GB/T35289-2017
信息安全技术电子认证服务机构服务质量规范
Informationsecuritytechnology—Specificationontheservicequalityofcertificationauthority
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2018-07-01
- 文件格式PDF
- 文本页数23页
- 文件大小1.43M
以图片形式预览信息安全技术电子认证服务机构服务质量规范
信息安全技术电子认证服务机构服务质量规范
国家标准 GB/T35289一2017 信息安全技术 电子认证服务机构服务质量规范 Informationsecuritytechnology一 Speeifieationontheservicequalityofeertifieationauthority 2017-12-29发布 2018-07-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/35289一2017 目 次 前言 范围 2 规范性引用文件 术语和定义 缩略语 电子认证服务综述 5.1电子认证服务 5.2电子认证服务质量 电子认证服务业务质量要求 6.1业务咨询服务要求 6.2业务办理服务要求 6.3技术支持服务要求 售后服务要求 6,4 6.5司法支持服务要求 电子认证服务保障质量要求 7.1服务场所要求 7.2服务组织机构及服务人员要求 7.3服务设施要求 7.4服务纪律要求 7.5业务连续性要求 电子认证服务质量分级 8.1服务质量评价指标体系 10 8.2服务质量评价指标权重 18 8.3服务质量评价方法 18 8.4服务质量综合评价等级 18 20 参考文献
GB/35289一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位;北京天威诚信电子商务服务有限公司,北京天诚安信科技股份有限公司、电 子信息产业发展研究院
本标准主要起草人;唐志红、刘旭、刘权、白波,刘艳丽、陈韶光、王亚静、金露、张海松
GB/35289一2017 信息安全技术 电子认证服务机构服务质量规范 范围 本标准规定了电子认证服务机构业务服务质量要求、保障服务质量要求及服务质量分级,明确了电 子认证服务机构服务质量的具体指标要求
本标准适用于提供电子认证服务的机构
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T25056一2010信息安全技术证书认证系统密码及其相关安全技术规范 GB/T25069一2010信息安全技术术语 GB/T35288一2017信息安全技术电子认证服务机构从业人员岗位技能规范 术语和定义 GB/T25069-2010中界定的以及下列术语和定义适用于本文件
3.1 数字证书digitalcertifieate 由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信 息的数字文件
3.2 电子认证eleetromieauthentieatiom 采用电子技术检验用户真实性的操作
3.3 电子签名eleetroniesignature 数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据
3.4 鉴证authenticationm 辨别认定证书申请者提交材料的真伪,并对证书申请材料和申请者之间的关联性进行确定的活动
3.5 可靠电子签名reliableeleetromiecsignature 符合下列条件的电子签名 电子签名制作数据用于电子签名时,属于电子签名人专有 a b 签署时电子签名制作数据仅由电子签名人控制 签署后对电子签名的任何改动能够被发现
GB/T35289一2017 签署后对数据电文内容和形式的任何改动能够被发现
d 3.6 电子认证服务eleetroniecertifceationserice 为电子签名相关各方提供真实性、可靠性验证的活动
3.7 电子认证服务机构 certifieationauthority 负责创建、分发证书并在必要时提供验证以证实用户身份的机构
3.8 电子认证服务质量eleetroniceertifieatioservicequality 电子认证服务过程和结果满足明确的、隐含的要求所呈现的特征
3.9 订户suhscriher 从电子认证服务机构接收证书的实体
3.10 证书依赖方eertifieaterelyingparty 依赖于证书真实性的实体
缩略语 下列缩略语适用于本文件
