)的費用，如對相關(guān)CP或CPS提供訪(fǎng)問(wèn)服務(wù)。

* 退款規定。

2、財務(wù)責任

* 電子認證服務(wù)機構所負有的責任保險范圍聲明。

* 電子認證服務(wù)機構利用其他資源來(lái)支持其運營(yíng)和對潛在責任進(jìn)行賠付的聲明，可以以認證業(yè)務(wù)正常運營(yíng)和處理可能意外事件所需的最少財產(chǎn)級別的方式表達，如組織收支平衡表上的財產(chǎn)、保證書(shū)、信用證明、在某種條件下要求賠償的權力契約。

* 電子認證服務(wù)機構對其他參與者提供首方責任險或擔保保護的程序的聲明。

3、業(yè)務(wù)信息保密

* 被認為是保密信息的范圍。

* 被認為在保密信息范圍之外的信息類(lèi)型。

* 接收到保密信息的參與者防止其泄漏、避免使用和發(fā)布給第三方的責任。

4、個(gè)人隱私保密

* 根據有關(guān)法律或政策的需要，指定并公開(kāi)適用于參與者活動(dòng)的隱私方案。

* 電子認證活動(dòng)中認為或者不認為是隱私的信息。

* 接收到隱私信息的參與者保證其安全、避免使用和泄漏給第三方的責任。

* 在使用或者公開(kāi)其隱私信息時(shí)，通知個(gè)人或獲得個(gè)人同意的方面的相應要求。

* 在個(gè)人或政府事務(wù)或其他任何法律事務(wù)中，參與者依據司法或管理程序授權或必須公開(kāi)隱私信息的條件。

5、知識產(chǎn)權

說(shuō)明知識產(chǎn)權問(wèn)題，如版權、專(zhuān)利、商標、商業(yè)秘密等。

6、陳述和擔保

說(shuō)明電子認證活動(dòng)中各種實(shí)體所作的陳述和擔保。

7、擔保免責

對有可能存在其他協(xié)議中的明示擔保責任的否定描述，對由于適用法律引起的隱含擔保責任的描述。在電子認證業(yè)務(wù)規則中可以直接使用這些擔保免責規定，或者包含一項要求，規定擔保免責條款要出現在相關(guān)協(xié)議當中，如訂戶(hù)或依賴(lài)方協(xié)議。

8、償付責任限制

說(shuō)明電子認證業(yè)務(wù)規則中的償付責任限制，或者出現在其它相關(guān)協(xié)議中的償付責任限制。

9、賠償

說(shuō)明一方對另一方遭受損失的賠償條款，通常這種損失是由第一方的行為所導致的。

10、有效期和終止

包括電子認證業(yè)務(wù)規則的有效期，以及文檔、文檔的某一部分或對某一特定參與者的適用性終止的條件。

* 文檔的有效期限，也就是文檔生效和失效的時(shí)間，如果文檔不提前終止。

* 終止規定，聲明文檔、文檔的某一部分或對某一特定參與者的適用性停止有效的條件。

* 文檔終止的任何可能結果，例如協(xié)議的某些條款在協(xié)議終止后繼續有效，如知識產(chǎn)權承認和保密條款。另外，終止可能涉及到各參與方返還保密信息到其擁有者的責任。

