团体标准 T/SCCIA012-2023 电子认证服务机构运营风险管理指南 Guidelinesforriskmanagementofcertificateauthorityoperation 2023-7-18发布 2023-7-18实施 深圳市商用密码行业协会发布ICS35.030 I65 全国团体标准信息平台 T/SCCIA012-2023 II目录 前言 ...III 引言 IV 1范围 1 2规范性引用文件 1 3术语与定义 1 4缩略语 2 5风险管理背景 2 6风险管理策略与原则 3 6.1风险管理策略 .3 6.2风险管理原则 .3 7风险管理组织 4 7.1风险管理组织架构 .4 7.2风险管理职能 .4 8风险管理过程 4 8.1确定风险范围 .5 8.2风险识别 .5 8.3风险分析 .5 8.4风险处置 .6 8.5风险监督与改进 .7 附录A（资料性）风险识别清单 9 参考文献 .16 全国团体标准信息平台 T/SCCIA012-2023 III前言 本标准按照GB/T1.1—2020的规定起草。 本标准由深圳市商用密码行业协会提出并归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准起草单位：深圳市电子商务安全证书管理有限公司、深圳鼎铉数字科技控股有限公司、鼎链 数字科技（深圳）有限公司、数安时代科技股份有限公司、广东省电子商务认证有限公司、山东省数字 证书认证管理有限公司。 本标准主要起草人：吴昊、杨振燕、王志辉、宋燕、柯晓悦、杨静、胡之婓、苏年乐、徐江斌、孙 子文、李科、冯挺、周蔚林、符玲、黄婉婷、陈树乐、杨贵忠、耿伟波 本标准凡涉及密码算法、电子认证服务规范等相关内容，按国家相关法规实施，如有不一致的地方， 以国家相关法规为准。 全国团体标准信息平台 T/SCCIA012-2023 IV引言 本标准是为贯彻执行《中华人民共和国电子签名法》、《中华人民共和国密码法》、《电子认证服 务管理办法》等国家法律法规，规范电子认证服务机构业务运营过程的风险管理而制定的指导性标准。 本标准主要规定电子认证服务机构数字证书业务运营风险管理的策略、原则、组织及业务流程，推 动建立覆盖全面、责任明确、底线清晰、管理规范的风险管理体系，最终通过健全风险管理的长效机制， 逐步降低运营风险发生概率，减少电子认证服务机构运营风险损失，实现业务稳健持续开展。 本标准可为电子认证服务机构构建运营风险管理体系，加强运营风险的预防治理提供指导。 全国团体标准信息平台 T/SCCIA012-2023 1电子认证服务机构运营风险管理指南 1范围 本文件规定了电子认证服务机构业务运营的术语定义、运营风险管理的策略、原则、组 织及业务流程，并明确业务运营工作中所需执行的具体业务标准、要求及指标等风险控制内 容要点，为后续业务持续改进和审计管理提供指导。 本标准适用于电子认证服务机构对数字证书业务运营风险的识别、分析、处置和监督改 进等风险管理工作。 电子认证服务机构可根据本文件建立、实施、有效运行和持续改进数字证书业务运营风 险管理体系，通过保障该体系的有效运行，有效管理风险。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本 适用于本文。凡是不注日期的引用文件，其最新版本（包括所有修改版）适用于本文件。 GB/T28447-2012信息安全技术电子认证服务机构运营管理规范 GB/T31722-2015信息技术安全技术信息安全风险管理 GB/T25056-2018信息安全技术证书认证系统密码及其相关安全技术规范 GB/T21053-2023信息安全技术公钥基础设施PKI系统安全技术要求 GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范 GM/T0014-2012数字证书认证系统密码协议规范 GM/T0037-2014证书认证系统检测规范 GJB5792-2006电磁屏蔽体等级划分和测量方法 BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和测试方式 3术语与定义 下列术语和定义适用于本文件。 3.1 电子认证服务机构certificateauthority 负责创建、分发证书并在必要时提供验证服务以证实用户身份的机构。通常将电子认证 服务机构简称为CA，也称为CA机构、CA中心、认证机构、证书认证机构等。 3.2 电子认证业务规则certificationpracticestatement 电子认证服务机构在提供电子认证服务时，在责任范围、作业操作规范、信息安全保障 措施等方面所遵循的业务规则。 