电子政务电子认证服务质量评估表

附录 电子政务电子认证服务质量评估表评估领域评估项评估子项评估方法考核记录备 注是 否基本要求认证机构事业法人或者取得电子认证服务许可的企业法人检查认证机构是否属于事业法人或者取得电子认证服务许可的企业法人 面对企事业单位、社会团体等社会公众供应服务的电子认证服务机构，应具有国务院信息产业主管部门颁发的电子认证服务许可证。检查认证机构是否属于面对企事业单位、社会团体等社会公众供应服务的电子认证服务机构，是否具有国务院信息产业主管部门颁发的电子认证服务许可证。 具有与供应电子认证服务相适应的资金保障和经营场所检查认证机构是否具有与供应电子认证服务相适应的资金保障和经营场所 具有与供应电子认证服务相适应的专业技术人员和管理人员检查认证机构是否具有与供应电子认证服务相适应的专业技术人员和管理人员 具有符合国家密码管理要求的电子认证服务基础设施检查认证机构是否具有符合国家密码管理要求的电子认证服务基础设施 具有符合国家相关规范要求的电子政务电子认证服务业务规则检查认证机构是否依据电子政务电子认证服务业务规则规范制定本机构电子政务电子认证服务业务规则 具有健全的平安管理制度检查认证机构是否具有健全的平安管理制度 基础设施由具有商用密码产品生产和密码服务实力的单位承建检查基础设施是否由具有商用密码产品生产和密码服务实力的单位承建 采纳国家密码管理局认定的商用密码产品检查基础设施是否采纳国家密码管理局认定的商用密码产品 符合国家密码管理相关标准规范检查基础设施是否符合国家密码管理相关标准规范 采纳国家密码管理局规划建设的密钥管理基础设施供应密钥管理服务检查基础设施是否采纳国家密码管理局规划建设的密钥管理基础设施供应密钥管理服务 通过国家密码管理局平安性审查通过国家密码管理局平安性审查 电子认证业务规则管理电子认证业务规则管理建立CPS的管理制度检查是否有固定的CPS管理制度或者流程 具有明确CPS管理组织随机抽查一个该管理组织人员进行确认是否有明确的CPS管理组织 定期评估CPS的适用性供应本年度CPS评估记录 刚好发布更新CPS检查最新的CPS发布记录是否一样 具有CPS备案记录检查最新的CPS备案记录 验证CPS的符合性定期检查验证CPS的符合性 数字证书服务注册机构管理具有注册机构管理制度查看是否有清楚规范的RA/LRA管理制度，包括：运营业务管理规范、证书业务办理流程、身份鉴别、验证管理流程、用户档案管理规范等。 认证机构应建立RA/LRA权限安排机制查看最新RA/LRA权限安排表 对代理机构的管理规范及相关记录检查对代理机构的管理规范及相关记录 注册系统和证书受理操作的相关授权记录及管理记录检查注册系统和证书受理操作的相关授权记录及管理记录 对注册机构的审计记录抽查审计记录 业务流程建立并公布证书业务询问流程检查是否有证书业务询问流程 建立并公布证书受理流程检查是否有证书受理流程，如存在在线受理，应说明在线受理的流程。 建立并公布证书签发流程检查是否证书签发流程 建立并公布证书更新流程检查是否有证书更新流程 建立并公布加密密钥复原流程检查是否有加密密钥的复原流程 建立并公布证书撤销流程检查是否有证书撤销流程 业务询问业务询问内容应包括证书应用、证书平安保管、存储介质运用、政策法规、技术服务、投诉处理、收费等方面内容依据询问流程随机抽取进行验证，验证内容可包括证书应用、证书平安保管、存储介质运用、政策法规、技术服务、投诉处理、收费等方面内容。 应明确告知证书业务相应的服务流程供应明确告知证书业务相应的服务流程的相关证明 业务询问受理应有相关记录供应业务询问受理相关记录样本 证书申请与受理认证机构应供应多种证书申请受理方式供应证书受理相关方式的证明，必要时检查多种证书受理方式。 