11、對參與者的個(gè)別通告與溝通

說(shuō)明電子認證活動(dòng)中某一參與方與另一參與方進(jìn)行通信時(shí)可以或必須遵循的方法，以使其通信過(guò)程在法律上有效。

12、修訂

* 修訂電子認證業(yè)務(wù)規則所應遵循的修訂程序。

* 通告機制（將建議的變更通知所有受影響的對象，如訂戶(hù)和依賴(lài)方）和周期。

* 需要變更電子認證業(yè)務(wù)規則的條件。

13、爭議處理

說(shuō)明出自電子認證業(yè)務(wù)規則的爭端的解決程序，例如要求爭端需要通過(guò)某個(gè)機構解決，或者其他的爭端解決機制。

14、管轄法律

說(shuō)明對電子認證業(yè)務(wù)規則生效和解釋起作用的有關(guān)法律、法規。

15、與適用法律的符合性

說(shuō)明電子認證活動(dòng)參與者所需遵守的適用法律，如與密碼硬件和軟件相關(guān)的法律，該法律可能還受控于給定司法管轄域下的出口控制法。

16、一般條款

* 完整協(xié)議條款，通常標識出構成這個(gè)協(xié)議的全部文檔，并聲明該協(xié)議替代所有先前或同時(shí)期的、與相同主題相關(guān)的書(shū)面或口頭解釋。

* 轉讓條款，在該協(xié)議下將一方的權利轉讓給另一方或授權其某種義務(wù)。

* 分割性條款，當法庭或其他仲裁機構判定協(xié)議中的某一條款由于某種原因無(wú)效或不具執行力時(shí)，不會(huì )出現因為某一條款的無(wú)效導致整個(gè)協(xié)議無(wú)效。

* 強制執行條款，可以聲明在合同糾紛中有利的一方有權將代理費作為償還要求的一部分，或者聲明免除一方對合同某一項的違反應該承擔的責任，但不意味著(zhù)繼續免除或未來(lái)免除這一方對合同其他項的違反應該承擔的責任。

* 不可抗力條款，通常用于出現超出受影響方控制的事件的發(fā)生時(shí)，免除一方或多方對合同的執行責任。通常，免除執行的時(shí)間與事件所造成的延遲時(shí)間相當。此條款也可包括協(xié)議終止的環(huán)境和條件。構成不可抗力的事件包括戰爭、恐怖襲擊、罷工、自然災害、供應商或賣(mài)方執行失敗、因特網(wǎng)或其他基礎設施的癱瘓。不可抗力條 款的起草應與框架的其他部分相一致，并達到適用的服務(wù)級別協(xié)議。例如，業(yè)務(wù)連續性和災難恢復的責任和能力可以將某些事件置于組織的可控范圍之內，如在停電時(shí)啟用備份電源的義務(wù)。

17、其他條款

包括未在上述說(shuō)明的其他相關(guān)內容條款。

三、 電子認證業(yè)務(wù)規則的標題結構參考模版

電子認證服務(wù)機構在編寫(xiě)電子認證業(yè)務(wù)規則時(shí)，可以參考如下標題結構列表。

1. 概括性描述

1.1 概述

1.2 文檔名稱(chēng)與標識

1.3 電子認證活動(dòng)參與者

1.3.1 電子認證服務(wù)機構

1.3.2 注冊機構

1.3.3 訂戶(hù)

1.3.4 依賴(lài)方

1.3.5 其他參與者

1.4 證書(shū)應用

1.4.1 適合的證書(shū)應用

1.4.2 限制的證書(shū)應用

1.5 策略管理

1.5.1 策略文檔管理機構

1.5.2 聯(lián)系人

1.5.3 決定CPS符合策略的機構

1.5.4 CPS批準程序

1.6 定義和縮寫(xiě)

