电子政务电子认证服务质量评估表.doc
- 文档编号:386339
- 上传时间:2022-10-09
- 格式:DOC
- 页数:29
- 大小:299KB
电子政务电子认证服务质量评估表.doc
《电子政务电子认证服务质量评估表.doc》由会员分享,可在线阅读,更多相关《电子政务电子认证服务质量评估表.doc(29页珍藏版)》请在冰豆网上搜索。
附录
电子政务电子认证服务质量评估表
评估领域
评估项
评估子项
评估方法
考核记录
备注
是否
基本要求
认证机构
事业法人或者取得电子认证服务许可的企业法人
检查认证机构是否属于事业法人或者取得电子认证服务许可的企业法人
□□
面向企事业单位、社会团体等社会公众提供服务的电子认证服务机构,应具有国务院信息产业主管部门颁发的《电子认证服务许可证》。
检查认证机构是否属于面向企事业单位、社会团体等社会公众提供服务的电子认证服务机构,是否具有国务院信息产业主管部门颁发的《电子认证服务许可证》。
□□
具有与提供电子认证服务相适应的资金保障和经营场所
检查认证机构是否具有与提供电子认证服务相适应的资金保障和经营场所
□□
具有与提供电子认证服务相适应的专业技术人员和管理人员
检查认证机构是否具有与提供电子认证服务相适应的专业技术人员和管理人员
□□
具有符合国家密码管理要求的电子认证服务基础设施
检查认证机构是否具有符合国家密码管理要求的电子认证服务基础设施
□□
具有符合国家相关规范要求的电子政务电子认证服务业务规则
检查认证机构是否按照《电子政务电子认证服务业务规则规范》制定本机构《电子政务电子认证服务业务规则》
□□
具有健全的安全管理制度
检查认证机构是否具有健全的安全管理制度
□□
基础设施
由具有商用密码产品生产和密码服务能力的单位承建
检查基础设施是否由具有商用密码产品生产和密码服务能力的单位承建
□□
采用国家密码管理局认定的商用密码产品
检查基础设施是否采用国家密码管理局认定的商用密码产品
□□
符合国家密码管理相关标准规范
检查基础设施是否符合国家密码管理相关标准规范
□□
采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务
检查基础设施是否采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务
□□
通过国家密码管理局安全性审查
通过国家密码管理局安全性审查
□□
电子认证业务规则管理
电子认证业务规则管理
建立CPS的管理制度
检查是否有固定的CPS管理制度或者流程
□□
具有明确CPS管理组织
随机抽查一个该管理组织人员进行确认是否有明确的CPS管理组织
□□
定期评估CPS的适用性
提供本年度CPS评估记录
□□
及时发布更新CPS
检查最新的CPS发布记录是否一致
□□
具有CPS备案记录
检查最新的CPS备案记录
□□
验证CPS的符合性
定期检查验证CPS的符合性
□□
数字证书服务
注册机构管理
具有注册机构管理制度
查看是否有清晰规范的RA/LRA管理制度,包括:
运营业务管理规范、证书业务办理流程、身份鉴别、验证管理流程、用户档案管理规范等。
□□
认证机构应建立RA/LRA权限分配机制
查看最新RA/LRA权限分配表
□□
对代理机构的管理规范及相关记录
检查对代理机构的管理规范及相关记录
□□
注册系统和证书受理操作的相关授权记录及管理记录
检查注册系统和证书受理操作的相关授权记录及管理记录
□□
对注册机构的审计记录
抽查审计记录
□□
业务流程
建立并公布证书业务咨询流程
检查是否有证书业务咨询流程
□□
建立并公布证书受理流程
检查是否有证书受理流程,如存在在线受理,应说明在线受理的流程。
□□
建立并公布证书签发流程
检查是否证书签发流程
□□
建立并公布证书更新流程
检查是否有证书更新流程
□□
建立并公布加密密钥恢复流程
检查是否有加密密钥的恢复流程
□□
建立并公布证书撤销流程
检查是否有证书撤销流程
□□
业务咨询
业务咨询内容应包括证书应用、证书安全保管、存储介质使用、政策法规、技术服务、投诉处理、收费等方面内容
按照咨询流程随机抽取进行验证,验证内容可包括证书应用、证书安全保管、存储介质使用、政策法规、技术服务、投诉处理、收费等方面内容。
□□
应明确告知证书业务相应的服务流程
提供明确告知证书业务相应的服务流程的相关证明
□□
业务咨询受理应有相关记录
提供业务咨询受理相关记录样本
□□
证书申请与受理
认证机构应提供多种证书申请受理方式
提供证书受理相关方式的证明,必要时检查多种证书受理方式。
□□
受理申请时应告知证书用户相应的责任和权利
提供明确告知证书申请者和电子政务电子认证服务提供者的责任与义务的相关证明,比如协议等资料,或者在线同意的相关记录。
□□
认证机构应验证证书申请者的授权有效性及证书持有者身份的真实性
提供验证证书申请者的授权有效性及证书持有者身份的证明材料
认证机构应保留对最终实体身份的证明和确认信息
提供相关信息的证明资料,随机进行抽查
□□
认证机构应保证证书申请者和持有者信息不被篡改、隐私信息不被泄漏
提供相关管理机制或者安全措施等证明资料
□□
注册过程必须保证所有证书申请者明确同意相关的证书申请协议
提供相关证明资料,比如抽查相关协议、视频等相关资料。
□□