受理申请时应告知证书用户相应的责任和权利供应明确告知证书申请者和电子政务电子认证服务供应者的责任与义务的相关证明，比如协议等资料，或者在线同意的相关记录。 认证机构应验证证书申请者的授权有效性及证书持有者身份的真实性供应验证证书申请者的授权有效性及证书持有者身份的证明材料认证机构应保留对最终实体身份的证明和确认信息供应相关信息的证明资料，随机进行抽查 认证机构应保证证书申请者和持有者信息不被篡改、隐私信息不被泄漏供应相关管理机制或者平安措施等证明资料 注册过程必需保证全部证书申请者明确同意相关的证书申请协议供应相关证明资料，比如抽查相关协议、视频等相关资料。 认证机构、注册机构应在鉴别的基础上，批准或拒绝申请。假如拒绝申请，应通过适当的方式、在2个工作日内通知证书申请者；假如批准申请，应为证书申请者办理证书签发服务。抽查相关记录，从用户提交申请起检查相关批准记录。 认证机构处理证书恳求的最长响应时间应不超过2个工作日抽查相关记录，从用户提交申请起检查相关批准记录。 证书签发用户证书应当是基于SM2密码算法的签名证书和加密证书随机抽查通过实例检查证书是否是基于SM2密码算法的签名证书和加密证书 证书格式应符合GM/T 0015的要求随机抽查通过实例检查证书密钥对用法是否正确，随机抽查通过实例检查证书证书的基本限制、密钥用法域是否是关键扩展等。 证书持有者的签名密钥对由证书持有者的密码设备（如智能密码钥匙或智能IC卡）或在符合GM/T 0028的密码模块中生成检查证书存储介质是否有相关型号证书 认证机构应供应平安牢靠的证书接受方式供应能证明证书接受方式为平安牢靠的证明材料，如采纳快递方式，设备与密码应分开发送等。 对于证书申请者明确表示拒绝发布证书信息的，认证机构应不发布该证书申请者证书信息。没有明确表示拒绝的，认证机构可将证书信息发布到书目系统。供应要求不发布的相关证明，并抽查证书发布的实际状况。 证书更新及密钥更新密钥更新前应对原证书、申请的签名信息、身份信息进行验证和鉴别检查密钥更新前是否对原证书、申请的签名信息、身份信息进行了验证和鉴别 应明确通知证书持有者新证书签发的方式刚好间抽查是否明确通知证书持有者新证书签发的方式刚好间 应明确构成接受密钥更新的行为检查构成接受密钥更新的行为是否明确 应明确对密钥更新的发布条件、方式及途径检查对密钥更新的发布条件、方式及途径是否明确 应明确密钥更新后是否须要通知其他实体检查是否明确密钥更新后通知其他实体 证书撤销认证机构、注册机构在接到证书持有者的撤销恳求后，应对其身份进行鉴别并确认其为证书持有者本人或得到了证书持有者的授权。供应证书撤销相关证据，验证证书撤销恳求确为证书持有者本人或得到了证书持有者的授权。 认证机构、注册机构应在24小时内，撤销符合条件的证书并发布到证书撤销列表。抽查系统执行证书撤销操作（从确定吊销到发布）是否在24小时内 证书撤销后，应通过有效方式刚好告知证书持有者或依靠方证书撤销结果。检查证书撤销后是否通过有效方式刚好告知证书持有者或依靠方证书撤销结果 证书撤销信息发布有效检查是否发布了证书撤销信息以及信息是否有效 密钥复原认证机构在接到证书持有者的加密密钥复原恳求后，应对其身份进行鉴别并确认其为证书持有者本人或得到了证书持有者的授权。供应加密密钥复原的证据，验证加密密钥复原恳求是否由证书持有者本人或得到了证书持有者的授权的人发起。应明确构成接受密钥复原的行为检查对于接受密钥复原的行为是否有明确规定应用集成服务证书应用接口程序证书应用接口应符合GM/T 0020的要求运用随意一张证书进行签名验证是否符合标准规范 具有并供应证书应用接口说明文档检查接口说明文档提交记录 证书应用方案支持有适应应用集成服务的专业人员抽查访谈对应岗位的专业人员 有证书应用集成支持方案，包括集成方案、服务支持方案等。