《TJCA电子认证业务规则》修订情况表.doc

TJCA电子认证业务规则修订情况表序号版本2.0版本2.01备注1. 1.1概述只是强调天津市数字认证中心是电子认证服务机构；列举了“举证”的服务内容；无公司发展历程；只介绍了CPS适用范围及TJCA以其作为各业务依据的要求修订：强调天津信息港电子商务有限公司是第三方电子认证服务机构；去掉了“举证”；添加公司发展历程；增加了CPS的定义、CPS制定依据及要求2. 1.32 发布修订：标题为“发布与备案”；调整了位置;在原内容添加依规定备案的相关要求3. 1.5.1 适合的证书应用只介绍了证书的功能，未列出应用范围修订：全面介绍了不同形式的证书分类、应用范围4. 1.6 策略管理1.6.1 策略文档管理机构1.6.2 决定本CPS符合策略的机构1.6.3 公告1.6.4 认证业务规则的变更和发布修订为：1.5 策略管理1.5.1 策略文档管理机构1.5.2 联系方式1.5.3 决定CPS符合策略的机构1.5.4 CPS的批准程序5. 1.7.21 CRL定义冗长繁琐修订：精简定义6. 2.2.1电子认证服务业务规则的发布时间和频率没有明确CPS发布时间、频率，过多强调发布的要求和新旧版本更换时的有效性修订：标题为“CPS发布时间和频率”；简明、明确地规定“24小时内”和要求7. 2.2.2 TJCA公众信息的发布时间及频率只强调了“实时更新”、“第一时间”修订：标题为“公众信息的发布时间及频率”；强调“24小时内”8. 2.2.3 证书的发布时间及频率在时间上用到“通常24小时内”修订：强调“签发即自动发布”9. 2.2.4：CRL的发布时间和频率。描述CRL发布时间、查看方式与特殊情况下的发布规定修订：标题“证书状态信息的发布时间和频率”；内容上强调“24小时内自动发布”证书状态信息包括：CRL、证书信息10. 2.3 信息访问控制2.3.1信息的发布与处理2.3.2信息访问控制和安全审计2.3.3信息资料权限管理修订：原三节内容合并，并对语言做了精简规范化11. 3.2.2 组织机构身份的鉴别修订：精简语言，明确列举鉴别所需材料12. 3.2.3 个人身份的鉴别修订：验证方法包括验证申请人（受托人）的“居民身份证、或护照、军官证等”13. 3.3密钥更新请求的标识与鉴别未分情况叙述密钥更新流程修订为：3.3密钥更新请求的标识与鉴别：3.3.1常规密钥更新的标识与鉴别3.3.2吊销后密钥更新的标识与鉴别14. 3.4吊销请求的标识与鉴别未对特殊必要情况作出明确规定增加：TJCA在认为确实必要时，有权发起吊销，而不需对订户身份进行鉴别15. 4.1 证书申请4.1.1 个人证书4.1.2 组织机构证书4.1.3 设备证书4.1.4 代码签名证书修订为：4.1 证书申请4.1.1证书申请实体4.1.2申请过程与责任16. 4.2 证书申请审核修订为：4.2证书申请处理4.2.1执行识别与鉴别功能4.2.2证书申请批准和拒绝4.2.3处理证书申请时间17. 4.5 证书的发放和接收修订为：4.3 证书签发4.3.1证书签发过程中注册机构和电子认证服务机构的行为4.3.2电子认证服务机构对订户的通告4.4 证书的接受：4.4.1构成接受证书的行为4.4.2电子认证服务机构对证书的发布4.4.3电子认证服务机构对其他实体的通告18. 4.7 密钥和证书的使用4.7.1 订户私钥和证书的使用4.7.2 密钥及证书的使用说明4.7.3 证书和公钥的用途修订为：4.5 密钥对和证书的使用4.5.1订户私钥和证书的使用4.5.2 依赖方公钥和证书使用19. 