PDF《山东云海安全认证服务有限公司》

5 电子认证服务机构设施、管理和操作控制.25 5.1 物理控制.25 5.1.1 场地位置与建筑.25 5.1.2 物理访问.26 5.1.3 电力与空调.26 5.1.4 水患防治.26 5.1.5 火灾预防和保护.27 5.1.6 介质存储.27 5.1.7 废物处理.27 5.1.8 异地备份.27 5.2 程序控制.28 5.2.1 可信角色.28 5.2.2 每个角色的识别与鉴别.28 5.2.3 需要职责分割的角色.29 5.3 人员控制.29 5.3.1. 资格、经历和无过失要求.29 5.3.2 背景审查程序.29 5.3.3 培训要求.30 5.3.4 再培训周期和要求.30 5.3.5 工作轮换周期和顺序.30 5.3.6 对未授权行为的处罚.30 5.3.7 独立合约人的要求.30 5.3.8 提供给员工的文档.31 5.4 审计日志程序.31 5.4.1 记录事件的类型.31 5.4.2 处理或归档日志的周期.31 5.4.3 审计日志的保存期限.31 5.4.4 审计日志的保护.31 5.4.5 审计日志备份程序.32 5.4.6 审计日志收集系统.32 5.4.7 对导致事件实体的通告.32 5.4.8 脆弱性评估.32 5.5 记录归档.32 5.5.1 归档记录的类型.32 5.5.2 归档记录的保存期限.32 5.5.3 归档文件的保护.32 5.5.4 归档文件的备份程序.32 5.5.5 记录时间戳要求.33 5.5.6 获得和检验归档信息的程序.33 i 5.6 电子认证服务机构密钥更替.33 5.7 损害和灾难恢复.34 5.7.1 事故和损害处理程序.34 5.7.2 计算资源、软件或数据被破坏.34 5.7.3 实体私钥损害处理程序.34 5.7.4 灾难后的业务连续性能力.34 5.8 电子认证服务机构或注册机构的终止.34

6 认证系统技术安全控制.34 6.1 密钥对的生成和安装.34 6.1.1 密钥对的生成.34 6.1.2 私钥传送给订户.35 6.1.3 公钥传送给证书签发机构.35 6.1.4 电子认证服务机构公钥传送给依赖方.35 6.1.5 密钥的长度.35 6.1.6 公钥参数的生成和质量检查.36 6.1.7 密钥使用目的.36 6.2 私钥保护和密码模块工程控制.36 6.2.1 密码模块标准和控制.36 6.2.2 私钥的多人控制.36 6.2.3 私钥托管.36 6.2.4 私钥备份.37 6.2.5 私钥归档.37 6.2.6 私钥导入或导出密码模块.37 6.2.7 私钥在密码模块中的存储.37 6.2.8 激活私钥的方法.37 6.2.9 解除私钥激活状态的方法.37 6.2.10 销毁密钥的方法.37 6.2.11 密码模块的评估.38 6.3 密钥对管理的其他方面.38 6.3.1. 公钥归档.38 6.3.2 证书操作期和密钥对使用期限.38 6.4 激活数据.38 6.4.1 激活数据的产生和安装.38 6.4.2 激活数据的保护.39 6.4.3 激活数据的其他方面.39 6.5 计算机安全控制.39 6.5.1 特别的计算机安全技术要求.39 6.5.2 计算机安全评估.39 6.6 生命周期技术控制.39 6.6.1 系统开发控制.39 6.6.2 安全管理控制.40 6.6.3 生命周期的安全控制.40 6.7 网络的安全控制.40 6.8 时间戳.40

7 证书、证书吊销列表和在线证书状态协议.40 7.1 证书.40 7.1.1 版本号.41 7.1.2 算法对象标识符.41 v 7.1.3 名称形式.41 7.1.4 证书扩展项.42 7.2 证书吊销列表.42 7.2.1 版本号.42 7.2.2 CRL 和CRL 条目扩展项.43 7.3 在线证书状态协议.43 7.3.1 版本号.43 7.3.2 OCSP 扩展项.43

8 电子认证服务机构审计和其他评估.43 8.1 评估的频率或情形.43 8.2 评估者的资质.43 8.3 评估者与被评估者之间的关系.44 8.4 评估内容.44 8.5 对问题与不足采取的措施.44 8.6 评估结果的传达与发布.44

9 法律责任和其他业务条款.45 9.1 费用.45 9.1.1 证书签发和更新费用.45 9.1.2 证书查询费用.45 9.1.3 证书吊销或状态信息的查询费用.45 9.1.4 其他服务的费用.45 9.1.5 退款策略.45 9.2 财务责任.46 9.3 业务信息保密.46 9.3.1 保密信息范围.46 9.3.2 不属于保密的信息.46 9.3.3 保护保密信息的责任.47 9.4 用户隐私保护.47 9.4.1 隐私保密方案.47 9.4.2 作为隐私处理的信息.47 9.4.3 不被视为隐私的信息.48 9.4.4 用户个人信息的管理.48 9.4.5 依法律或行政程序的信息披露.50 9.4.6 其他信息披露情形.50 9.5 知识产权.50 9.6 陈述与担保.51 9.6.1 电子认证服务机构的陈述与担保.51 9.6.2 注册机构的陈述与担保.51 9.6.3 订户的陈述与担保.52 9.6.4 依赖方的陈述与担保.52 9.6.5 其他参与者的陈述与担保.52 9.7 赔偿责任限制.53 9.7.1. 赔偿责任范围.53 9.7.2 对最终实体的赔偿担保.53 9.7.3 责任免除.53 9.8 有限责任.54 9.9 赔偿.55 9.10 有效期限与终止.55 v 9.10.1 有效期限.55 9.10.2 终止.55 9.10.3 效力的终止与保留.56 9.11 对参与者的个别通告与沟通.56 9.12 修订