电子认证服务密码管理规定

电子认证服务密码管理规定范文为进一步加强电子认证服务密码的管理，保障用户身份和信息的安全，提高电子认证服务的质量和可信度，制定本规定。

一、密码的设置和复杂性要求1. 用户密码应由数字、字母和特殊字符组合，长度不得少于8位，且至少包含一个大写字母、一个小写字母、一个数字和一个特殊字符。

2. 用户密码不得使用生日、手机号码、身份证号码等容易猜测的信息，避免使用常见的易被破解的密码。

二、密码的保密与共享1. 用户密码是用户个人信息的重要保护措施，用户应妥善保管个人密码，不得将密码泄露、出借或共享给他人。

2. 电子认证服务提供者不得要求用户将密码提供给其进行存储，也不得以任何方式获取用户的密码。

三、密码的定期更换1. 用户密码应定期进行更换，建议每三个月更换一次。

2. 用户在更换密码时，不能使用最近一年内已经使用过的密码，不能将新密码与旧密码过于相似。

四、密码找回机制1. 当用户遗忘密码或需要找回密码时，应提供有效的身份证明材料，经过电子认证服务提供者的验证后，方可重新设置密码。

2. 密码找回过程中应采取多重验证方式，并采取加密措施保护用户的个人信息和账户安全。

五、密码保护技术1. 电子认证服务提供者应采用现代密码保护技术，对用户密码进行加密存储和传输，确保密码的安全性和可靠性。

2. 电子认证服务提供者应制定相应的安全策略和防范措施，防止密码被恶意攻击、破解或泄露。

六、密码使用规范1. 用户在使用电子认证服务时，应遵循相关的密码使用规范，不得将密码用于非法用途或进行违法活动。

2. 用户密码不得与其他账户密码相同，应将所有的账户密码保持独立和独特性。

七、密码安全教育1. 电子认证服务提供者应对用户进行密码安全教育，提高用户对密码安全的认知和重视程度。

2. 用户应加强自身的密码安全意识，定期学习和了解密码保护的最新知识和技术。

八、违规处理1. 对于违反密码管理规定的用户，电子认证服务提供者有权采取相应的处理措施，包括但不限于限制或终止用户的账户及服务使用权限。

卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2009.12.25•【文号】卫办发[2009]125号•【施行日期】2010.01.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部关于印发《卫生系统电子认证服务管理办法（试行）》的通知(卫办发〔2009〕125号)各省、自治区、直辖市卫生厅局，新疆生产建设兵团卫生局：为保障卫生信息系统安全，规范卫生系统电子认证服务体系建设，满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求，依据《中华人民共和国电子签名法》和《电子认证服务管理办法》（工业和信息化部令2009年第1号），结合卫生系统业务特点，我部制定了《卫生系统电子认证服务管理办法（试行）》，并经部务会讨论通过。

现印发给你们，请遵照执行。

附件：卫生系统电子认证服务管理办法（试行）二○○九年十二月二十五日附件卫生系统电子认证服务管理办法（试行）第一章总则第一条为保障卫生信息系统安全，规范卫生系统电子认证服务体系建设，依据《中华人民共和国电子签名法》和《电子认证服务管理办法》（工业和信息化部令2009年第1号），结合卫生系统业务特点，制定本办法。

第二条本办法适用于在全国卫生系统范围内管理、使用和提供电子认证服务的管理方、使用方和提供方。

管理方包括卫生部和各省级卫生行政部门信息化工作领导小组；使用方包括全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员、涉及卫生业务的企事业单位和社会公众；提供方包括为卫生系统提供电子认证服务的电子认证服务机构。

第三条本办法所称电子认证服务，是指电子认证服务机构按照卫生系统电子认证服务体系相关技术标准和服务规范，为使用方提供数字证书的颁发、更新、吊销、密码解锁、密钥恢复以及证书应用等服务，从而满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。

国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知
正文：
----------------------------------------------------------------------------------------------------------------------------------------------------
国家密码管理局关于印发《电子政务电子认证服务业务规则规范》的通知
国密局字〔2018〕572号
各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局，深圳市密码管理局：现将修订后的《电子政务电子认证服务业务规则规范》印发你们，自2019年3月1日起施行。