CA 认证机构(CertificationAuthority) cp 证书策略(CertifieatePoliey Ps 认证业务规则(CertifcationPraceticeStatement) CRL 证书撤销列表(CertifeateRevoceationList) FAQ 频繁提及的问题(FrequentlyAskedQuestions) KMc 密钥管理中心(KeyMan nagementCenter) PK1 公钥基础设施(PablieKey lnfrastructure RA 注册机构(RegistrationAuthority USBKEY 采用USB接口的证书存储介质(UniversalSerialBusKEY OcSP 在线证书状态协议(OnlineCertifieateStatusProtocol) 电子认证服务综述 5 5.1电子认证服务 5.1.1综述 电子认证服务是指电子认证机构面向证书订户提供的认证服务
相关的服务内容包括;业务办理 服务、技术支持服务、业务咨询服务、售后服务和司法支持服务等
电子认证服务可分为3类 核心业务类;主要指业务办理服务电子认证机构需面向证书订户提供 a b 推荐业务类;主要指技术支持服务,建议电子认证机构面向证书订户提供,以提升其服务质量; 可选业务类;包括业务咨询服务、售后服务和司法支持服务等,各电子认证机构根据自身情况 c
GB/35289一2017 自行决定是否面向证书订户提供
5.1.2业务咨询服务 业务咨询服务是指向客户提供电子认证服务业务介绍、业务办理流程、证书应用和电子认证服务相 关法律法规的解读,包括 业务介绍内容应包括电子认证服务机构所能签发的业务种类,证书种类,适应范围等; a b)业务办理流程 -内容应包括证书订户在办理证书申请、撤销、更新等业务时所应遵循的流程 和提交的各种资料; 证书应用 内容应包括数字证书(本标准中也简称为“证书”)在应用系统中所能提供的功能 和价值,操作方法等; d 电子签名法解读 应能提供电子签名法中对电子认证服务机构、证书订户,证书依赖方权利 和责任的具体解读
5.1.3业务办理服务 5.1.3.1 综述 业务办理服务是针对证书订户提供包括证书申请、证书签发、证书更新、密钥更新,证书变更、证书 撇销和挂起.证书的有效性验证,密钥生成.备份和恢复,证书口令解镇,证书补办等在内的各种服务 证书申请 是指订户向电子认证服务机构提出申请,并按照相关要求提供身份证明材料; a 证书签发 指电子认证服务机构受理用户提出的证书申请,对申请材料的真实性进行鉴证 b 鉴证通过的,予以签发证书 证书更新 指订户使用的证书到期后如需继续使用,应向电子认证服务机构提出申请;电子 认证服务机构审核订户提交的资料,完成证书更新的服务过程 证书密钥更新 指订户生成一对新密钥并申请为新公钥签发新证书的服务过程 d 证书变更 指改变证书中除订户公钥之外的信息而签发新证书的服务过程; ee fD 证书的撤销和挂起 -指在订户合同期满、丢失或私钥泄漏的情况下进行证书的撤销和挂起 的服务过程; 证书的有效性验证 指订户向电子认证服务机构申请验证证书是否有效; g hh) 密钥的生成、备份和恢复 -指加密证书私钥的生成、备份和恢复的过程; 证书口令解锁指订户由于某些原因导致忘记口令,应向电子认证服务机构提出申请;电子 i 认证服务机构审核订户提交的资料,完成证书口令解锁的过程 证书补办 指订户由于证书丢失或损坏时申请证书补办的过程
j 5.1.3.2证书申请 证书申请服务要求电子认证服务机构应告知申请者需提交的材料,提供材料正确的则接收申请 材料
5.1.3.3证书签发 电子认证服务机构或注册机构应执行严格的鉴证流程和准则,对申请材料进行真实性鉴证,并根据 结果对申请者给予批准受理或者拒绝受理的答复
予以批准受理的则签发证书,证书签发服务要求电 子认证服务机构验证注册机构签名和确认注册机构的权限,并签发证书
5.1.3.4证书更新 电子认证服务机构应明确告知证书订户需进行更新操作的情形更新过程中对证书订户的要求,证
GB/T35289一2017 书更新的请求及受理方式,更新证书的签发及发布方式
5.1.3.5证书密钥更新 证书订户下载证书更新时,如需要对密钥对进行替换,电子认证服务机构应明确告知证书订户需进 行更新操作的情形、更新过程中对证书订户的要求、证书更新的请求及受理方式、更新证书的签发及发 布方式
5.1.3.6证书变更 证书变更是指改变证书中除订户公钥之外的信息而签发新证书的情形
电子认证服务机构应明确 告知证书订户需进行变更操作的情形、变更过程中对证书订户的要求,变更的请求及受理方式,变更证 书的签发及发布方式
5.1.3.7 证书的撤销和挂起 证书撤销和挂起服务过程中,电子认证服务机构应明确证书撤销和挂起的情形,请求撤销和挂起权 限以及撤销和挂起请求的程序,处理流程、宽限期、处理时间发布方式和依赖方检查证书撤销和挂起的 要求
5.1.3.8证书的有效性验证 电子认证服务机构应明确证书有效性验证的操作特点,有效性验证服务可用性说明,服务不可用时 适用策略,有效性验证服务其他可选特征
5.1.3.9密钥的生成、备份和恢复 通过电子认证服务机构或其他可信第三方进行的客户私钥生成、备份和恢复相关的策略和业务实 包括客户私钥生成、备份,恢复和会话密钥封装和恢复过程
践过程
