《电子认证服务机构运营风险管理指南》.pdfVIP

电子认证服务机构运营风险管理指南 1 范围 本文件规定了电子认证服务机构业务运营的术语定义、运营风险管理的策略、原则、组 织及业务流程，并明确业务运营工作中所需执行的具体业务标准、要求及指标等风险控制内 容要点，为后续业务持续改进和审计管理提供指导。 本标准适用于电子认证服务机构对数字证书业务运营风险的识别、分析、处置和监督改 进等风险管理工作。 电子认证服务机构可根据本文件建立、实施、有效运行和持续改进数字证书业务运营风 险管理体系，通过保障该体系的有效运行，有效管理风险。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本 适用于本文。凡是不注日期的引用文件，其最新版本 （包括所有修改版）适用于本文件。 GB/T 28447-2012 信息安全技术 电子认证服务机构运营管理规范 GB/T 31722-2015 信息技术 安全技术 信息安全风险管理 GB/T 25056-2018 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 21053-2023 信息安全技术 公钥基础设施 PKI系统安全技术要求 GM/T 0034-2014 基于SM2密码算法的证书认证系统密码及其相关安全技术规范 GM/T 0014-2012 数字证书认证系统密码协议规范 GM/T 0037-2014 证书认证系统检测规范 GJB 5792-2006 电磁屏蔽体等级划分和测量方法 BMB3-1999 处理涉密信息的电磁屏蔽室的技术要求和测试方式 3 术语与定义 下列术语和定义适用于本文件。 3.1 电子认证服务机构 certificate authority 负责创建、分发证书并在必要时提供验证服务以证实用户身份的机构。通常将电子认证 服务机构简称为CA，也称为CA机构、CA 中心、认证机构、证书认证机构等。 3.2 电子认证业务规则 certification practice statement 电子认证服务机构在提供电子认证服务时，在责任范围、作业操作规范、信息安全保障 措施等方面所遵循的业务规则。 3.3 数字证书 digitalcertificate 1 由电子认证服务机构采用非对称密码技术签发的，用于证明证书主体身份与特定公钥间 对应关系的数据电文。 3.4 数字证书撤销列表 certificate revocation list 由电子认证服务机构签署的一个有效期内失效的证书列表，它给出了一套证书发布者认 为无效的证书。 CRL通常又被称为数字证书黑名单。内容通常还包含CA机构的名称、发行日期、下次 撤销列表的预定发行日期、变更或撤销的数字证书序号，并说明变更或撤销的时间与理由。 3.5 在线查询数字证书状态协议 online certificate status protocol OCSP用于支持实时查询数字证书状态。 3.6 业务运营风险 business operation risk 电子认证服务机构在提供数字证书等的业务咨询、业务办理、鉴证服务、档案管理、技 术支持等的工作流程，任何由于操作流程、系统问题、人员失误等原因所可能或实际引发的 各类风险及其导致的损失。 3.7 风险源 risk source 任何可能导致或增大风险事故发生的要素，包括电子认证服务运营管理流程及其相关活 动。 3.8 风险管理 risk management 指导和控制风险相关的协调活动，具体可包括对数字证书运营全流程可能影响业务正常 开展的风险源进行风险识别、分析、处置以及监督评价等实施管理的过程。 4 缩略语 下列缩略语适用于本文件： CA： 电子认证服务机构 certificate authority CPS： 电子认证业务规则 certification practice statement CRL： 数字证书撤销列表 certificate revocation list OCSP： 在线查询数字证书状态协议 online certificate status protocol