为适应电子政务、电子商务对安全认证的需求,进一步做好我省电子认证管理和数字证书应用工作,加快推进我省网络信任体系建设,依据《中华人民共和国电子签名法》、《电子认证服务管理办法》、《电子政务电子认证服务管理办法(试行)》和《山东省信息化促进条例》,结合我省实际,现提出以下意见。
一、充分认识加强电子认证管理和数字证书应用工作的重要性
电子认证是进行电子政务、电子商务活动,确认交易主体身份与基本信用的基础。数字证书在信息系统应用中具有身份认证、授权管理和责任认定等重要功能,在电子政务、电子商务等业务信息交换中普及使用数字证书,能保证信息源的真实性、完整性和信息传输的机密性、不可抵赖性,是保障网络与信息安全的重要手段。
近年来,随着互联网的广泛应用和我国电子政务、电子商务的迅速发展,网络欺诈和一些重要数据、文件在网上被窃取、篡改等事件时有发生,对经济社会发展和国家安全造成极大危害。加强电子认证管理,推广数字证书应用,是网络与信息安全保障的重要组成部分,是信息化建设的重要内容,对全面提高信息安全防护能力、保障和促进网络信任体系建设、维护国家安全与社会稳定具有重要作用。各级各部门各单位要从维护国家安全,健全规范市场经济秩序和营造安全网络环境,构建和谐山东、平安山东的高度,充分认识加强电子认证管理和数字证书应用工作的重要性,积极主动做好工作。
二、依法加强全省电子认证管理
我省电子认证系统建设和数字证书推广应用实行统一管理。省经济和信息化委、省密码管理局要依照《中华人民共和国电子签名法》、《山东省信息化促进条例》和《电子认证服务管理办法》、《电子政务电子认证服务管理办法(试行)》等有关规定,按照各自职责,负责全省电子认证的基础设施建设、管理和数字证书的推广应用。
(一)为加强全省电子认证系统的统一管理,我省电子认证系统的建设、运营、维护等工作,应当由取得国家相关资质的我省电子认证服务机构承担。省外电子认证服务机构在我省开展认证服务,须在省经济和信息化委备案,并就交叉认证的相关技术、管理等问题协商一致后,方可开展电子认证服务业务。电子认证服务机构提供服务所需密钥应当由国家密码管理局批准建设的密钥管理系统提供。从事电子政务电子认证服务的,应当依托国家密码管理局批准的电子政务电子认证基础设施开展。省外电子政务电子认证服务机构到我省开展电子政务电子认证服务的,应当向省密码管理局备案;在我省建设注册审核系统的,应当经省密码管理局批准。
(二)按照国家有关规定,省内各地各部门各单位原则上不再自建面向电子政务和电子商务的电子认证服务系统,已建设的采取整合或撤销的方式进行调整。确有特殊需要的,在提供我省已建电子认证基础设施不能满足其业务需求相关证明,经省密码管理局同意,并报国家密码管理局批准后,方可建设相应电子认证基础设施。
(三)电子认证服务机构要按照国家有关法律、法规,建立完善的保密制度,制定公布电子认证业务规则,包括责任范围、操作规范、信息安全保障措施等,并按照公布的认证业务规则提供电子认证服务。电子认证服务机构要强化对应用的安全保障,提高服务支撑能力,满足社会管理、公共服务和社会公众办理业务等方面的需要。
三、加快推广使用数字证书
(一)我省数字证书的应用遵循统一管理、强化服务、促进应用的原则。按照国家相关规定和要求,在实行属地化管理的基础上,以我省现有电子认证服务机构为依托,建立全省统一的认证服务体系,避免重复建设,促进有序应用。
(二)在非涉密电子政务领域和电子商务活动中,凡具有身份认证、授权管理、责任认定要求的,必须使用数字证书。使用数字证书应当向我省具有相应资质的电子认证服务机构申请。
(三)全省“一卡通”的使用,必须采用具有国家相关资质的电子认证服务机构提供的数字证书,未取得认证资格的不得从事相关领域“一卡通”数字证书的发放和认证服务。
(四)全省信息安全等级保护三级以上(含三级)的电子政务信息系统,在执行国家相关等级保护标准的同时,采用数字证书建立身份认证、授权管理、责任认定等信息安全保障机制。
(五)我省数字证书的推广和应用,要以电子政务的应用带动电子商务的应用。各级党政机关和有关单位应在电子政务活动中带头推广使用数字证书,特别是面向社会、企业、个人服务和管理的工商、税务、财政、质监、检验检疫、公安、社保等部门的电子政务系统和政府网上申报、审批系统,率先普及使用数字证书,带动我省电子政务和电子商务数字证书应用水平的全面提高。
五、保障措施
(一)落实应用责任,确保使用效果。各级各部门各单位要将数字证书应用列入重点工作任务,落实分管领导、责任部门和时间进度,确保2012年年底前行政职能部门的业务信息系统全部实现数字证书的应用。
(二)组织应用培训,加强应用宣传。各级信息化主管部门要组织电子认证服务机构,对各应用部门加强技术指导和培训。各类新闻媒体要积极配合开展舆论宣传,提高社会认知度。
(三)加强督促检查,建立通报制度。各级信息化主管部门要把数字证书应用情况作为每年度信息安全检查的重要内容。对未按本意见要求推广使用数字证书,造成不良后果的,给予通报批评,并依照有关法规进行处理。