5.1.3.10证书补办 电子认证服务机构应提供证书补办服务,证书补办过程中,应当告知订户补办申请需提交的材料, 电子认证服务机构对补办申请及其申请者身份进行审核,情况属实的予以办理
5.1.3.11证书口令解锁 证书口令解锁过程中,电子认证服务机构应当告知订户提交解锁申请需提交的材料,电子认证服务 机构对口令解锁申请及其申请者身份进行审核,情况属实的予以办理
5.1.4技术支持服务 技术支持服务是指电子认证服务机构在提供电子认证服务时提供相关的技术支持,包括数字证书 管理、数字证书使用、数字证书存储介质硬件设备使用电子认证服务系统使用及各类数字证书应用(如 证书登录,证书加密、数字签名和安全邮件等)等, 电子认证服务过程中技术支持主要针对如下问题和故障,提供必要的支持方式 问题 主要指证书使用或者证书相关应用过程中的技术问题,如:证书不能签名等; a b)故障 主要指电子认证服务系统不能正常运行或者停止服务,如;系统崩溃、宕机等
GB/35289一2017 电子认证服务过程中对技术问题或者技术故障可以分为如下3类;一般事件、严重事件和重大 事件
a -般事件 系统部分出现故障,不影响系统整体运行,不影响业务处理或客户提出的安全技 术咨询、索取技术资料、技术支持等 b 严重事件 系统不能正常运转或不稳定,但不影响主要业务的故障; 重大事件 c 系统停止服务或有严重错误,影响业务处理或对客户造成巨大损失而产生严重 后果和不良影响的故障,如;系统崩溃、宕机等
电子认证服务机构应对技术问题和技术故障参考上述描述进行分类,并制定相应处理流程和机制, 以确保服务的及时性和连续性
5.1.5 售后服务 售后服务主要是对用户在证书使用及证书相关应用中的意见、建议和投诉的处理,包括 回访 应制定回访计划和流程,记录用户意见和建议 a b投诉 -应公布投诉接收方式、记录投诉内容、解决投诉问题 纠纷处理 应按照CPS承诺的方式、内容进行处理; c d)客户满意度 应随机对客户进行抽查,记录客户对电子认证服务总体的满意度
5.1.6司法支持服务 是指电子认证服务机构为使用数字证书服务的用户提供的一种电子签名验证服务
5.2 电子认证服务质量 5.2.1综述 电子认证服务质量总体要求如下 电子认证服务应按照GB/T250562010等标准和相关法规的要求执行; 电子认证服务应能明确满足订户在业务办理和证书应用过程中的各种合法的明示需求 -电子认证服务所应满足的隐含需求是指证书依赖方对证书可靠性的隐含需求
5.2.2电子认证服务业务质量 电子认证业务所涉及的各项服务及要求如下 业务咨询服务 -应向客户提供电子认证服务业务介绍、业务办理流程,证书应用、电子签名 法相关法律法规的解读等内容 b 业务办理服务 -应对客户提供证书签发、证书更新、密钥更新、证书变更、证书的撤销和挂 起、密钥的生成、备份和恢复、证书口令解锁、证书补办等业务办理服务 技术支持服务 指电子认证服务机构在提供电子认证服务时提供相关的技术支持,包括数 字证书管理、数字证书使用、数字证书存储介质硬件设备使用、电子认证服务系统使用以及各 类数字证书应用(如,证书登录、证书加密、数字签名和安全邮件等)等,并对出现的问题或故障 进行及时的处理; 售后服务 应对用户在证书使用及证书相关应用中的意见、建议、投诉和纠纷能够及时 处理
司法支持服务 -应对用户的取证申请及时受理,并将取证内容的结论形成报告提交用户
GB/T35289一2017 5.2.3电子认证服务保障质量 提供可靠电子签名的电子认证服务,还需要相应的服务保障,具体包括服务场所、服务组织机构、服 务人员、服务设施、服务纪律、业务连续性等服务保障 服务场所应提供电子认证服务需要的活动场所,包括数据机房、服务中心,办公场所等; a b)服务组织机构 -应设置承担、执行业务咨询服务、业务办理服务、技术支持、安全管理、质量 管理的岗位; 服务人员-应配备业务咨询人员、业务办理人员技术支持人员和质量管理人员的工作角 色,并明确具体工作职能; -应提供电子认证服务所使用的设备配置,应能实现快速接收客户问题与意见,并 d 服务设施一 能对问题进行记录,将问题转给相关技术支持人员处理,以及将结果及时反馈给客户
如电话 呼叫中心,web刚站,邮件系统.即时通讯等" 服务纪律-应在提供四大类服务时,满足电子认证服务业务要求,需具有的服务纪律,如服 务态度、服务用语、保密意识等; f 业务连续性- -为保障所提供的电子认证服务质量,需具备的系统可用性、业务持续运作,系 统灾难恢复等保障能力
电子认证服务业务质量要求 6.1业务咨询服务要求 业务咨询服务应包括证书业务、证书应用业务及其他电子认证服务机构开展的相关业务的咨询
业务咨询服务具体要求如下 对证书业务的咨询应告知用户相应服务流程 a 对证书应用业务的咨询应提供相应的宣传手册 b 对电子签名法相关法律条文的咨询应能明确解答; c d 应明确告知申请者和电子认证服务提供者的责任与义务
6.2业务办理服务要求 6.2.1综述 业务办理服务流程应包括10个环节;证书申请,证书签发、证书更新、证书密钥更新、证书变更,证 书的撤销和挂起、证书的有效性验证、密钥的生成、备份和恢复、证书补办证书口令解锁