抽查证书应用集成支持方案是否包括集成方案、服务支持方案等 实施集成服务具有实施集成服务规范，包含实施人员调度、实施操作规范、实施确认等。抽查实施集成服务规范是否满足需求 具有实施项目配套资源协调实力，为集成所需产品选型供应支持。检查认证机构是否具有实施项目配套资源协调实力 对于已供应服务的认证机构，可供应本年度集成项目合同供应本年度集成项目合同 供应客户对集成服务的评价通过抽查随意一个项目客户验收报告评价客户对集成服务的认可度，查看验收报告。 信息服务业务信息的发布发布政务CPS、证书链、技术服务手册、业务办理流程、联系方式、业务开展相关资质、投诉电话等信息检查官方网站是否存在所考察的内容 发布的信息具有有效性检查证书链、联系方式、投诉电话等是否有效 CRL更新周期和备份周期不应超过24小时，备份保存时间至少10年。检查CRL更新周期和备份周期是否超了24小时，检查1年前的CRL备份是否存在。 供应任何一种证书状态查询服务，且公布证书状态查询方式。能供应随意一种证书状态查询服务，且公布了证书状态查询方式。 证书查询服务可用公布的证书状态查询服务可以访问 应供应CRL、OCSP等方式的证书状态查询接口通过检查认证中心的相关资料验证是否供应证书状态查询接口 其他相关限制对司法程序须要的信息访问，应严格审核司法人员身份及授权文件，确认后方可供应信息访问。查看是否有司法访问相关制度或流程 对监管部门须要的信息访问，应依据相关的管理规定和调取程序，为其供应信息访问。查看是否存在信息访问限制流程 具有访问操作记录查看是否具有访问操作记录 运用支持服务热线服务建立完善的坐席服务制度及流程检查是否有相关制度及流程 至少供应58小时热线服务，自助及人工总体接听率不低于90%。检查坐席服务和接通率是否依据要求设置并达标 具有坐席人员培训记录检查本年度坐席人员培训记录 具有热线处理问题记录检查热线处理问题记录 在线服务建立完善的在线服务规范检查是否建立完善的在线服务规范 供应包括Email、远程帮助、即时通讯等网络服务随意一种形式的在线服务抽查考察项的任何一项 供应在线服务的相关记录，包括投诉记录抽查记录是否存在 现场服务依据项目服务特点，制定有现场应急服务方案抽查现场服务是否依据不同的紧急程度，制定相应的应急服务机制。 具有可供应现场服务的技术人员抽查现场服务的技术人员名单 具有现场人员服务规范及相关记录检查是否存在现场服务相关规范和记录 投诉处理具有投诉处理机制，且对外公布投诉受理方式检查是否存在投诉处理相关制度 投诉处理应有相应记录供应投诉处理应有相应记录 证书运用培训服务具有证书运用相关文档、演示教程等检查相关文档 具有培训记录、培训安排检查培训安排及培训记录 服务改进监督措施具有内部监督和顾客满足度评价机制检查是否有内部监督和顾客满足度评价机制 具有顾客满足度调查记录、服务报告记录检查是否存在满足度调查记录 平安管理平安管理组织结构具有清楚的平安管理组织结构核查是否具有平安组织结构，记录了负责平安管理的组织的相关职责描述。 具有清楚的部门职责核查部门职责 具有信息平安的人员职责说明检查岗位职责是否对执行信息平安管理活动的相关部门人员职责进行了清楚的定义 具有关键岗位的人员授权与记录抽查关键岗位的人员授权与记录 平安运营管理制度建立平安运营管理制度审批与监督评估机制检查是否建立平安运营管理制度审批与监督评估机制 具有平安运营管理制度的审批流程检查是否有平安运营管理制度的审批流程 具有平安运营管理制度的审批、发布记录抽查本年度平安管理制度的审批、发布记录 具有平安运营管理制度落实状况的监督检查机制与监督检查记录抽查平安运营管理制度落实状况的监督检查机制与监督检查记录 具有平安运营管理制度定期评估机制与评估记录抽查平安运营管理制度定期评估机制与评估记录 具有机房运维管理制度与规范检查机房运维管理制度与规范 具有系统网络备份策略及管理方法检查是否具有备份策略及管理方法 具有系统网络应急处理及应急预案检查是否具有应急处理及应急预案 具有平安审计监测管理制度检查是否具有平安审计监测管理制度 具有财务平安管理制度检查是否具有财务平安管理制度 具有人员平安管理制度检查是否具有人员平安管理制度 具有客户资料平安管理制度检查是否具有客户资料平安管理制度，并定期评价客户隐私爱护措施。 