2. 信息發(fā)布與信息管理

2.1 認證信息的發(fā)布

2.2 發(fā)布的時(shí)間或頻率

2.3 信息庫訪(fǎng)問(wèn)控制

3. 身份標識與鑒別

3.1 命名

3.1.1 名稱(chēng)類(lèi)型

3.1.2 對名稱(chēng)意義化的要求

3.1.3 訂戶(hù)的匿名或偽名

3.1.4 理解不同名稱(chēng)形式的規則

3.1.5 名稱(chēng)的唯一性

3.1.6 商標的識別、鑒別和角色

3.2 初始身份確認

3.2.1 證明擁有私鑰的方法

3.2.2 組織機構身份的鑒別

3.2.3 個(gè)人身份的鑒別

3.2.4 沒(méi)有驗證的訂戶(hù)信息

3.2.5 授權確認

3.2.6 互操作準則

3.3 密鑰更新請求的標識與鑒別

3.3.1 常規密鑰更新的標識與鑒別

3.3.2 吊銷(xiāo)后密鑰更新的標識與鑒別

3.4 吊銷(xiāo)請求的標識與鑒別

4. 證書(shū)生命周期操作要求

4.1 證書(shū)申請

4.1.1 證書(shū)申請實(shí)體

4.1.2 注冊過(guò)程與責任

4.2 證書(shū)申請處理

4.2.1 執行識別與鑒別功能

4.2.2 證書(shū)申請批準和拒絕

4.2.3 處理證書(shū)申請的時(shí)間

4.3 證書(shū)簽發(fā)

4.3.1 證書(shū)簽發(fā)中注冊機構和電子認證服務(wù)機構的行為

4.3.2 電子認證服務(wù)機構和注冊機構對訂戶(hù)的通告

4.4 證書(shū)接受

4.4.1 構成接受證書(shū)的行為

4.4.2 電子認證服務(wù)機構對證書(shū)的發(fā)布

4.4.3 電子認證服務(wù)機構對其他實(shí)體的通告

4.5 密鑰對和證書(shū)的使用

4.5.1 訂戶(hù)私鑰和證書(shū)的使用

4.5.2 信賴(lài)方公鑰和證書(shū)的使用

4.6 證書(shū)更新

4.6.1 證書(shū)更新的情形

4.6.2 請求證書(shū)更新的實(shí)體

4.6.3 證書(shū)更新請求的處理

4.6.4 頒發(fā)新證書(shū)時(shí)對訂戶(hù)的通告

4.6.5 構成接受更新證書(shū)的行為

4.6.6 電子認證服務(wù)機構對更新證書(shū)的發(fā)布

4.6.7 電子認證服務(wù)機構對其他實(shí)體的通告

4.7 證書(shū)密鑰更新

4.7.1 證書(shū)密鑰更新的情形

4.7.2 請求證書(shū)密鑰更新的實(shí)體

4.7.3 證書(shū)密鑰更新請求的處理

4.7.4 頒發(fā)新證書(shū)時(shí)對訂戶(hù)的通告

4.7.5 構成接受密鑰更新證書(shū)的行為

4.7.6 電子認證服務(wù)機構對密鑰更新證書(shū)的發(fā)布

4.7.7 電子認證服務(wù)機構對其他實(shí)體的通告

4.8 證書(shū)變更

4.8.1 證書(shū)變更的情形

4.8.2 請求證書(shū)變更的實(shí)體

4.8.3 證書(shū)變更請求的處理

4.8.4 頒發(fā)新證書(shū)時(shí)對訂戶(hù)的通告

4.8.5 構成接受變更證書(shū)的行為

4.8.6 電子認證服務(wù)機構對變更證書(shū)的發(fā)布

4.8.7 電子認證服務(wù)機構對其他實(shí)體的通告

4.9 證書(shū)吊銷(xiāo)和掛起

4.9.1 證書(shū)吊銷(xiāo)的情形

4.9.2 請求證書(shū)吊銷(xiāo)的實(shí)體

4.9.3 吊銷(xiāo)請求的流程

4.9.4 吊銷(xiāo)請求寬限期

4.9.5 電子認證服務(wù)機構處理吊銷(xiāo)請求的時(shí)限

4.9.6 依賴(lài)方檢查證書(shū)吊銷(xiāo)的要求

4.9.7 CRL發(fā)布頻率

4.9.8 CRL發(fā)布的最大滯后時(shí)間

4.9.9 在線(xiàn)狀態(tài)查詢(xún)的可用性

4.9.10 在線(xiàn)狀態(tài)查詢(xún)要求

4.9.11 吊銷(xiāo)信息的其他發(fā)布形式

4.9.12 密鑰損害的特別要求

4.9.13 證書(shū)掛起的情形

4.9.14 請求證書(shū)掛起的實(shí)體

4.9.15 掛起請求的流程

4.9.16 掛起的期限限制

4.10 證書(shū)狀態(tài)服務(wù)