4.8 证书及密钥更新修订为：4.6证书更新：4.6.1 证书更新的情形4.6.2请求证书更新的实体4.6.3证书更新请求的处理4.6.4颁发新证书时对订户的通告4.6.5 构成接受更新证书的行为 4.6.6 电子认证服务机构对更新证书的发布 4.6.7 电子认证服务机构在颁发证书时对其他实体的通告 4.7 证书密钥更新4.7.1 证书密钥更新的情形 4.7.2 请求证书密钥更新的实体4.7.3 证书密钥更新请求的处理4.7.4 颁发新证书对用户的通告4.7.5 构成接受密钥更新证书的行为4.7.6 电子认证服务机构对密钥更新证书的发布4.7.7 电子认证服务机构在颁发证书时对其他实体的通告4.9 证书变更修订为：4.8证书变更：4.8.1证书变更的情形4.8.2请求证书变更的实体4.8.3证书变更请求的处理4.8.4颁发新证书时对订户的通告4.8.5 构成接受更新证书的行为 4.8.6 电子认证服务机构对更新证书的发布 4.8.7 电子认证服务机构在颁发证书时对其他实体的通告20. 4.11 证书的吊销和挂起修订为：4.9证书的吊销和挂起：4.9.1证书吊销的情形4.9.2请求证书吊销的实体4.9.3吊销请求的流程4.9.4吊销请求宽限期4.9.5电子认证服务机构处理吊销请求的时限4.9.6依赖方检查证书吊销的要求4.9.7吊销信息的其他发布形式4.9.8密钥损害的特别要求4.9.9证书挂起的情形4.9.10请求证书挂起的实体4.9.11挂起请求的流程4.9.12挂起的期限限制21. 4.13 证书状态查询修订为：4.10证书状态服务4.10.1操作特征4.10.2服务可用性22. 5.1.1 场地位置与建筑修订：列举TJCA建筑与机房建设参照标准23. 5.2.1 可信角色只列举各个角色的职责修订：明确指出超级管理员产生条件、职责与角色管理范围；强调各个角色生成条件、工作职责及权限三方面内容24. 5.3.2 背景审查程序修订：列举审查的具体条目25. 5.3.5 工作岗位轮换周期和顺序修订：对岗位轮换周期和顺序均做出具体要求26. 5.4.2 处理日志的周期修订：规定了“每周定期”和“报警、异常事件”等的不定期27. 5.4.3 审计日志的保存期限修订：提出“数据库记录三个月，纸质五年”28. 5.4.4 审计日志的保护修订：列举具体保护措施29. 5.4.7 对攻击者的处理内容只涉及对攻击者的处理规定修订：标题为“对导致事件实体的通告”；内容上添加了对未授权行为的处理30. 5.5.2 归档记录的保存期限修订：将“不永久保存”具体化为“3至5年”31. 5.5.3归档文件的保护、归档文件的备份程序修订为：5.5.3 档案的保护5.5.4 档案备份程序32. 5.6电子认证服务机构密钥更替5.6.1 密钥更替定义5.6.2 根证书有效性5.6.3 CRL修订：将小节内容进行精简合并，成为一节 33. 6.1.3 公钥传递给证书签发机构修订：标题为“公钥传递给电子认证机构”34. 6.1.4根公钥的传递修订：标题为“电子认证机构公钥传递给依赖方”35. 6.2.1 密码模块标准与控制只强调“符合国家有关规定”修订：添加具体的控制标准36. 6.2.8 私钥在密码模块中的存储修订：进行调理化和精简37. 6.2.11 密码模块的评估未列出评估参照指标修订：列举加密机主要技术指标38. 6.3.2 证书操作期和密钥对使用期限修订：证书操作期限不超过一个月、删除根证书有效期39. 6.5.1 特别的计算机安全技术要求修订：列出完整的计算机保管维护制度；同时着重指出对主机设备的安全技术要求40. 6.5.2 计算机的安全等级修订：标题为“计算机的安全评估”41. 6.6.1系统开发控制只介绍系统开发控制的概念修订：强调软件设计和开发的原则42. 6.6.2 安全管理控制和生命周期的安全控制内容无控制措施修订为：6.6.2安全管理控制（内容上添加具体安全管理措施）6.6.3生命周期安全控制43. 7.1.4 名称形式对甄别名未作具体描述修订：列出甄别名格式44. 8.1 审计的频率与环境修订：标题为“审计的频率与情形”；同时进行了精简和调理化45. 8.2 审计者的身份与资质只对外界审计者的资质做出要求修订：添加内部审计人员需具备的资质46. 