具有风险评估管理制度检查是否具有风险评估管理制度 对外包服务方的平安管理对外包服务方权限的管理检查对外包服务方权限管理的相关制度 对外包服务方的合同管理检查与外包服务方合同签署状况 具有外包服务方管理制度抽查一次本年度外包管理记录 人力资源管理关键岗位或角色认证机构应配备与从事电子认证业务相适应的岗位或者角色，至少包括：操作系统管理员、数据库管理员、应用系统管理员、网络管理员、机房管理员、密钥管理员、审计员。其中数据库管理员与应用系统管理员和操作系统管理员不行相互兼任、操作员与审计员不行相互兼任、RA业务操作员的录入员和审核员不行兼任。供应能够体现关键岗位或者角色的相关证明或者记录，检查是否进行了职责分别。 人力资源政策具有人力资源管理制度，考核关键岗位人员聘请及离职流程。抽查不同岗位人员入职记录各1份；抽查可信人员离职记录不同岗位各1份，依据本公司的管理制度查看记录是否完整。 具有可信人员清单，并对可信人员进行背景调查（可信人员的背景调查应包括人员简历、教化水平、从业经验、征信证明、有无犯罪记录等）。抽查不同岗位可信人员背景调查记录 签署保密协议依据可信人员清单，随机抽查1份保密协议查看 人员培训、考核和档案管理具有培训管理制度、培训安排、培训考核各岗位随机抽查1人的培训记录 具有考核相关管理制度、考核记录各岗位随机抽查1人的考核记录 具有人员档案管理制度和清楚的员工档案管理记录检查是否有员工档案台账记录 资产管理资产管理制度具有资产分类管理制度检查是否有相关制度描述了对资产的分类管理 具有密码设备管理制度检查是否有对密码设备的管理制度 具有技术资料管理制度检查是否有相关文档或制度描述了技术资料的管理要求 具有客户资料管理制度检查是否有相关管理制度描述了对客户信息、客户资料的相关管理措施 具有固定资产选购管理制度检查是否有选购管理制度 资产管理记录供应电子认证服务的计算机软、硬件设备清单检查是否存在这样的清单，随机抽查2-3台清单设备是否账实相符。 具有密码设备清单核查是否存在密码设备清单，设备与清单列表要账实相符 具有技术资料记录核查是否存在技术资料记录 具有客户资料记录核查是否存在客户资料记录 具有选购相关管理记录检查本年度选购管理相关记录 具有资产报废记录检查本年度资产报废相关记录 物理及环境平安物理区域划分及限制依据不同职能划分办公区域。机房应有相关平安限制措施，比如访客登记、门禁限制等。检查机房环境平安限制，抽取访客登记、工作人员进出登记与门禁记录保持一样。 对CA的分层访问：公共区、服务区、管理区、核心区，具有不同区域访问限制措施抽查各区域不同时间段的进出登记记录与门禁记录保持一样 平安监控室是平安管理人员值班的地方，只有平安管理人员运用身份识别卡和人体特征鉴别才能进入，刷卡离开。检查门禁系统的合规性，抽查不同时间段的进出登记与门禁记录保持一样。 配电室是放置全部供电设备的房间，只有相应授权人员运用身份识别卡和人体特征鉴别才能进入，刷卡离开。检查门禁系统的合规性，抽查不同时间段的进出登记与门禁记录保持一样。 机房管理和环境限制建立外来人员进出机房管理制度，制度中应明确进出人员审批、报备流程，记录完备。核查制度是否建立，抽查不同日期的外来人员审批和登记记录。 建立机房设备管理规范：1.对机房设备进行生命周期管理，保存购买、运用、修理、报废的记录；2.