6.2.2证书申请 受理证书申请过程中电子认证服务机构或注册机构应满足以下要求 对证书申请信息进行注册 a 对接收到申请材料进行通知; b 对申请材料保密; c 明确申请人和电子认证服务提供者的责任与义务
d
GB/35289一2017 6.2.3证书签发 6.2.3.1证书申请处理过程中电子认证服务机构或注册机构应满足以下要求 明确描述处理证书申请的流程并发布,并告知申请者 a b) 有明确的申请受理时间期限; 告知申请拒绝的理由
c 6.2.3.2证书签发过程中电子认证服务机构或注册机构应满足以下要求 电子认证服务机构验证注册机构签名和确认注册机构的权限,并签发证书 a b 建立面向证书申请者的通告机制 6.2.3.3证书接收过程中电子认证服务机构或注册机构应满足以下要求: 明确电子认证服务机构对证书的发布方式; aa 对申请者接收证书的步骤,操作等的记录和审计; b 电子认证服务机构对其他实体(如注册机构、依赖方等)的通告
6.2.4证书更新 证书更新过程中电子认证服务机构或注册机构应满足以下要求 电子认证服务机构发布的证书即将到期,但证书策略允许继续使用相同的密钥对 a 5 应重新进行与原始签发证书相同的过程; 通告订户和其他相关实体; c 发布更新证书
d 6.2.5证书密钥更新 证书密钥更新过程中电子认证服务机构或注册机构应满足以下要求 证书密钥更新的情形(如因私钥泄漏而撤销证书之后、或者证书到期并且密钥对的使用期也到 a 期之后)符合CPs; 证书密钥更新过程满足GB/T25056; b 通告订户和其他相关实体; c 发布更新证书
d 6.2.6证书变更 证书变更过程中电子认证服务机构或注册机构应满足以下要求 证书变更的情形(如名称改变等而造成的实体身份改变)符合CPs: a b 应重新进行与原始签发证书相同的过程; 通告订户和其他相关实体; c d)发布更新证书
6.2.7证书补办 证书补办过程中电子认证服务机构或注册机构应满足以下要求: 告知订户需提交的材料 a D对补办申请及其申请者身份进行审核,情况属实的予以办理 应重新进行与原始签发证书相同的过程; c d 通告订户和其他相关实体;
GB/T35289一2017 发布更新证书
6.2.8证书口令解锁 证书口令解锁过程中电子认证服务机构或注册机构应满足以下要求: 因订户保存口令不当等原因导致的忘记证书口令 a b) 告知订户提交USBKey解锁申请材料; c 对口令解锁申请及其申请者身份进行审核,情况属实的予以办理
6.2.9证书的撤销和挂起 证书变更过程中电子认证服务机构或注册机构应满足以下要求 证书撤销和挂起情形(例如订户合同期满、密码令牌丢失或怀疑私钥泄漏)符合CPS a 明确证书撤销和挂起流程; b 明确订户可用的宽限期; C 明确撤销和挂起请求处理期限 d 如果使用CRL,明确CRL发布频率 fD 如果使用CRL,明确发布到证书库中的最长延迟; 明确在线证书状态查询的可用性和方法; 8 明确证书挂起的最长时间或期限 h 发布撤销或挂起信息
6.2.10证书的有效性验证 证书的有效性验证过程中电子认证服务机构应满足以下要求 a 明确证书的有效性验证的操作流程和特点; b)明确服务的可用性,以及服务不可用时的适用策略 c 如果有效性验证服务还有其他可选特征,需要明确
6.2.11密钥的生成,备份和恢复 密钥的生成、备份和恢复过程中电子认证服务机构应满足以下要求 密钥生成、备份和恢复的情形符合CPs, a 密钥生成、备份和恢复过程满足GB/T25056; b c 明确与私钥生成、备份和恢复相关的策略; d 明确会话密钥封装和恢复相关策略
6.3技术支持服务要求 技术支持服务具体要求如下: 技术支持服务内容应解决证书使用问题和电子认证服务系统故障两大方面问题 a b) 技术支持服务内容应明确对一般事件、严重事件重大事件的处理流程和响应时间 技术支持服务形式应至少包括:电话支持,远程协助支持,现场支持等 c 技术支持响应时间应以最大程度不影响客户使用为准则
d 6.4售后服务要求 售后服务主要是对客户证书使用情况的回访、接收客户投诉,客户纠纷处理以及客户满意度调查
GB/35289一2017 具体要求如下: 应制定详细的客户证书使用情况回访计划,计划中应明确回访的目的,时间和形式 a 应及时接收客户投诉并解决相关问题; b 应及时处理与客户的纠纷; c d 应定期对客户进行随机抽查记录客户对电子认证服务总体的满意度
6.5司法支持服务要求 电子认证服务机构应按照申请完成对下述内容的验证 对用户要求取证的证书的有效性与真实性进行验证; aa b)对用户要求取证的电子数据进行验证; 对取证过程进行见证,并对电子签名的法律符合性进行评定 c d)将上述取证内容的结论形成专业的报告,以满足用户的行政审计、诉讼支撑等需求
电子认证服务保障质量要求 7.1服务场所要求 电子认证服务机构提供电子认证服务应具有固定的经营场所和满足电子认证服务要求的物理环 境,应满足《电子认证服务管理办法》和GB/T25056一2010等法律法规和规范的要求 7.2服务组织机构及服务人员要求 电子认证服务机构服务组织机构及服务人员要求应满足GB/T35288一2017等规范和国家相关法 律法规的要求