8.3 审计者与TJCA的关系8.3.1审计者与TJCA的关系8.3.2审计报告与TJCA的关系修订为：8.3 审计者与TJCA的关系（改为一节；对审计者分类表述；并添加对评估机构与审计者的要求）47. 8.6不足信息处理修订：标题为“对问题与不足采取的措施”48. 8.5审计结果修订：标题为“审计结果的传达与发布”49. 9.2支付能力修订为：9.2财务责任9.2.1保险范围9.2.2其他资产9.2.3对最终实体的保险或担保50. 9.3商业信息的保密9.3.1保密的商业信息9.3.2非保密的商业信息修订为：9.3 业务信息保密9.3.1保密信息范围9.3.2不属于保密的信息9.3.3保护保密信息的责任51. 9.4个人信息的保密9.4.1保密的个人信息9.4.2非保密的个人信息修订为：9.4 个人隐私保密9.4.1隐私保密方案9.4.2作为隐私处理的信息9.4.3不被视为隐私的信息9.4.4保护隐私的责任9.4.5使用隐私信息的告知与同意9.4.6依法律或行政程序的信息披露9.4.7其他信息披露情形52. 9.6 免责修订为：9.7 担保免责53. 9.7责任范围9.7.1TJCA的责任9.7.2注册机构的职责9.7.3注册得分支机构职责9.7.4受理点的职责9.7.5订户的职责修订为：9.6陈述与担保9.6.1电子认证服务机构的陈述与担保9.6.2注册机构的陈述与担保9.6.3订户的陈述与担保9.6.4依赖方的陈述与担保9.6.5其他参与者的陈述与担保54. 9.8有效期和终止修订为： 9.10有效期和终止9.10.1有效限期9.10.2终止9.10.3效力终止与保留55. 9.10监管和适用的法律修订为：9.14管辖法律9.15与适用法律的符合性56. 9.11其他规定9.11.1完整协议9.11.2转让9.11.3分割性9.11.4强制执行9.11.5不可抗力9.11.6规则生效修订为：9.16一般条款9.16.1完整协议9.16.2转让9.16.3分割性9.16.4强制执行9.16.5不可抗力9.17其他条款57. 增加：1.6定义与缩写：1.6.1电子认证服务系统1.6.14电子签名人1.6.15电子签名依赖方58. 增加：3.2.1证明拥有私钥的方法3.2.5没有验证的订户信息59. 增加：4.12密钥生成、备份与恢复4.12.1密钥生成、备份与恢复的策略和行为4.12.2会话密钥的封装与恢复的策略和行为60. 增加：9.8有限责任61. 增加：9.9赔偿9.9.1赔偿范围9.9.2赔偿限额62. 增加：9.11对参与者的个别通告与沟通63. 增加：9.12修订9.12.1修订程序9.12.2通知机制和期限9.12.3修订同意9.12.4必须修改业务规则的情形64. 删除：1.4.3 注册分支机构1.4.4 受理点1.4.7 证书申请者证书申请者非电子认证活动参与者65. 删除：1.7.1 TJCA1.7.2 TJCA认证委员会1.7.3电子认证服务机构1.7.4 注册机构1.7.5 注册分支机构1.7.6 受理点1.7.7 发证机构1.7.9 TJCA灾难恢复策略1.7.10 订户1.7.12 证书申请1.7.22 认证1.7.23 数字证书已在前文定义66. 删除：4.4密钥的申请和生成其内容包含在4.12 密钥的生成、备份与恢复中67. 删除：4.6证书信息的发布其内容包含在第2章中68. 删除：4.10 证书补发相当于签发新证书和吊销旧证书69. 删除：4.12证书的恢复规范未提及70. 删除：5.5.5记录时间戳要求其内容包含在第6章中71. “认证服务业务规则”、“业务规则”、“认证服务业务规则”、“ 本业务规则”、“本业务规则”修订为：“TJCA电子认证业务规则”或“本CPS”标准用语72. “注册机构”、“注册审批机构”规范用语为：“注册机构”标准用语73. “认证机构”、 “认证服务机构”、“发证机构”、“证书签发机构”、“签发机构”统一使用“证书签发机构”修订为：“电子认证服务机构”标准用