具有机房设备分类清单，设备及厂商的相关资质；3.具备对设备的巡检记录，明确巡检的周期。1.核查有无机房设备管理规范，核查其机房设备的管理记录；2.核查有无机房设备分类清单，平安设备软件版本或特征库是否为最新版本；3.核查有无设备巡检记录。 机房应配备724小时视频监控，监控记录至少保存6个月抽查6个月以内的监控记录是否存在，记录是否完备。 建立业务实时监控系统，能监控到真实业务系统的可用性、有效性建立了724小时业务实时监控系统，并能有效监控并刚好处理监控信息。 门禁系统应有进出时间记录和超时报警，门禁日志完备。1）屏蔽机房应安装入侵检测报警系统，进入屏蔽机房应具备双人双因素验证；2）建立了门禁卡管理措施，门禁卡管理记录完备。检查门禁日志，测试是否有超时报警，核查门禁卡管理记录。 配备UPS等备用电源，保证系统不间断运行，其中门禁和物理侵入报警系统应自备有UPS，并应供应至少8小时的供电。查看机房设备UPS供电状况、门禁和侵入报警供应至少8小时的供电。 建立消防管理制度，定期进行消防演练、消防检测，记录完备；机房设置火灾自动报警和灭火系统，机房配备人员平安设备。核查制度是否建立，记录是否完备，核查是否定期进行消防检测，检测报告是否通过，查看自动报警和灭火系统。 机房温度和湿度限制符合国标A级机房要求检查温湿度巡检记录 机房运维采纳724小时现场值班或远程实时监控的方式检查机房运维是否采纳724小时值班值守，查看排班记录。 至少每五年进行一次屏蔽室检测，屏蔽效能应达到处理涉密信息的电磁屏蔽室的技术要求和测试方法（BMB3-1999）的C级水平，检测报告完备。定期进行屏蔽室检测，检测报告在有效期之内，或者供应5年以内的检测报告。 系统开发与维护开发环境开发环境、测试环境、生产环境分别供应三个环境物理或者逻辑分别的证据，包括：网络拓扑图和实际现场勘查。 开发相关制度具备完善的系统开发相关制度和流程，实现开发过程的规范化及代码、资料的平安管理，具有系统版本的过程记录、产品测试通过标准及发布的相关流程。检查是否具有开发相关的管理制度和流程，检查相关记录。 开发过程具有项目需求分析文档抽查本年度开发工作的需求分析文档 具有立项申请审批制度检查本年度立项申请审批记录 具有测试管理相关制度核查制度是否建立 系统上线管理制定上线审批制度或者流程核查相关流程是否建立 具有上线审批记录核查最近一次上线审计记录是否完备 具有上线执行记录核查最近1次执行上线操作记录 具有上线操作审计记录最近一次上线操作审计记录 运维管理机房运维管理制度具有机房运维管理制度检查是否具有机房运维管理相关制度 CA系统风险评估具有风险评估记录，应涵盖物理环境、系统网络等平安评估方面,涉及内容包括漏洞扫描、基线扫描、渗透测试、源代码审计等。供应风险评估报告 CA系统稳定性CA系统至少供应99.9%系统可用性（年故障时间小于525.6分钟）。具有CA系统可用性监控数据统计。具有系统可用性指标及相关证明材料 防病毒管理1.建立病毒及恶意软件防范制度，定期升级防病毒软件病毒库、IDS、防火墙及网络设备固件等；2.对防病毒软件应启动实时检测病毒和定时全盘扫描病毒等设置。1.核查病毒及恶意软件防范相关文档，抽查升级防病毒软件病毒库、IDS、防火墙及网络设备固件等记录；2.抽查防病毒软件设置是否合规。 事务管理1、建立一般故障、应急事务等的管理职责和规程，以确保快速、有效和有序地响应；2、具有事务报告记录。依据事务处理管理规定，检查事务记录 备份管理1.建立备份管理的相关管理制度和策略，包括操作系统、网络防火墙规则、应用程序、数据和硬件设备的备份策略；2.具有备份验证记录；3.建立备份介质存储管理制度，具备相应的记录。1.核查有无备份管理的相关管理制度和策略，包括包括操作系统、网络防火墙规则、应用程序、数据和硬件设备的备份策略；抽查相关记录2.