电子签名管理制度PPT

第一章总则第一条为了规范电子签名行为，确立电子签名的法律效力，维护各方主体的合法权益，促进电子商务和电子政务健康发展，根据《中华人民共和国电子签名法》...

第一章总则第一条为了规范电子签名行为，确立电子签名的法律效力，维护各方主体的合法权益，促进电子商务和电子政务健康发展，根据《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定本规定。第二条本规定所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本规定所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。第三条民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。前款规定适用于当事人订立合同、履行义务、行使权利的过程，包括但不限于披露方提交披露文件和支付报酬等环节。第四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。第五条电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。第六条数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间。收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间，视为该数据电文的接收时间；未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间。当事人对数据电文的发送时间、接收时间另有约定的，从其约定。第七条电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。第八条当事人可以协议选择电子签名需要的法律服务机构、认证程序等。当事人选择适用外国法律或者国际惯例的，不违反中华人民共和国法律的基本原则，国家另有规定的除外。第九条主管机关应当采取措施鼓励当事人使用电子邮件、电子数据交换等电子签名方式签订合同。县级以上地方人民政府负责信息化工作的部门应当采取措施鼓励和引导当事人在民事活动和商事交易中通过网络应用电子签名。第十条各级人民法院应当积极受理和审理因使用电子签名而引起的纠纷案件。第二章数据电文与电子签名验证数据保护第十一条数据电文应当满足可靠性、完整性和保密性等要求。因加密算法失效等原因导致数据电文被篡改或者不能识别等，影响数据电文的真实性的，数据电文视为不可靠；未采取完整性控制措施防止数据电文被篡改或者不能识别等，影响数据电文完整性的，数据电文视为不完整；能够推翻或者改变证据内容、影响证据效力的标识信息没有存储于相应的数据电文中的，视为没有采取保密措施。第十二条提供电子签名验证服务的机构（以下简称“电子认证服务提供者”）应当具有与开展电子认证服务相适应的人员、场所、系统、安全保障设施和电子认证技术。国家设立的电子认证服务机构由国务院工业和信息化主管部门会同国务院有关部门实施监督管理。外商投资电子认证服务机构由国务院工业和信息化主管部门会同国务院有关部门和地方政府实施监督管理。国家鼓励并平等对待内资和外资企业从事电子认证服务。第十三条电子认证服务提供者应当制定电子认证业务规则及管理制度，并根据用户需求制定电子签名认证业务合同示范文本。用户与电子认证服务提供者之间因认证业务引起的争议，可以依照双方签订的书面合同协商解决；协商不成的，可以依照有关法律、行政法规的规定提起诉讼或者依照有关仲裁规则进行仲裁。第十四条获得工业和信息化部许可的电子认证服务提供者应当遵守以下规定：（一）具有公开、透明、可操作的退出机制；（二）在互联网网站上公布其机构名称、联系方式、投诉电话、业务申请的具体程序和要求等信息；（三）在互联网网站上公布服务收费项目及收费标准；（四）在提供的认证业务规则和管理制度中明确用户合法权益的保护措施和争议解决机制；（五）保证其认证业务系统安全可靠稳定运行所必需的技术要求，保障公众对业务系统和相应基础设施的安全信任；（六）法律、行政法规规定的其他条件。第十五条为交易方提供电子签名认证服务的，认证服务提供者应当向交易双方提供同等便利，不得无故拒绝向任何一方提供认证服务。第十六条电子认证服务提供者应当确保电子签名认证业务有关的数据在其设施中运行、处理和存储，并采取相应的灾备措施。第十七条电子认证服务提供者应当建立电子认证业务管理制度和保障措施，保障本机构的电子签名认证业务系统安全、可靠、稳定运行。第十八条电子认证服务提供者应当制定电子签名认证业务风险控制办法，并采取合理措施，防止出现下列情形：（一）电子签名认证业务经营者不具备经营电子签名认证业务的条件；（二）为未经许可或者备案的组织提供电子签名认证业务；（三）不向用户明示或者不如实向用户明示其电子签名认证业务系统存在安全风险；（四）未向用户明示或者不如实向用户明示法律、行政法规规定的电子签名认证业务收费项目及收费标准；（五）其他违反法律、行政法规规定的行为。第十九条电子认证服务提供者变更公司名称、注册资本、组织形式、住所、营业期限、许可范围等工商登记事项或者终止经营活动的，应当按照《中华人民共和国公司法》以及其他有关法律、行政法规的规定办理相关手续。