7.3服务设施要求 服务设施配置应实现快速接收客户问题与意见,并能对问题记录,将问题转给相关售后服务和技术 支持人员处理,以及将结果及时反馈给客户,可通过呼叫中心、网站平台、电子邮件、即时通信工具等 方式
7.4服务纪律要求 电子认证服务机构提供电子认证服务,应有严格的纪律要求,应至少满足以下要求 电子认证服务机构业务办理人员须严格依据CPs流程对证书订户身份进行鉴证,确保订户身 a 份的可靠性和证书申请行为的真实性; b 电子认证服务机构应设定专用服务投诉电话,严格记录投诉原因、内容和处理结果,并备案 归档; 电子认证服务机构从业人员应遵守国家的保密法规,尊重客户的保密要求,不对外泄露客户提 交的资料 当客户的认证要求与政策,法律法规相悖时,应向客户耐心解释,争取客户理解,做到有理有 d 节
遇有客户提出不合理要求时,应向客户委婉说明,不得盲从客户,更不应与客户发生争吵 电子认证服务机构客户服务人员应对客户的咨询、业务办理、投诉等,要及时、耐心、准确地给 予解答
GB/T35289一2017 7.5业务连续性要求 7.5.1系统可用性要求 系统高可用性是指以容错和防错的基础设施支持持续的应用处理
应至少满足以下要求: a) 明确信息发布的时间和频率; b 明确对发布信息的访问控制,包括CP,CPS证书、0CSP和CRL; 明确受理并处理证书申请的时间期限 c 明确证书订户的证书撤销和挂起的宽限期 明确处理撤销请求的时间: e 明确CRL发布频率; f 明确产生CRL并将其发布到证书库的最大延迟 8 h 明确证书挂起的最长时间
7.5.2业务持续运作要求 业务持续运作是指开展电子认证业务的人员培训、数据日常备份、系统维护,审计等内容的持续服 务要求
应至少满足以下要求 明确人员在完成原始培训后的再培训周期和过程" a b 明确不同岗位的工作轮换周期和顺序; 明确处理或归档日志的周期,如每星期、在报警或异常事件之后,或审计日志已满时; e 明确审计日志保存期 d 明确档案保存期
7.5.3 系统灾难恢复要求 系统灾难恢复是指通过可靠的系统恢复和数据保护应对灾难发生,如防止计划外停机
应至少满 足以下要求 明确灾难事件的定义和划分; a b) 制定不同等级的灾难事件预案 c 如果异步数据备份,明确数据备份时间周期 d)明确不同灾难事件情况下系统恢复最长时间
8 电子认证服务质量分级 8.1服务质量评价指标体系 8.1.1综述 服务质量基于服务流程进行综合评价
参考以下电子认证服务的6个流程业务咨询服务、业务办 理服务、技术支持服务、售后服务、司法支持服务和服务保障,其中,业务咨询服务、业务办理服务、技术 支持服务、售后服务和司法支持服务属于业务服务指标
依据电子认证服务要求,划分为6个一级指 标,13个二级指标,如表1所示
10
GB/35289一2017 表1服务质量分级评价指标 总指标 -级指标 二二级指标 业务咨询服务质量指标 电子认证服务信息公示指标 业务办理事项告知指标 业务办理服务质量指标 业务办理周期指标 数字证书有效性服务指标 鉴证质量指标 认 技术支持服务质量指标 客户投诉指标 客户回访指标 售后服务质量指标 客户纠纷指标 客户满意度指标 司法支持服务质量指标 服务态度指标 服务设施指标 服务保障质量指标 服务纪律指标 业务连续性保障指标 6个一级指标及13个二级指标共19个指标按照0分(差)、1分(一般)、3分(良)、5分(优)进行不 同服务质量的定义和衡量
分值高的一级需在满足上一级分值要求的基础上,满足本分值要求
8.1.2业务咨询服务质量指标 业务咨询服务是指向用户提供电子认证服务业务介绍、业务办理流程、证书应用和电子认证服务相 关法律法规的解读
该指标直接反映了认证机构对客户证书应用的负责态度
业务咨询服务质量指标 评价如表2所示
表2业务咨询服务质量指标评价 序号 业务咨询服务质量指标主要内容 分值 能够提供业务咨询服务的基本内容,包括业务介绍,业务办理流程,证书应用和电子认证 1分 服务相关法律法规解读 能够提供业务咨询服务的全部内容; 1 2 有规范的文档化管理; 3分 3) 具有一定的方案咨询能力; 具备专门的咨询团队,具备3年以上从业的咨询人员 能提供与证书应用相关的解决方案咨询服务; 2 能够提供部署CA的运营管理咨询服务; 能够提供证书应用的法律风险分析咨询服务; 5分 3 4 具备文档化的业务咨询流程和内容管理; 具备专门的具有3年以上从业经历的3人以上的咨询团队 1
GB/T35289一2017 8.1.3业务办理服务质量指标 8.1.3.1电子认证服务信息公示指标 该指标依据《电子签名法《电子认证服务管理办法》等法律法规要求,对需要公示的信息进行指 标化 需要公示的信息有: 机构名称和法定代表人; a b 机构住所和联系办法; 《电子认证服务许可证》编号; d 发证机关和发证日期; 《电子认证服务许可证》有效期的起止时间 电子认证服务从业机构的投诉受理电话; 电子认证服务监管机构的投诉受理电话