核查有无备份验证记录；3.核查有无备份介质存储管理制度及记录。 用户权限管理1.建立用户权限管理制度，明确用户帐号及权限变更的申请审批权限；2.具备管理员及用户权限安排状况的记录；3.具备用户权限操作管理的审计记录4.口令参数的设置应具有足够的平安强度；5.运维操作人员采纳双因素鉴别；6.具有网络配置管理制度（申请、审批、配置执行）； 7.人员变动帐号及权限管理方法。1.核查用户权限管理制度，以及权限变更审批记录；2.核查管理员及用户权限安排记录； 3.核查审计管理员的审计记录； 4.核查密码参数设置平安机制；5.核查运维操作人员是否采纳双因素鉴别；6.抽查网络配置审批记录；7.核查最近1次人员变动帐号及权限管理处理记录。 网络管理1.具有网络拓扑图；2.具有服务器IP地址清单；3.具有网络设备配置表（防火墙、路由器、交换机、入侵检测系统、漏洞扫描系统）；4.具有入侵检测系统日志；5.具有网络平安设备更新记录；6.具有入侵检测更新记录。1.核查机房拓扑结构图符合标准规范要求； 2.核查有无服务器IP地址清单；3.核查有无网络设备配置表（防火墙、路由器、交换机、入侵检测系统、漏洞扫描系统）； 4.核查入侵检测系统日志是否最新； 5.核查网络平安设备更新记录 ； 6.查看入侵检测更新记录。 网络链路及带宽管理：1、具有不同运营商的双网络链路接入；2、记录网络故障紧急联系人方式。1、检查网络链路是否双线路；2、是否有网络故障紧急联系人。 操作系统管理具有服务器操作系统安装配置规范检查是否有操作系统安装配置相关规程 对操作系统补丁管理查看是否有操作系统补丁管理相关规程，并检查相关记录。 应用系统管理应用系统资源和平安监控检查是否对应用系统（CA、KM、RA、OCSP）等的进程状态、资源状态、可访问状态进行监控。 应用系统平安响应检查应用系统宕机状况下的平安响应机制及巡检记录 应用系统平安预警检查是否设置应用系统的平安预警阈值 数据库管理具有数据库操作系统用户权限配置核查数据库操作系统用户配置 具有数据库用户权限配置检查数据库用户权限配置 机房资产管理具有机房资产管理制度检查本年度机房资产变动记录 密码设备管理具有密码设备生命周期管理制度及相关审批、操作记录抽查两次本年度密码设备进出记录及配置、修理或报废记录 系统变更管理建立系统变更相关制度规范和流程，保证系统变更风险的可控性。检查是否有变更相关制度 建立系统变更的申请审批流程，并依据流程审批完成后方可进行系统变更。随机抽查本年度变更审批记录，检查记录完整性。 依据变更的内容对系统进行测试，测试完成后编写测试报告。检查系统变更的测试记录 具有系统变更实施记录核查系统变更的实施记录，该记录应与审计记录配对。 系统日志参数设置建立日志管理相关制度规定查看日志管理相关制度是否建立 对密钥相关的操作进行记录查看系统配置是否记录密钥相关操作记录 对证书相关的操作进行记录查看系统配置是否记录证书相关操作记录 对操作系统、数据库、应用系统日志、网络设备和服务器时间同步参数设置查看操作系统、数据库、应用系统日志、网络设备和服务器时间同步参数配置 日志访问权限设置日志的物理接触权限检查是否有物理访问权限限制 设置日志的逻辑接触权限检查是否有逻辑访问权限限制 日志备份与归档建立日志备份与归档的相关制度查看是否有日志备份及归档的相关制度 具有日志备份与归档的记录随机抽查1张CA系统建立后最早的政务部门证书的记录，包括申请记录、鉴别记录、发放记录、归档操作记录。 具有日志备份与归档的定期批阅记录查看本年度的批阅记录，至少应每半年一次。 归档日志具有防篡改机制检查归档日志是否具有防篡改机制 应与CPS内容保持一样检查实际状况与CPS的一样性 密钥生命周期管理CA密钥管理制度密钥生命周期管理建立了根密钥管理制度,至少包括CA密钥的生成限制、存放管理、运用管理、销毁管理、归档管理等。