电子认证服务提供者变更业务种类、认证级别等重要事项的，应当经国务院信息产业主管部门审核同意后，向原发证机关申请换发许可证。第二十条电子认证服务提供者需要变更业务系统的关键技术参数的，应当经国务院信息产业主管部门批准，并在批准后三十日内报工业和信息化部备案。前述关键技术参数包括：（一）国际互联网边界出口路由器IP地址；（二）商用的密码设备型号及密钥管理中心主要技术参数；（三）商用密码算法及密钥长度；（四）信息传输加解密的方式及实现技术；（五）其他影响系统安全的技术参数。第二十一条电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。前款所称与认证相关的信息包括：（一）认证申请的接收记录；（二）电子签名认证证书的发放记录；（三）电子签名认证证书的管理记录；（四）电子签名认证证书的变更记录；（五）电子签名认证证书的撤销记录；（六）电子签名认证证书的吊销记录；（七）电子签名认证证书的年检记录；（八）电子签名验证数据；（九）其他需要保存的信息。第二十二条有下列情形之一的，电子认证服务提供者应当在书面报告中说明原因并及时通知相关主管部门：（一）电子签名认证证书颁发后被吊销或者撤销的；（二）用户拒绝更新、补充或者修改其提交的验证数据的；（三）出现重大经营风险、严重威胁电子签名认证业务的合法性、安全性和稳定性的其他情形。第二十三条外商投资电子认证服务提供者在中国境内开展业务的，应当符合《外商投资电信企业管理规定》及其他有关法律、行政法规的规定。禁止外商独资经营或者通过变相方式由外方单独控制中国电子认证服务市场。第二十四条电子认证服务提供者应当依法通过有关国家组织的电子认证体系符合性检测、互操作性检测、安全性检测、可靠性检测等专项技术检测，保障其提供的电子签名认证服务的安全、可靠。第二十五条电子认证服务提供者收到电子签名认证证书颁发、更新、吊销、撤销等信息的，应当向原发证机关备案。电子认证服务提供者发现用户使用的认证系统、电子签名验证数据或者电子签名验证服务发生重大安全事故的，应当及时向工业和信息化部报告。第二十六条电子认证服务提供者向人民法院、仲裁机构或者有关机关申请调查令的，人民法院、仲裁机构或者有关机关应当准予调查。第二十七条电子认证服务提供者应当向用户说明其提供的电子签名认证服务符合《中华人民共和国电子签名法》的规定。第三章法律责任第二十八条违反本规定的，由工业和信息化部按照《中华人民共和国电子签名法》和其他有关法律、行政法规的规定予以处罚。第二十九条工业和信息化部应当建立电子认证服务质量监督机制，发布有关电子认证服务的评价结果，并依法对违反本规定的行为给予行政处罚。第三十条主管机关工作人员在工作中徇私舞弊、滥用职权或者玩忽职守的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第四章附则第三十一条本规定自2012年5月1日起施行。2005年1月28日发布的《电子认证服务管理办法》同时废止。第五章附则第三十二条本规定由国务院信息化工作办公室负责解释。第三十三条本规定自XXXX年XX月XX日起施行，有效期X年。第六章附件附件：电子签名验证数据保护要求一、概述电子签名验证数据是指在电子签名过程中用于验证签名者身份和签名本身真实性的数据，包括私钥、证书、时间戳等数据。保护电子签名验证数据的安全是保障电子签名真实性和可靠性的重要环节。本附件规定了电子签名验证数据的基本保护要求，以确保其安全、可靠。二、保护要求存储安全电子签名验证数据应在安全可靠的环境中进行存储，并采取加密等安全措施，确保其不被非法获取或篡改访问控制对电子签名验证数据的访问应实施严格的权限控制，只有经过授权的人员才能访问。同时，应记录所有对电子签名验证数据的访问操作，以便于追踪和审计数据完整性电子签名验证数据应保持完整，防止被篡改或损坏。应定期进行数据完整性校验，一旦发现数据被篡改或损坏，应立即采取相应的安全措施备份与恢复应对电子签名验证数据进行定期备份，并制定相应的恢复策略，以确保在数据丢失或损坏时能够及时恢复物理安全存储电子签名验证数据的设施应具备相应的物理安全保障措施，如防火、防潮、防电磁辐射等，以防止数据泄露或损坏应急响应应制定针对电子签名验证数据安全事件的应急响应预案，明确应急流程和责任人。一旦发生安全事件，应迅速启动应急响应，最大程度地减少损失三、监督与管理定期审计应对电子签名验证数据的保护情况进行定期审计，检查是否存在安全隐患，以确保各项保护措施的有效性监测与预警应对电子签名验证数据进行实时监测，及时发现异常情况并进行预警。同时，应定期分析系统日志和监控数据，查找可能存在的安全风险和漏洞人员管理应对负责电子签名验证数据管理的人员进行严格的管理和培训，确保其具备足够的安全意识和技能。同时，应定期对人员进行安全审查，防止内部人员滥用权限或泄露敏感信息合规性检查应定期对电子签名验证数据的保护情况进行合规性检查，确保符合相关法律法规和标准的要求。对于不符合要求的情况，应及时整改并追究相关责任人的责任第三方认证鼓励电子签名验证数据的保护情况进行第三方认证，以确保其符合国际或国内的安全标准和质量要求。通过认证的机构或产品可获得相应的信誉和认可度