认证机构、注册机构应在鉴别的基础上,批准或拒绝申请。
如果拒绝申请,应通过适当的方式、在2个工作日内通知证书申请者;如果批准申请,应为证书申请者办理证书签发服务。
抽查相关记录,从用户提交申请起检查相关批准记录。
□□
认证机构处理证书请求的最长响应时间应不超过2个工作日
抽查相关记录,从用户提交申请起检查相关批准记录。
□□
证书签发
用户证书应当是基于SM2密码算法的签名证书和加密证书
随机抽查通过实例检查证书是否是基于SM2密码算法的签名证书和加密证书
□□
证书格式应符合GM/T0015的要求
随机抽查通过实例检查证书密钥对用法是否正确,随机抽查通过实例检查证书证书的基本限制、密钥用法域是否是关键扩展等。
□□
证书持有者的签名密钥对由证书持有者的密码设备(如智能密码钥匙或智能IC卡)或在符合GM/T0028的密码模块中生成
检查证书存储介质是否有相关型号证书
□□
认证机构应提供安全可靠的证书接受方式
提供能证明证书接受方式为安全可靠的证明材料,如采用快递方式,设备与密码应分开发送等。
□□
对于证书申请者明确表示拒绝发布证书信息的,认证机构应不发布该证书申请者证书信息。
没有明确表示拒绝的,认证机构可将证书信息发布到目录系统。
提供要求不发布的相关证明,并抽查证书发布的实际情况。
□□
证书更新及密钥更新
密钥更新前应对原证书、申请的签名信息、身份信息进行验证和鉴别
检查密钥更新前是否对原证书、申请的签名信息、身份信息进行了验证和鉴别
□□
应明确通知证书持有者新证书签发的方式及时间
抽查是否明确通知证书持有者新证书签发的方式及时间
□□
应明确构成接受密钥更新的行为
检查构成接受密钥更新的行为是否明确
□□
应明确对密钥更新的发布条件、方式及途径
检查对密钥更新的发布条件、方式及途径是否明确
□□
应明确密钥更新后是否需要通知其他实体
检查是否明确密钥更新后通知其他实体
□□
证书撤销
认证机构、注册机构在接到证书持有者的撤销请求后,应对其身份进行鉴别并确认其为证书持有者本人或得到了证书持有者的授权。
提供证书撤销相关证据,验证证书撤销请求确为证书持有者本人或得到了证书持有者的授权。
□□
认证机构、注册机构应在24小时内,撤销符合条件的证书并发布到证书撤销列表。
抽查系统执行证书撤销操作(从决定吊销到发布)是否在24小时内
□□
证书撤销后,应通过有效方式及时告知证书持有者或依赖方证书撤销结果。
检查证书撤销后是否通过有效方式及时告知证书持有者或依赖方证书撤销结果
□□
证书撤销信息发布有效
检查是否发布了证书撤销信息以及信息是否有效
□□
密钥恢复
认证机构在接到证书持有者的加密密钥恢复请求后,应对其身份进行鉴别并确认其为证书持有者本人或得到了证书持有者的授权。
提供加密密钥恢复的证据,验证加密密钥恢复请求是否由证书持有者本人或得到了证书持有者的授权的人发起。
应明确构成接受密钥恢复的行为
检查对于接受密钥恢复的行为是否有明确规定
应用集成服务
证书应用接口程序
证书应用接口应符合GM/T0020的要求
使用任意一张证书进行签名验证是否符合标准规范
□□
具有并提供证书应用接口说明文档
检查接口说明文档提交记录
□□
证书应用方案支持
有适应应用集成服务的专业人员
抽查访谈对应岗位的专业人员
□□
有证书应用集成支持方案,包括集成方案、服务支持方案等。
抽查证书应用集成支持方案是否包括集成方案、服务支持方案等
□□
实施集成服务
具有实施集成服务规范,包含实施人员调度、实施操作规范、实施确认等。
抽查实施集成服务规范是否满足需求
□□
具有实施项目配套资源协调能力,为集成所需产品选型提供支持。
检查认证机构是否具有实施项目配套资源协调能力
□□
对于已提供服务的认证机构,可提供本年度集成项目合同
提供本年度集成项目合同
□□
提供客户对集成服务的评价
通过抽查任意一个项目客户验收报告评价客户对集成服务的认可度,查看验收报告。
□□
信息服务
业务信息的发布
发布政务CPS、证书链、技术服务手册、业务办理流程、联系方式、业务开展相关资质、投诉电话等信息
检查官方网站是否存在所考察的内容
□□
发布的信息具有有效性
检查证书链、联系方式、投诉电话等是否有效
□□
CRL更新周期和备份周期不应超过24小时,备份保存时间至少10年。
检查CRL更新周期和备份周期是否超了24小时,检查1年前的CRL备份是否存在。
□□
提供任何一种证书状态查询服务,且公布证书状态查询方式。
能提供任意一种证书状态查询服务,且公布了证书状态查询方式。
□□
证书查询服务可用
公布的证书状态查询服务可以访问
□□
应提供CRL、OCSP等方式的证书状态查询接口
通过检查认证中心的相关资料验证是否提供证书状态查询接口
□□
其他相关控制
对司法程序需要的信息访问,应严格审核司法人员身份及授权文件,确认后方可提供信息访问。
查看是否有司法访问相关制度或流程
□□
对监管部门需要的信息访问,应按照相关的管理规定和调取程序,为其提供信息访问。
查看是否存在信息访问控制流程
□□
具有访问操作记录
查看是否具有访问操作记录
□□
使用支持服务
热线服务
建立完善的坐席服务制度及流程
检查是否有相关制度及流程
□□
至少提供5×8小时热线服
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子政务 电子 认证 服务质量 评估