查看制度是否建立 CA密钥生成限制1.具有CA密钥生成审批记录；2.具有CA密钥生成安排及操作记录；3.具有生成CA密钥的密码设备运用记录；4.具有生成CA密钥的密码设备运维记录。查看CA密钥的生成安排文档、CA密钥生成的操作记录、生成CA密钥的密码设备运用和运维记录。 CA密钥存储、备份和复原限制1.建立CA密钥的分割保存机制；2.具有CA密钥的备份记录；3.具有CA密钥的复原记录；4.具有CA密钥运用的审批记录。1、CA密钥分割保存（n,m）机制，检查分管者清单；2、查看密钥的备份记录；3、查看本年度密钥的复原记录（每年演练时应有运用的须要）；4、查看本年度密钥的运用审批记录。 CA公钥发布限制1.CA证书具有可下载性；2.CA证书具有合规性（密钥长度、算法标识、密钥算法域属性等符合相关规定）；3.CA证书与国家根形成完整的证书链。查看CA证书是否可下载、CA证书内容是否合规、抽查一张已发布的证书检查是否可以和国家根形成证书链 CA密钥运用限制1.具有申请审批记录（激活、废止等操作）；2.具有密钥操作记录。查看制度是否建立，记录是否完善。 CA密钥销毁限制1.具有申请审批记录（销毁等操作）；2.具有密钥操作记录（销毁等操作）。查看制度是否建立，记录是否完善。 CA密钥归档限制：1.具有申请审批记录（归档等操作）；2.具有密钥操作记录（归档等操作）。查看制度是否建立，记录是否完善。 业务持续安排业务持续安排制定业务持续安排检查是否存在业务持续安排 具有业务持续安排适用性定期评估结果检查本年度业务持续性安排的评估记录 应急预案1.明确平安事务的定义和划分，制定不同等级的平安事务预案，并对应急预案进行评估或者验证；2.具有私钥泄露应急预案，并对预案进行评估或者验证。1.检查管理制度是否有平安事务的分级，及对应处置措施；2.核查应急预案（包含私钥泄露应急预案、是否建立，检查评审记录或者验证记录。 灾难备份与复原系统方案具有容灾备份与复原策略的管理制度检查备份记录 不具备容灾备份条件的，应在本地建有冷备系统或容错部署等机制。检查是否在本地建有冷备系统或容错部署等机制 有条件的服务机构可以建立异地互备机制检查是否建立异地互备机制 灾备演练制定灾备演练安排检查灾备演练安排的审批记录 具有灾备演练执行记录检查灾备演练执行记录是否完备 监督与合规合规管理1.遵循的相关法律法规政策清单；2.遵循的相关技术标准规范的清单；3.对相关法律法规及技术标准规范遵循的证明。检查对相关法律法规及技术标准规范遵循的证明 内部评估建立内部评估机制检查内部审计机制是否存在 定期进行内部评估，每年至少一次检查内部审计机制是否存在 具有内部评估记录和报告检查内部审计记录是否存在 主管部门的监督管理主动主动协作主管部门监督检查，全面、精确供应相关状况。检查协作主管部门监督检查，全面、精确供应相关记录 对存在的问题刚好进行整改检查整改记录 对电子认证服务系统进行技术改造或者搬迁，要依据相关要求刚好向主管部门报备。统进行技术改造或者进行系统搬迁的,需将有关状况书面报主管部门 依据主管部门要求按时提交年度报告、统计数据等相关材料检查是否依据主管部门要求按时提交年度报告、统计数据等相关材料 风险管理建立风险管理机制有明确的风险管理机制检查是否存在风险管理相关规定 内部风险评估记录具有内部风险评估记录检查本年度风险评估相关记录 财务风险实力建立并公布赔付机制检查是否存在已公开的赔付机制 财务保障实力是否具有足够的财务实力确保服务正常供应最近一年的财务审计报告及最近一期的财务报表，并出具银行资信证明。 法律风险限制实力具有法律相关专业人员或者外聘法务团队，限制法律风险检查相关人员是否具有法务相关资质，或者检查外聘法务的协议。