2010年9月9日印发的《电子政务电子认证服务业务规则规范》（国密局字〔2010〕488号）同时废止。

附件：电子政务电子认证服务业务规则规范
国家密码管理局
2018年12月18日
——结束——。

国家密码管理局文件国密局发(2009)7号关于印发（电子政务电子认证服务管理办法）的通知各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局，中央和国家机关有关部委密码工作领导小组办公室:为了规范电子政务电子认证服务活动,现将（电子政务电子认证服务管理办法（试行)印发你们。

请结合工作实际，认真贯彻执行.本办法自2009年11月1日起施行。

施行前已从事并拟继续从事电子政务电子认证服务的电子认证服务机构，应当在2010年5月1日前,按照本办法的规定向国家密码管理局提出认证服务能力评估申请；未通过认证服务能力评估的,自2010年8月1日起，不得继续从事电子政务电子认证服务。

2009年10月20日电子政务电子认证服务管理办法（试行）第一章总则第一条为了规范电子政务电子认证服务活动，依据（中华人民共和国电子签名法)、(商用密码管理条例)和国务院有关文件,制定本办法。

第二条本办法所称电子政务电子认证服务(以下简称认证服务），是指电子认证服务机构采用密码技术,通过数字证书，为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务.电子政务电子认证服务包括面向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务.第三条电子政务电子认证服务活动的电子认证基础设施、电子认证服务机构、电子认证服务应用等的管理，适用本办法。

第四条国家密码管理局负责全国电子政务电子认证服务活动的监督管理工作。

各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称省部密码管理部门)按照国家密码管理局的统一要求，负责本地区本部门电子政务电子认证服务活动的监督管理工作。

第二章基础设施第五条电子政务电子认证基础设施基于密码技术,由实现数字证书签发、注册审核和查询服务等功能的软硬件产品和系统组成。

认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。

第六条用于认证服务活动的电子政务电子认证基础设施应当具备以下条件:(一)符合电子政务电子认证体系建设总体规划布局要求；（二)采用国家密码管理局认定的商用密码产品；(三）由具有商用密码产品生产资质的单位承建;(四）符合(证书认证系统密码及其相关安全技术规范）等标准规范要求；（五）采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务;（六)支持电子政务电子认证源点的管理；(七）通过国家密码管理局安全性审查。

《电子政务电子认证服务管理办法》解读文章属性•【公布机关】国家密码管理局,国家密码管理局,国家密码管理局•【公布日期】2024.09.10•【分类】法规、规章解读正文《电子政务电子认证服务管理办法》解读根据《中华人民共和国密码法》（以下简称《密码法》）、《中华人民共和国电子签名法》（以下简称《电子签名法》）和《商用密码管理条例》（以下简称《条例》）等法律法规，国家密码管理局研究制定了《电子政务电子认证服务管理办法》（国家密码管理局令第4号）（以下简称《办法》），现就《办法》的有关内容解读如下。

一、制定的必要性（一）制定《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。

《密码法》第二十九条明确提出“国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理”的要求。

新修订的《条例》第二十四条规定：“采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。

”为有效贯彻落实上位法规定，按照商用密码依法管理要求，有必要制定《办法》，细化电子政务电子认证服务机构管理措施。

（二）制定《办法》是深化行政审批制度改革、优化营商环境的重要举措。

近年来，党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署，为严格落实行政审批制度改革要求，有必要制定《办法》，明确审批条件，优化审批流程，规范服务行为，为保障电子政务安全可靠，维护电子政务电子认证服务有关各方合法权益，净化市场环境，优化政务服务，规范监管执法提供法治保障和政策支持。

（三）制定《办法》是规范电子政务电子认证服务机构管理的迫切需要。

随着电子政务电子认证服务业的持续发展，电子政务电子认证服务应用需求显著增加，从事电子政务电子认证服务的机构日益增多，急需出台专门规章进一步规范电子政务电子认证服务机构管理工作。