4.10.1 操作特征

4.10.2 服務(wù)可用性

4.10.3 可選特征

4.11 訂購結束

4.12 密鑰生成、備份與恢復

4.12.1 密鑰生成、備份與恢復的策略與行為

4.12.2 會(huì )話(huà)密鑰的封裝與恢復的策略與行為

5. 認證機構設施、管理和操作控制

5.1 物理控制

5.1.1 場(chǎng)地位置與建筑

5.1.2 物理訪(fǎng)問(wèn)

5.1.3 電力與空調

5.1.4 水患防治

5.1.5 火災防護

5.1.6 介質(zhì)存儲

5.1.7 廢物處理

5.1.8 異地備份

5.2 程序控制

5.2.1 可信角色

5.2.2 每項任務(wù)需要的人數

5.2.3 每個(gè)角色的識別與鑒別

5.2.4 需要職責分割的角色

5.3 人員控制

5.3.1 資格、經(jīng)歷和無(wú)過(guò)失要求

5.3.2 背景審查程序

5.3.3 培訓要求

5.3.4 再培訓周期和要求

5.3.5 工作崗位輪換周期和順序

5.3.6 未授權行為的處罰

5.3.7 獨立合約人的要求

5.3.8 提供給員工的文檔

5.4 審計日志程序

5.4.1 記錄事件的類(lèi)型

5.4.2 處理日志的周期

5.4.3 審計日志的保存期限

5.4.4 審計日志的保護

5.4.5 審計日志備份程序

5.4.6 審計收集系統

5.4.7 對導致事件實(shí)體的通告

5.4.8 脆弱性評估

5.5 記錄歸檔

5.5.1 歸檔記錄的類(lèi)型

5.5.2 歸檔記錄的保存期限

5.5.3 歸檔文件的保護

5.5.4 歸檔文件的備份程序

5.5.5 記錄時(shí)間戳要求

5.5.6 歸檔收集系統

5.5.7 獲得和檢驗歸檔信息的程序

5.6 電子認證服務(wù)機構密鑰更替

5.7 損害與災難恢復

5.7.1 事故和損害處理程序

5.7.2 計算資源、軟件和/或數據的損壞

5.7.3 實(shí)體私鑰損害處理程序

5.7.4 災難后的業(yè)務(wù)連續性能力

5.8 電子認證服務(wù)機構或注冊機構的終止

6. 認證系統技術(shù)安全控制

6.1 密鑰對的生成和安裝

6.1.1 密鑰對的生成

6.1.2 私鑰傳送給訂戶(hù)