g 电子认证服务信息公示指标主要是对公示的信息进行抽查,具体计分如表3所示
表3电子认证服务信息公示指标 序号 电子认证服务信息公示指标主要内容 分值 信息公示缺1项以上 1分 3分 信息公示不全面,缺1项 在互联网上信息公示全面,无遗漏 5分 8.1.3.2业务办理事项告知指标 证书业务办理事项告知服务是指客户在申请证书过程中获取到的相关告知事项,包括密钥对产生 加密密钥管理、证书应用范围,法律责任等CPS规定的需要告知事项
业务办理过程中主要的告知事项有 数字证书和电子签名的使用条件; a 服务收费的项目和标准; b 保存和使用证书持有人信息的权限和责任; c 电子认证服务机构的责任范围 证书持有人的责任范围; 其他需要事先告知的事项
业务办理事项告知指标是通过对客户的抽查统计而得,公式如下 业务办理事项告知不全率=没告知或告知不全的抽样调查客户/总抽样调查客户×100% 业务办理事项告知指标评价如表4所示
表4业务办理事项告知指标评价表 序号 业务办理事项告知指标主要内容 分值 1分 业务办理事项告知不全率>10% 5%<业务办理事项告知不全率<10% 3分 其他 5分 12
GB/35289一2017 8.1.3.3业务办理周期指标 业务办理周期是指接收到客户的申请材料工作日起,发送客户申请的数字证书工作日止
客观上 反映了业务办理的服务效率
业务办理周期指标评价如表5所示 表5业务办理周期指标评价 序号 业务办理周期指标主要内容 分值 其他 1分 7个工作日 3分 3个工作日 5分 8.1.3.4数字证书有效性服务指标 数字证书的有效性对数字证书的安全使用影响重大,其有效性查验服务指标反映了cRL的更新颊 率,ocsP服务水平等 数字证书有效性服务指标评价如表6所示
表6业务办理周期指标评价 序号 分值 数字证书有效性服务指标主要内容 能够向客户提供数字证书有效性验证服务 能够遵循CPS对CRL进行定期更新; 1分 在网站上提供明显的下载提示 能够提供在线、离线的证书有效性查验服务 3分 能够提供基于用户需求的定制的数字证书有效性查验服务,如;接口、插件、软件等 5分 8.1.3.5鉴证服务质量指标 鉴证服务质量是电子认证服务的关键环节,其质量确保了数字证书的安全使用
鉴证服务质量指标评价如表7所示
表7鉴证服务质量指标评价 序号 鉴证服务质量指标主要内容 分值 能够对客户提交的申请材料的真实性进行鉴别 1分 能够对客户的身份与提交的材料关联关系进行验证 有文档化的鉴证流程定义和管理; 有规范化的处理流程; 能够遵守安全规定对申请材料进行管理 鉴证服务时间不超过1个工作日 5分 13
GB/T35289一2017 8.1.4技术支持服务质量指标 技术支持服务质量主要体现在问题解答和故障排除服务质量上
技术支持服务质量指标是通过对 -般事件、,严重事件,重大事件的应对来评价衡量的
技术支特服务质量指标评价如表8所示
表8技术支持服务质量指标评价 序号 技术支持服务质量指标主要内容 分值 能够提供与证书业务相关的技术支持,确保客户证书使用 1分 对提供的技术支持服务有明确的一般事件、严重事件,重大事件的详细定义和分类; 能够在不影响客户业务情况下完成对一般事件、严重事件、重大事件的响应和处理; 3分 对事件的响应处理遵循规划化的处理流程 一般事件处理不超过1天; 严重事件处理不超过1周 重大事件处理不影响客户业务; 5分 各种事件的处理文档化,规划化,有可以遵循的处理流程和机制 事件处理整个过程被记录,可以查阅和审计 8.1.5售后服务质量指标 8.1.5.1客户投诉指标 客户对接受的电子认证服务不满意,可以向主管部门投诉电子认证服务机构
客户投诉指标评价如表9所示
表g客户投诉指标评价 序号 客户投诉指标主要内容 分值 -年内发生3次或3次以上的投诉举报事件 0分 一年内发生投诉举报事件少于3次,且处理周期不超过5个工作日 1分 一年内发生1次投诉举报事件,且处理周期不超过3个工作日 3分 -年内无客户投诉事件发生 5分 8.1.5.2客户回访指标 客户回访是售后服务的重要环节,由于数字证书的特殊性,在提供电子认证服务时,客户回访将是 电子认证服务质量的重要因素
客户回访指标评价如表10所示
14
GB/35289一2017 表10客户回访指标评价 序号 客户回访指标主要内容 分值 有专门的人员进行客户回访和接收客户的回访; 1分 对回访有记录、有备案 有文档化的客户回访计划流程和机制 有规范化的客户回访记录; 3分 有专门的人员进行回访和接收客户的回访; 客户回访率占到总客户的50%以上 对客户回访有规范化的管理,可审计、,可追踪 5分 客户回访率占到总客户的80%以上 8.1.5.3客户纠纷指标 电子认证服务机构与客户发生纠纷时,应依据CPS承诺的方式、内容进行解决
客户纠纷指标评价如表11所示