电子认证服务密码管理规定第一章总则第一条为了保护电子认证服务的安全性和用户的个人信息，规范电子认证服务密码的管理，制定本规定。

第二条本规定适用于提供电子认证服务的企事业单位、个人、互联网服务提供者等。

第三条电子认证服务密码是指用户在使用电子认证服务时所使用的密码信息，包括但不限于账号密码、短信验证码、指纹、面部识别等。

第四条电子认证服务密码的管理应当遵循公平、公正、公开的原则，不得侵犯用户的合法权益。

第二章密码的设置与管理第五条用户在使用电子认证服务时，应当按照规定选择强度较高的密码，并定期修改密码。

第六条电子认证服务提供者应当为用户提供合理的密码设置规范和密码强度检测工具，并向用户提示密码设置的注意事项。

第七条用户在设置密码时应当遵循以下原则：（一）密码应当由字母、数字、符号等组成，长度不低于8位；（二）密码应当避免使用容易猜测的信息，如生日、手机号码等；（三）密码应当经常更新，不得长时间未修改。

第八条用户不得将电子认证服务密码告知他人，不得将密码设置为与个人信息相关的信息，如姓名、身份证号码等。

第九条电子认证服务提供者应当采取必要的技术手段和管理措施，确保用户的密码不被他人获取和破解。

第十条用户发现自己的密码被泄露或可能被他人破解时，应当立即向电子认证服务提供者报告，并及时修改密码。

第三章密码的存储与传输第十一条电子认证服务提供者应当确保用户密码的存储安全，不得明文存储用户密码。

第十二条电子认证服务提供者在密码传输过程中应当使用安全加密通道，防止密码被窃取。

第十三条电子认证服务提供者不得将用户密码用于其他非认证相关的服务，不得将用户密码传输给他人。

第四章手机短信验证码的管理第十四条手机短信验证码是一种常用的身份验证方式，电子认证服务提供者应当采取措施确保手机短信验证码的安全性。

第十五条电子认证服务提供者应当与手机运营商合作，加强对手机短信验证码的管理和保护，防止验证码被盗用。

第十六条用户在接收到手机短信验证码后应当及时输入，不得将验证码泄露给他人。

电⼦认证服务密码管理办法第⼀条为了规范电⼦认证服务提供者使⽤密码的⾏为，根据《中华⼈民共和国电⼦签名法》和《商⽤密码管理条例》，制定本办法。

第⼆条国家密码管理局对电⼦认证服务提供者使⽤密码的⾏为实施监督管理。

省、⾃治区、直辖市密码管理机构受国家密码管理局的委托，依据本办法承担有关管理⼯作。

第三条电⼦认证服务提供者采⽤密码技术为社会公众提供第三⽅电⼦认证服务的系统(以下称电⼦认证服务系统)使⽤商⽤密码。

第四条提供电⼦认证服务，应当依据本办法申请《电⼦认证服务使⽤密码许可证》。

第五条申请《电⼦认证服务使⽤密码许可证》应当具备下列条件：(⼀)具有符合《证书认证系统密码及其相关安全技术规范》的电⼦认证服务系统;(⼆)电⼦认证服务系统由具有商⽤密码产品⽣产资质的单位承建;(三)电⼦认证服务系统采⽤的商⽤密码产品是国家密码管理局认定的产品;(四)电⼦认证服务系统通过国家密码管理局安全性审查。

第六条申请《电⼦认证服务使⽤密码许可证》应当向省、⾃治区、直辖市密码管理机构提交下列材料：(⼀)使⽤密码的书⾯申请;(⼆)企业法⼈营业执照或者企业名称预先核准通知书(复印件);(三)电⼦认证服务系统通过安全性审查的通知(复印件)。

第七条省、⾃治区、直辖市密码管理机构应当⾃受理申请材料之⽇起5个⼯作⽇内，将全部申请材料报国家密码管理局。

第⼋条国家密码管理局应当⾃收到省、⾃治区、直辖市密码管理机构报送的材料之⽇起15个⼯作⽇内对申报材料进⾏审查，并做出是否许可的决定。

予以许可的，发给《电⼦认证服务使⽤密码许可证》;不予许可的，书⾯通知申请⼈并说明理由。

第九条电⼦认证服务系统的运⾏应当符合《证书认证系统密码及其相关安全技术规范》。

电⼦认证服务提供者对其电⼦认证服务系统进⾏技术改造的，事先将具体⽅案报国家密码管理局备案，事后向国家密码管理局申请安全性审查，通过审查的⽅可投⼊运⾏。

第⼗条电⼦认证服务提供者擅⾃对电⼦认证服务系统进⾏技术改造的，由国家密码管理局责令改正，并根据不同情况向信息产业主管部门提出处罚建议。