编辑: 人间点评 | 2016-04-19 |
17 4.9.8 CRL 发布的最长滞后时间
18 4.10 证书状态服务
18 4.10.1 操作特点.18 4.10.2 服务可用性.18 4.10.3 可选特征.18 4.11 订购结束
18 4.12 密钥生成、备份与恢复
18 4.12.1 密钥生成、备份与恢复的策略和行为.18 4.12.2 会话密钥的封装与恢复的策略和行为.19
5 电子认证服务机构设施、管理和操作控制.19 5.1 物理控制
19 5.1.1 场地位置与建筑.19 5.1.2 物理访问.20 5.1.3 电力与空调.20 5.1.4 水患防治.21 5.1.5 火灾预防和保护.21 5.1.6 介质存储.22 5.1.7 废物处理.22 5.1.8 异地备份.22 山东云海安全认证服务有限公司电子认证业务规则 iv 5.2 程序控制
22 5.2.1 可信角色.22 5.2.2 每个角色的识别与鉴别.23 5.2.3 需要职责分割的角色.23 5.3 人员控制
24 5.3.1. 资格、经历和无过失要求.24 5.3.2 背景审查程序.24 5.3.3 培训要求.24 5.3.4 再培训周期和要求.25 5.3.5 工作轮换周期和顺序.25 5.3.6 对未授权行为的处罚.25 5.3.7 独立合约人的要求.25 5.3.8 提供给员工的文档.25 5.4 审计日志程序
26 5.4.1 记录事件的类型.26 5.4.2 处理或归档日志的周期.26 5.4.3 审计日志的保存期限.26 5.4.4 审计日志的保护.26 5.4.5 审计日志备份程序.26 5.4.6 审计日志收集系统.26 5.4.7 对导致事件实体的通告.27 5.4.8 脆弱性评估.27 5.5 记录归档
27 5.5.1 归档记录的类型.27 5.5.2 归档记录的保存期限.27 5.5.3 归档文件的保护.27 5.5.4 归档文件的备份程序.28 5.5.5 记录时间戳要求.28 5.5.6 获得和检验归档信息的程序.28 5.6 电子认证服务机构密钥更替
28 5.7 损害和灾难恢复
29 5.7.1 事故和损害处理程序.29 5.7.2 计算资源、软件或数据被破坏.29 5.7.3 实体私钥损害处理程序.29 5.7.4 灾难后的业务连续性能力.29 5.8 电子认证服务机构或注册机构的终止
29 6 认证系统技术安全控制.30 6.1 密钥对的生成和安装
30 山东云海安全认证服务有限公司电子认证业务规则 v 6.1.1 密钥对的生成.30 6.1.2 私钥传送给订户.30 6.1.3 公钥传送给证书签发机构.30 6.1.4 电子认证服务机构公钥传送给依赖方.30 6.1.5 密钥的长度.31 6.1.6 公钥参数的生成和质量检查.31 6.1.7 密钥使用目的.31 6.2 私钥保护和密码模块工程控制
31 6.2.1 密码模块标准和控制.31 6.2.2 私钥的多人控制.31 6.2.3 私钥托管.32 6.2.4 私钥备份.32 6.2.5 私钥归档.32 6.2.6 私钥导入或导出密码模块.32 6.2.7 私钥在密码模块中的存储.32 6.2.8 激活私钥的方法.32 6.2.9 解除私钥激活状态的方法.32 6.2.10 销毁密钥的方法.33 6.2.11 密码模块的评估.33 6.3 密钥对管理的其他方面
33 6.3.1. 公钥归档.33 6.3.2 证书操作期和密钥对使用期限.33 6.4 激活数据
33 6.4.1 激活数据的产生和安装.33 6.4.2 激活数据的保护.34 6.4.3 激活数据的其他方面.34 6.5 计算机安全控制
34 6.5.1 特别的计算机安全技术要求.34 6.5.2 计算机安全评估.34 6.6 生命周期技术控制
34 6.6.1 系统开发控制.34 6.6.2 安全管理控制.35 6.6.3 生命周期的安全控制.35 6.7 网络的安全控制
35 6.8 时间戳
35 7 证书、证书吊销列表和在线证书状态协议.35 7.1 证书
35 7.1.1 版本号.36 山东云海安全认证服务有限公司电子认证业务规则 vi 7.1.2 算法对象标识符.36 7.1.3 名称形式.36 7.1.4 证书扩展项.37 7.2 证书吊销列表
37 7.2.1 版本号.37 7.2.2 CRL 和CRL 条目扩展项