3.3 数字证书digitalcertificate 全国团体标准信息平台 T/SCCIA012-2023 2由电子认证服务机构采用非对称密码技术签发的，用于证明证书主体身份与特定公钥间 对应关系的数据电文。 3.4 数字证书撤销列表certificaterevocationlist 由电子认证服务机构签署的一个有效期内失效的证书列表，它给出了一套证书发布者认 为无效的证书。 CRL通常又被称为数字证书黑名单。内容通常还包含CA机构的名称、发行日期、下次 撤销列表的预定发行日期、变更或撤销的数字证书序号，并说明变更或撤销的时间与理由。 3.5 在线查询数字证书状态协议onlinecertificatestatusprotocol OCSP用于支持实时查询数字证书状态。 3.6 业务运营风险businessoperationrisk 电子认证服务机构在提供数字证书等的业务咨询、业务办理、鉴证服务、档案管理、技 术支持等的工作流程，任何由于操作流程、系统问题、人员失误等原因所可能或实际引发的 各类风险及其导致的损失。 3.7 风险源risksource 任何可能导致或增大风险事故发生的要素，包括电子认证服务运营管理流程及其相关活 动。 3.8 风险管理riskmanagement 指导和控制风险相关的协调活动，具体可包括对数字证书运营全流程可能影响业务正常 开展的风险源进行风险识别、分析、处置以及监督评价等实施管理的过程。 4缩略语 下列缩略语适用于本文件： CA：电子认证服务机构certificateauthority CPS：电子认证业务规则certificationpracticestatement CRL：数字证书撤销列表certificaterevocationlist OCSP：在线查询数字证书状态协议onlinecertificatestatusprotocol USBKEY:智能密码钥匙universalserialbuskey 5风险管理背景 近年来，国家高度重视网络安全，大力推动营造构建网络安全环境，实施网络可信身份 战略，对电子认证服务机构也提出了更高的运营要求。为进一步规范电子认证服务机构业务 运营过程中的风险管理，本文件规定电子认证服务机构数字证书业务运营风险管理的策略、 原则、组织及业务流程，推动建立覆盖全面、责任明确、底线清晰、管理规范的风险管理体 全国团体标准信息平台 T/SCCIA012-2023 3系，最终通过该体系的有效运作，逐步减少运营风险发生概率，降低电子认证服务机构运营 风险损失，实现业务稳健持续开展。 电子认证服务机构进行业务运营风险管理，需要依据《运营风险管理体系框架》(见图 一)构建维护CA运营风险管理框架与体系，建立健全风险管理组织架构，设置符合CA机构自 身经营理念和战略规划的运营风险管理目标方针，制定风险管理标准、制度和流程，并组织 开展风险管理相关宣传、培训和考核，确定CA运营风险监控指标和运营风险管理清单，形成 完善的运营风险评估处置机制。 CA机构可以通过业务访谈、内部审计自查、信息收集与解读等方式对机构与运营风险管 理相关的内部制度、流程及风险管理指标开展审查评估，再根据评估结果提出风险管理处置 建议与改进。 图一运营风险管理体系框架 6风险管理策略与原则 6.1风险管理策略 电子认证服务机构应制定与自身业务状况相适应的运营风险管理策略与方针，具体管理 策略应包括至少以下方面内容： ——建立科学规范合理的风险管理组织架构或职能部门； ——建立合理流程有效识别、评估分析与处置风险； ——配备能力适配的人员支持风险管理工作，并开展风险管理的有关培训； ——设置风险评估周期，并制定实施相适应的风险控制管理应急预案； ——风险后果严重等级、风险发生后果严重等级的确定评估； ——风险识别、评估、监控系统或工具； ——风险应对、风险处理、风险控制措施； ——风险防范机制。 6.2风险管理原则 电子认证服务机构的数字证书业务过程中的运营风险管理，须遵循以下基本原则： 1.全面性原则 全国团体标准信息平台 T/SCCIA012-2023 4运营风险管理全面覆盖事前、事中、事后各业务的各个环节。电子认证服务机构应建立 并完善其相应的运营风险管理机制、制度及流程，设立相应运营风险监控指标，确保指标在 各业务领域的全面覆盖，在各个风险关键节点检测出风险后，及时实现对风险业务实施阻断 操作。 2.一致性原则 电子认证服务机构设立的运营风险管理目标与自身整体风险承受能力与意愿保持一致， 且应与CA机构整体层面设立的风险管理目标一致，一致性原则也有助于确保机构负责人辨别 行动方向和做出优先的措施。 3.预防性原则 风险预防控制原则，要求电子认证服务机构在实践业务运营中普遍应用运营风险管理策 略，变被动为主动，变事后处理为提前防范，在对外提供运营服务时采用风险管理技术工具 与措施，提高风险的可预判性，降低或避免风