电子认证服务管理办法 2009年2月18日中华人民共和国工业和信息化部令第 1号公布，自2009年3月31 日起施行。 根据2015年4月29日中华人民共和国工业和信息化部令第 29号公布的《工业和信息 化部关于修改部分规章的决定》修订 第一章 总则 第一条 为了规范电子认证服务行为，对电子认证服务提供者实施监督管 理，根据《中华人民共和国电子签名法》和其他法律、行政法规的规定，制定 本办法。 第二条 本办法所称电子认证服务，是指为电子签名相关各方提供真实性、 可靠性验证的活动。 本办法所称电子认证服务提供者，是指为需要 第三方认证的电子签名提供 认证服务的机构（以下称为“电子认证服务机构”）。 向社会公众提供服务的电子认证服务机构应当依法设立。 第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电 子认证服务，适用本办法。 第四条 中华人民共和国工业和信息化部（以下简称“工业和信息化部”） 依法对电子认证服务机构和电子认证服务实施监督管理。 第二章 电子认证服务机构 第五条 电子认证服务机构应当具备下列条件： （一）具有独立的企业法人资格。 （二）具有与提供电子认证服务相适应的人员。从事电子认证服务的专业 技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且 应当符合相应岗位 技能要求。 （三）注册资本不低于人民币三千万元。 （四）具有固定的经营场所和满足电子认证服务要求的物理环境。 （五）具有符合国家有关安全标准的技术和设备。 （六）具有国家密码管理机构同意使用密码的证明文件。 （七）法律、行政法规规定的其他条件。 第六条 申请电子认证服务许可的，应当向工业和信息化部提交下列材料： （一）书面申请。 （二）人员证明。 （三）企业法人营业执照副本及复印件。 （四）经营场所证明。 （五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关 安全标准的凭证。 （六）国家密码管理机构同意使用密码的证明文件。 第七条 工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、 符合法定形式的，应当向申请人出具受理通知书。申请材料不齐全或者不符合 法定形式的，应当当场或者在五日内一次告知申请人需要补正的全部内容。 第八条 工业和信息化部对决定受理的申请材料进行实质审查。需要对有关 内容进行核实的，指派两名以上工作人员实地进行核查。 第九条 工业和信息化部对与申请人有关事项书面征求中华人民共和国 商务 部等有关部门的意见。 第十条 工业和信息化部应当自接到申请之日起四十五日内作出准予许可或 者不予许可的书面决定。不予许可的，应当书面通知申请人并说明理由；准予 许可的， 颁发《电子认证服务许可证》 ，并公布下列信息： （一）《电子认证服务许可证》编号。 （二）电子认证服务机构名称。 （三）发证机关和发证日期。 电子认证服务许可相关信息发生变更的，工业和信息化部应当及时公布。 《电子认证服务许可证》的有效期为五年。 第十一条 电子认证服务机构不得倒卖、出租、出借或者以其他形式非法转 让《电子认证服务许可证》。 第十二条 取得认证资格的电子认证服务机构，在提供电子认证服务之前， 应当通过互联网公布下列信息： （一）机构名称和法定代表人。 （二）机构住所和联系办法。 （三）《电子认证服务许可证》编号。 （四）发证机关和发证日期。 （五）《电子认证服务许可证》有效期的起止时间。 第十三条 电子认证服务机构在《电子认证服务许可证》的有效期内变更公 司名称、住所、法定代表人、注册资本的，应当在完成工商变更登记之日起 15 日内办理《电子认证服务许可证》变更手续。 第十四条 《电子认证服务许可证》的有效期届满需要延续的，电子认证服 务机构应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手 续，并自办结之日起五日内按照本办法 第十二条的规定公布相关信息。 第三章 电子认证服务 第十五条 电子认证服务机构应当按照工业和信息化部公布的《电子认证业 务规则规范》等要求，制定本机构的电子认证业务规则和相应的证书策略，在 提供电子认证服务前予以公布，并向工业和信息化部备案。 电子认证业务规则和证书策略发生变更的，电子认证服务机构应当予以公 布，并自公布之日起三十日内向工业和信息化部备案。 第十六条 电子认证服务机构应当按照公布的电子认证业务规则提供电子认 证服务。 第十七条 电子认证服务机构应当保证提供下列服务： （一）制作、签发、管理电子签名认证证书。 （二）确认签发的电子签名认证证书的真实性。 （三）提 供电子签名认证证书目录信息查询服务。 （四）提供电子签名认证证书状态信息查询服务。 第十八条 电子认证服务机构应当履行下列义务： （一）保证电子签名认证证书内容在有效期内完整、准确。 （二）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容 及其他有关事项。 （三）妥善保存与电子认证服务相关的信息。 第十九条 电子认证服务机构应当建立完善的安全管理和内部审计制度。 第二十条 电子认证服务机构应当遵守国家的保密规定，建立完善的保密制 度。 电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义 务。 第二十一条 电子认证服务机构在受理电子签名认证证书申请前，应当向申 请人告知下列事项： （一）电子签名认证证书和电子签名的使用条件。 （二）服务收费的项目和标准。 （三）保存和使用证书持有人信息的权限和责任。 （四）电子认证服务机构的责任范围。 （五）证书持有人的责任范围。 （六）其他需要事先告知的事项。 第二十二条 电子认证服务机构受理电子签名认证申请后，应当与证书申请 人签订合同，明确双方的权利义务。 第四章 电子认证服务的暂停、终止 第二十三条 电子认证服务机构在《电子认证服务许可证》的有效期内拟终 止电子认证服务的，应当在终止服务六十日前向工业和信息化部报告，并办理 《电子认证服务许可证》注销手续。 第二十四条 电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂 停或者终止电子认证服务九十日前，就业务承接及其他有关事项通知有关各 方。 电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止 电子认证服务六十日前向工业和信息化部报告，并与其他电子认证服务机构就 业务承接进行协商，作出妥善安排。 第二十五条 电子认证服务机构拟暂停或者终止电子认证服务，未能就业务 承接事项与其他电子认证服务机构达成协议的，应当申请工业和信息化部安排 其他电子认证服务机构承接其业务。 第二十六条 电子认证服务机构被依法吊销电子认证服务许可的，其业务承 接事项按照工业和信息化部的规定处理。 第二十七条 电子认证服务机构有根据工业和信息化部的安排承接其他机构 开展的电 子认证服务业务的义务。 第五章 电子签名认证证书 第二十八条 电子签名认证证书应当准确载明下列内容： （一）签发电子签名认证证书的电子认证服务机构名称。 （二）证书持有人名称。 （三）证书序列号。 （四）证书有效期。 （五）证书持有人的电子签名验证数据。 （六）电子认证服务机构的电子签名。 （七）工业和信息化部规定的其他内容。 第二十九条 有下列情况之一的，电子认证服务机构可以撤销其签发的电子 签名认证证书： （一）证书持有人申请撤销证书。 （二）证书持有人提供的信息不真实。 （三）证书持有人没有履行双方合同规定的义务。 （四）证书的安全性不能得到保证。 （五）法律、行政法规规定的其他情况。 第三十条 有下列情况之一的，电子认证服务机构应当对申请人提供的证明 身份的有关材料进行查验，并对有关材料进行审查： （一）申请人申请电子签名认证证书。 （二）证书持有人申请更新证书。 （三）证书持有人申请撤销证书。 第三十一条 电子认证服务机构更新或者撤销电子签名认证证书时，应当予 以公告。 第六章 监督管理 第三十二条 工业和信息化部对电子认证服务机构进行定期、不定期的监督 检查，监督检查的内容 主要包括法律法规符合性、安全运营管理、风险管理 等。 工业和信息化部对电子认证服务机构实行监督检查时，应当记录监督检查 的情况和处理结果，由监督检查人员签字后归档。公众有权查阅监督检查记 录。 工业和信息化部对电子认证服务机构实行监督检查，不得妨碍电子认证服 务机构正常的生产经营活动，不得收取任何费用。 第三十三条 取得电子认证服务许可的电子认证服务机构，在电子认证服务 许可的有效期内不得降低其设立时所应具备的条件。 第三十四条 电子认证服务机构应当如实向工业和信息化部报送认证业务开 展情况报告、财务会计报告等有关资料。 第三十五条 电子认证服务机构有下列情况之一的，应当及时向工业和信息 化部报告： （一）重大系统、关键设备事故。 （二）重大财产损失。 （三）重大法律诉讼。 （四）关键岗位人员变动。 第三十六条 电子认证服务机构应当对其从业人员进行岗位培训。 第三十七条 工业和信息化部根据监督管理工作的需要，可以委托有关省、 自治区和直辖市信息产业主管部门承担具体的监督管理事项。 第七章 罚