电子认证服务机构运营管理规范(国标)答案.doc

电子认证服务机构运营管理规范 （国标） 2010年8月 目??次 1 范围 3 2 规范性引用文件 3 3 术语和定义 4 3.1 电子认证服务机构 certification authority 4 3.2 证书策略 certificate policy 4 3.3 电子认证业务规则 certification practice statement 4 3.4 证书撤销列表 certificate revocation list 4 3.5 自主访问控制 discretionary access control 4 3.6 数字证书 digital certificate 4 3.7 公钥基础设施 public key infrastructure 4 3.8 注册机构 registration authority 5 3.9 秘密分担 secret sharing 5 4 缩略语 5 5 运营系统 5 5.1 认证系统 5 5.2 运营网络 5 5.3 密码设备 5 5.4 系统安全 6 5.5 系统冗余与备份 7 6 运营场地与设施 8 6.1 运营场地 8 6.2 运营区域划分及要求 8 6.3 安全监控系统 9 6.4 环境保护与控制设施 10 6.5 支撑设施 10 6.6 RA场地安全 11 7 职能与角色 11 7.1 必需的部门职能 11 7.2 必须的岗位角色 11 8 认证业务管理 12 8.1 业务规范和协议 12 8.2 用户证书生命周期管理 12 8.3 用户证书密钥管理 14 8.4 CA密钥和证书管理 15 8.5 客户隐私保护 16 8.6 RA管理 17 9 安全管理 17 9.1 安全策略与规划 17 9.2 安全组织 17 9.3 场地访问安全管理 18 9.4 场地监控安全管理 18 9.5 系统运维安全管理 18 9.6 人员安全管理 19 9.7 密码设备安全管理 19 9.8 文档安全管理 20 9.9 介质安全管理 20 9.10 安全实施与监督 21 10 业务连续性控制 21 10.1 概要 21 10.2 业务连续性计划 21 10.3 应急处理 21 10.4 灾难恢复 23 10.5 灾备中心 23 11 记录与审计 23 11.1 记录保存 24 11.2 记录的查阅 24 11.3 记录归档 24 11.4 记录销毁 24 11.5 审计 24 参考文献 26 电子认证服务机构运营管理规范 范围 本标准规定了电子认证服务机构在运营管理方面的规范性要求。本标准适用于在开放的互联网环境中提供数字证书服务的电子认证服务机构，对于在封闭环境中（如在特定团体或某个行业内）运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性地参考本标准。国家有关的测评机构、监管部门也可以将本标准作为测评和监管的依据。 电子认证服务机构的行政管理应遵从《中华人民共和国电子签名法》等相关法律法规和管理部门的规定。本标准所涉及的密码管理部分，按照国家密码管理机构的相关规定执行。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的必威体育精装版版本。凡是未标注日期的引用文件，其必威体育精装版版本适用于本标准。 GB 6650 计算机机房用活动地板技术条件 GB 50045 高层民用建筑设计防火规范 GB 50174 电子信息系统机房设计规范 GB/T 2887 计算站场地技术条件 GB/T 9361 计算站场地安全要求 GB/T 16264.8—2005 信息技术 开放系统互联 目录 第8部分：公钥和属性证书框架 GB/T 19713—2005 信息技术 安全技术 公钥基础设施 在线证书状态协议 GB/T 19716—2005 信息技术 信息安全管理实用规则 GB/T AAAA—AAAA证书认证系统密码及其相关安全技术规范 GB/T AAAA—AAAA 信息技术 安全技术 公钥基础设施 数字证书格式 GB/T YYYY—YYYY 信息技术 安全技术 公钥基础设施 证书策略与认证业务声明框架 IETF RFC1777 Lightweight Directory Access Protocol IETF RFC2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSP IETF RFC2587 Internet X.509 Public Key Infr