6.1.3 公鑰傳送給證書(shū)簽發(fā)機構

6.1.4 電子認證服務(wù)機構公鑰傳送給依賴(lài)方

6.1.5 密鑰的長(cháng)度

6.1.6 公鑰參數的生成和質(zhì)量檢查

6.1.7 密鑰使用目的

6.2 私鑰保護和密碼模塊工程控制

6.2.1 密碼模塊的標準和控制

6.2.2 私鑰多人控制（m選n）

6.2.3 私鑰托管

6.2.4 私鑰備份

6.2.5 私鑰歸檔

6.2.6 私鑰導入、導出密碼模塊

6.2.7 私鑰在密碼模塊的存儲

6.2.8 激活私鑰的方法

6.2.9 解除私鑰激活狀態(tài)的方法

6.2.10 銷(xiāo)毀私鑰的方法

6.2.11 密碼模塊的評估

6.3 密鑰對管理的其他方面

6.3.1 公鑰歸檔

6.3.2 證書(shū)操作期和密鑰對使用期限

6.4 激活數據

6.4.1 激活數據的產(chǎn)生和安裝

6.4.2 激活數據的保護

6.4.3 激活數據的其他方面

6.5 計算機安全控制

6.5.1 特別的計算機安全技術(shù)要求

6.5.2 計算機安全評估

6.6 生命周期技術(shù)控制

6.6.1 系統開(kāi)發(fā)控制

6.6.2 安全管理控制

6.6.3 生命期的安全控制

6.7 網(wǎng)絡(luò )的安全控制

6.8 時(shí)間戳

7. 證書(shū)、證書(shū)吊銷(xiāo)列表和在線(xiàn)證書(shū)狀態(tài)協(xié)議

7.1 證書(shū)

7.1.1 版本號

7.1.2 證書(shū)擴展項

7.1.3 算法對象標識符

7.1.4 名稱(chēng)形式

7.1.5 名稱(chēng)限制

7.1.6 證書(shū)策略對象標識符

7.1.7 策略限制擴展項的用法

7.1.8 策略限定符的語(yǔ)法和語(yǔ)義

7.1.9 關(guān)鍵證書(shū)策略擴展項的處理規則

7.2 證書(shū)吊銷(xiāo)列表

7.2.1 版本號

7.2.2 CRL 和CRL條目擴展項

7.3 在線(xiàn)證書(shū)狀態(tài)協(xié)議

7.3.1 版本號

7.3.2 OCSP擴展項

8. 認證機構審計和其他評估

8.1 評估的頻率或情形

8.2 評估者的資質(zhì)

8.3 評估者與被評估者之間的關(guān)系

8.4 評估內容

8.5 對問(wèn)題與不足采取的措施

8.6 評估結果的傳達與發(fā)布

9. 法律責任和其他業(yè)務(wù)條款

9.1 費用

9.1.1 證書(shū)簽發(fā)和更新費用

9.1.2 證書(shū)查詢(xún)費用

9.1.3 證書(shū)吊銷(xiāo)或狀態(tài)信息的查詢(xún)費用

9.1.4 其他服務(wù)費用

9.1.5 退款策略

9.2 財務(wù)責任

9.2.1 保險范圍

9.2.2 其他資產(chǎn)

9.2.3 對最終實(shí)體的保險或擔保

9.3 業(yè)務(wù)信息保密

9.3.1 保密信息范圍

9.3.2 不屬于保密的信息

9.3.3 保護保密信息的責任

9.4 個(gè)人隱私保密

9.4.1 隱私保密方案

9.4.2 作為隱私處理的信息

9.4.3 不被視為隱私的信息

9.4.4 保護隱私的責任

9.4.5 使用隱私信息的告知與同意

9.4.6 依法律或行政程序的信息披露

9.4.7 其他信息披露情形

9.5 知識產(chǎn)權

9.6 陳述與擔保

9.6.1 電子認證服務(wù)機構的陳述與擔保

9.6.2 注冊機構的陳述與擔保

9.6.3 訂戶(hù)的陳述與擔保

9.6.4 依賴(lài)方的陳述與擔保

9.6.5 其他參與者的陳述與擔保

9.7 擔保免責

9.8 有限責任

9.9 賠償

9.10 有效期限與終止

9.10.1 有效期限

9.10.2 終止

9.10.3 效力的終止與保留

9.11 對參與者的個(gè)別通告與溝通

9.12 修訂

9.12.1 修訂程序

9.12.2 通知機制和期限

9.12.3 必須修改業(yè)務(wù)規則的情形

9.13 爭議處理

9.14 管轄法律

9.15 與適用法律的符合性

9.16 一般條款

9.16.1 完整協(xié)議

9.16.2 轉讓

9.16.3 分割性

9.16.4 強制執行

9.16.5 不可抗力

9.17 其他條款

掃描二維碼 關(guān)注我們

本文鏈接：http://www.jumpstarthappiness.com/law/9609.html

本文關(guān)鍵詞： 電子認證, 規則, 規范, 試行, 全文