表11客户纠纷指标评价 序号 客户纠纷指标主要内容 分值 -年内发生3次或3次以上的纠纷事件,且处理周期不超过5个工作日 1分 -年内发生1~2次纠纷举报事件,且处理周期不超过3个工作日 3分 -年内无客户纠纷事件发生 5分 8.1.5.4客户满意度指标 对客户进行随机抽查,对电子认证服务的总体满意程度评价
该指标反映了客户的直观感受
客户满意度指标评价如表12所示
表12客户满意度指标评价 客户满意度指标主要内容 序号 分值 差 0分 -般 1分 良 3分 好 5分 8.1.6司法支持服务指标 司法支持服务质量指标是通过对司法支持服务办理周期来评价衡量的
司法支持服务质量指标评价如表13所示
15
GB/T35289一2017 表13司法支持服务指标 序号 司法支持服务质量指标主要内容 分值 能够为证书订户提供司法支持服务 1分" 对提供的司法支持服务有详细定义和分类 能够及时受理客户的取证申请 3分 对客户的取证申请处理遵循规范化的处理流程 处理周期不超过10个工作日; 取证过程文档化,规范化.有可以遵循的处理流程和机制 5分 取证整个过程被记录,可以查阅和审计 8.1.7服务保障质量指标 8.1.7.1服务态度指标 对提供电子认证服务人员进行抽查,对接收服务的客户进行抽样统计
该指标包括规范的服务用 语,服务礼貌等服务态度
服务态度指标评价如表14所示
表14服务态度指标评价 序号 服务态度指标主要内容 分值 存在对服务态度的投诉事件1次以上 0分 存在对服务态度的投诉事件1次,但能够很好地解决,使客户基本满意 1分 能够处理当客户的认证要求与政策,法律,法规相悖时,向客户耐心解释,争取客户理解,做到 有理有节,遇有客户提出不合理要求时,能够向客户委婉说明,无与客户发生争吵现象; 3分 能够对客户的咨询,业务办理,投诉等及时,耐心,准确地解答 机构内部有明确的服务态度规范和相关培训 服务态度热情,得到服务客户的表扬 有定期的客户服务培训计划 5分 机构内部有完整系统的客户服务审计抽查机制 8.1.7.2服务设施指标 服务设施指标反映了机构提供客户服务的基础保障
服务设施指标评价如表15所示
16
GB/35289一2017 表15服务设施指标评价 序号 服务设施指标主要内容 分值 具有独立的商业办公服务场所; 场所面积满足提供认证服务需要 具备提供服务的局域网和互联网络接人; 身 1分 具备独立物理机房 具备接收服务的电话呼叫中心和网站设备 有国内信息安全检测机构的检测报告,无安全隐患 3分 5分 经过国内高等级的信息安全认证,系统安全可靠性高 8.1.7.3业务连续性保障指标 业务连续性保障指标评价如表16所示
表16业务连续性保障指标评价 序号 业务连续性保障指标主要内容 分值 能够提供持续的服务,无影响客户业务的情况发生; 制定了灾备方案 1分 灾后恢复之间不超过72h, 能够定期进行数据备份 制定了业务连续性计划; 3分 灾后恢复时间不超过36h; 能够在不影响客户业务情况下进行业务连续性保障 能够对灾难事件进行明确的定义和划分; 制定了不同等级的灾难事件预案且灾后恢复之间不超过24h 5分 能够提供7×24h的在线服务能力 8.1.7.4服务纪律指标 服务纪律指标评价如表17所示
表17服务纪律指标 序号 服务纪律指标主要内容 分值 未按照CPs规则对证书订户身份进行鉴证或泄露客户的资料 0分 基本按照CPS规则对证书订户进行身份鉴证,无对外泄露客户的资料的情况发生 1分 严格按照CPS规则对证书订户身份进行鉴证; 对客户的资料严格保密" 3分 设定专用投诉电话,并将处理过程的资料备案归档 无与客户发生争吵的行为; 5分 对客户的咨询、投诉等,能够及时,、耐心,准确地给予解答 17
GB/T35289一2017 8.2服务质量评价指标权重 指标体系中包括多级多项指标,为了保证量化分析和评价测定的可信度,有必要对不同指标赋予不 同的权重
指标权重表如表18所示
表18指标权重 总指标 -级指标及权重 二级指标及权重 业务咨询服务质量指标 0,1) 电子认证服务信息公示指标(O.1) 业务办理事项告知指标( 0.2 业务办理服务质量指标 业务办理周期指标(0.1) (0.4) 数字证书有效性服务指标(0.37 鉴证服务质量指标(0.3 认 证 技术支持服务质量指标 (0,2) 务 客户投诉指标(0.4) 售后服务质量指标 客户回访指标(0.2) (0,.1 客户满意度指标(0.4 指 司法支持服务质量指标 标 0.1) 服务态度指标(0.l 服务设施指标(0.3 服务保障质量指标 (0.1 业务连续性保障指标(0.4 服务纪律指标(0.2) 8.3服务质量评价方法 在本标准中,将定义服务质量的指标评价体系(分为两级;一级指标、二级指标,见8.1),并针对每一 指标给出总体评价值中的权重(见8.2),服务质量的评价值满分为5分,计算公式为 展务质量-y(指标分值火权重》 8.4服务质量综合评价等级 8.4.1综述 通过电子认证服务质量总指标,反映电子认证服务机构的总体服务质量状况
根据电子认证服务质量,将提供电子认证服务的认证机构划分为3个级别:基本执行级(I级)、计 划跟踪级(I级),优化控制级级).
有重大安全事故、重大安全隐患或违背提供电子认证服务相关法律法规的电子认证服务机构不适 合该服务质量综合评价与分级 18
GB/35289一2017 8.4.2基本执行级I级 基本执行级是电子认证服务的基本级别
电子认证服务质量总指标值在3.5以下
该级别的电子认证服务机构建立了符合国家规定的最低服务质量管理体系和服务体系,建立了专 门的服务部门,设置了完备的工作岗位,配备了具有一定服务水平的服务人员,能够提供包括业务办理 服务、一般的技术支持服务和售后服务等服务内容,并能够按照服务规范执行服务纪律,密钥与证书管 理、服务信息披露、服务信息管理、服务安全管理和业务连续性计划等
8.4.3计划跟踪级I级 计划跟踪级是电子认证服务的普通级别,满足所有并不限于基本执行级要求
电子认证服务质量 总指标值在3.5以上4.5以下
该级别的电子认证服务机构建立了比较完整的质量管理体系和服务体系,能够针对电子认证服务 制定详细的服务计划并执行,对服务整个流程具有完整的记录,可追踪,可审计,具备完善的文档化流醒 管理特点和过程执行审计特点
在基本执行级(I级)的服务基础上,还应该根据客户需要提供专门的 业务咨询服务,同时还能够执行快速的业务连续性计划,不影响客户业务服务
8.4.4优化控制级皿级 优化控制级是电子认证服务的最高级别,满足所有但不限于计划跟踪级要求
电子认证服务质量 总指标值在4.5以上
在计划跟踪级(】级)基础上该级别的电子认证服务机构建立了完整的可以指标量化的服务控制 管理体系和服务体系,能针对客户不同需求提供定制服务和开发服务,提供满足客户不同层次安全需求 的安全解决方案和集成应用产品,且整个服务过程按照规范流程进行,可审计,可追踪,能进行服务质量 的综合管理和风险预警
19
GB/T35289一2017 参 考文献 [1]GB/T19713一2005信息技术安全技术公钥基础设施在线证书状态协议 [7 GB/19714一2005信息技术安全技术公钥基础设施证书管理协议 [时 GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范 [司 GB/T202692006 信息安全技术信息系统安全管理要求 [时 GB/T202712006 信息安全技术信息系统通用安全技术要求 io GB/T205182006信息安全技术公钥基础设施数字证书格式 [n GB/T209842007 信息安全技术信息安全风险评价规范 Ca GBZ20985一2007信息技术安全技术信息安全事件管理指南 o GB/Z209862007 信息安全技术信息安全事件分类分级指南 GB/Z209882007 信息安全技术信息系统灾难恢复规范 " GB/T210532007 信息安全技术公钥基础设施PKI系统安全等级保护技术要求 信息安全技术公钥基础设施PKI系统安全等级保护评价准则 GB/T210542007 " 信息安全技术电子认证服务机构运营管理规范 GB/T284472012 [1] GB/T315082015 信息安全技术公钥基础设施数字证书策略分类分级规范 [15]电子认证服务管理办法(工业和信息化部令第29号 [16]电子签名法(主席令第18号》 [17]电子政务电子认证服务业务规则(国家密码管理局局字488,2010年) [18]电子政务电子认证服务质量评价要求(国家密码管理局局字489,2010年 20
信息安全技术电子认证服务机构服务质量规范GB/T35289-2017
随着网络技术的发展,各种数据的传输已经成为我们生活中不可或缺的一部分。但是,在这个数字化时代,数据安全问题也变得越来越重要。为了保护用户的数据和隐私,认证机构扮演着至关重要的角色。 为了确保认证机构提供的服务质量符合标准,国家标准化委员会发布了《信息安全技术电子认证服务机构服务质量规范GB/T35289-2017》。该规范对认证机构在服务过程中的职责、义务、管理以及服务质量进行了详细描述和规定。 该规范主要包括以下方面:认证机构的服务对象、认证产品和服务项目、认证服务流程、认证评价、认证资料与记录、认证产品的使用和控制、管理要求、质量体系文件以及标准的解释和补充规定等。 其中,认证产品的使用和控制是该规范中的一个重点内容。认证机构必须确保其提供的认证产品符合国家法律法规、标准和技术规范的要求,并在认证完成后向用户提供详细的使用说明和操作指南。同时,认证机构还需要建立认证产品控制台账,对所有认证产品进行管理和控制。 此外,在认证服务流程的规定中,该规范强调了认证机构应当与客户保持良好的沟通,及时解决客户提出的问题和意见,并且在认证服务结束后,认证机构还要对服务结果进行评价和分析,不断完善自己的服务质量。 总之,《信息安全技术电子认证服务机构服务质量规范GB/T35289-2017》是一个非常重要的标准,可以帮助认证机构提高服务质量,保护用户的数据和隐私安全,促进数字化时代的发展。
