1《TJCA电子认证业务规则》修订情况表序号版本2.0版本2.01备注1.1.1概述只是强调天津市数字认证中心是电子认证服务机构;列举了“举证”的服务内容;无公司发展历程;只介绍了CPS适用范围及TJCA以其作为各业务依据的要求修订:强调天津信息港电子商务有限公司是第三方电子认证服务机构;去掉了“举证”;添加公司发展历程;增加了CPS的定义、CPS制定依据及要求2.1.3.2发布修订:标题为“发布与备案”;调整了位置;在原内容添加依规定备案的相关要求3.1.5.1适合的证书应用只介绍了证书的功能,未列出应用范围修订:全面介绍了不同形式的证书分类、应用范围4.1.6策略管理1.6.1策略文档管理机构1.6.2决定本CPS符合策略的机构1.6.3公告1.6.4认证业务规则的变更和发布修订为:1.5策略管理1.5.1策略文档管理机构1.5.2联系方式1.5.3决定CPS符合策略的机构1.5.4CPS的批准程序5.1.7.21CRL定义冗长繁琐修订:精简定义6.2.2.1电子认证服务业务规则的发布时间和频率没有明确CPS发布时间、频率,过多强调发布的要求和新旧版本更换时的有效性修订:标题为“CPS发布时间和频率”;简明、明确地规定“24小时内”和要求7.2.2.2TJCA公众信息的发布时间及频率只强调了“实时更新”、“第一时间”修订:标题为“公众信息的发布时间及频率”;强调“24小时内”8.2.2.3证书的发布时间及频率在时间上用到“通常24小时内”修订:强调“签发即自动发布”9.2.2.4:CRL的发布时间和频率。描述CRL发布时间、查看方式与特殊情况下的发布规定修订:标题“证书状态信息的发布时间和频率”;内容上强调“24小时内自动发布”证书状态信息包括:CRL、证书信息2序号版本2.0版本2.01备注10.2.3信息访问控制2.3.1信息的发布与处理2.3.2信息访问控制和安全审计2.3.3信息资料权限管理修订:原三节内容合并,并对语言做了精简规范化11.3.2.2组织机构身份的鉴别修订:精简语言,明确列举鉴别所需材料12.3.2.3个人身份的鉴别修订:验证方法包括验证申请人(受托人)的“居民身份证、或护照、军官证等”13.3.3密钥更新请求的标识与鉴别未分情况叙述密钥更新流程修订为:3.3密钥更新请求的标识与鉴别:3.3.1常规密钥更新的标识与鉴别3.3.2吊销后密钥更新的标识与鉴别14.3.4吊销请求的标识与鉴别未对特殊必要情况作出明确规定增加:TJCA在认为确实必要时,有权发起吊销,而不需对订户身份进行鉴别15.4.1证书申请4.1.1个人证书4.1.2组织机构证书4.1.3设备证书4.1.4代码签名证书修订为:4.1证书申请4.1.1证书申请实体4.1.2申请过程与责任16.4.2证书申请审核修订为:4.2证书申请处理4.2.1执行识别与鉴别功能4.2.2证书申请批准和拒绝4.2.3处理证书申请时间17.4.5证书的发放和接收修订为:4.3证书签发4.3.1证书签发过程中注册机构和电子认证服务机构的行为4.3.2电子认证服务机构对订户的通告4.4证书的接受:4.4.1构成接受证书的行为4.4.2电子认证服务机构对证书的发布3序号版本2.0版本2.01备注4.4.3电子认证服务机构对其他实体的通告18.4.7密钥和证书的使用4.7.1订户私钥和证书的使用4.7.2密钥及证书的使用说明4.7.3证书和公钥的用途修订为:4.5密钥对和证书的使用4.5.1订户私钥和证书的使用4.5.2依赖方公钥和证书使用19.4.8证书及密钥更新修订为:4.6证书更新:4.6.1证书更新的情形4.6.2请求证书更新的实体4.6.3证书更新请求的处理4.6.4颁发新证书时对订户的通告4.6.5构成接受更新证书的行为4.6.6电子认证服务机构对更新证书的发布4.6.7电子认证服务机构在颁发证书时对其他实体的通告4.7证书密钥更新4.7.1证书密钥更新的情形4.7.2请求证书密钥更新的实体4.7.3证书密钥更新请求的处理4.7.4颁发新证书对用户的通告4.7.5构成接受密钥更新证书的行为4.7.6电子认证服务机构对密钥更新证书的发布4.7.7电子认证服务机构在颁发证书时对其他实体的通告4.9证书变更修订为:4.8证书变更:4.8.1证书变更的情形4.8.2请求证书变更的实体4.8.3证书变更请求的处理4.8.4颁发新证书时对订户的通告4.8.5构成接受更新证书的行为4.8.6电子认证服务机构对更4序号版本2.0版本2.01备注新证书的发布4.8.7电子认证服务机构在颁发证书时对其他实体的通告20.4.11证书的吊销和挂起修订为:4.9证书的吊销和挂起:4.9.1证书吊销的情形4.9.2请求证书吊销的实体4.9.3吊销请求的流程4.9.4吊销请求宽限期4.9.5电子认证服务机构处理吊销请求的时限4.9.6依赖方检查证书吊销的要求4.9.7吊销信息的其他发布形式4.9.8密钥损害的特别要求4.9.9证书挂起的情形4.9.10请求证书挂起的实体4.9.11挂起请求的流程4.9.12挂起的期限限制21.4.13证书状态查询修订为:4.10证书状态服务4.10.1操作特征4.10.2服务可用性22.5.1.1场地位置与建筑修订:列举TJCA建筑与机房建设参照标准23.5.2.1可信角色只列举各个角色的职责修订:明确指出超级管理员产生条件、职责与角色管理范围;强调各个角色生成条件、工作职责及权限三方面内容24.5.3.2背景审查程序修订:列举审查的具体条目25.5.3.5工作岗位轮换周期和顺序修订:对岗位轮换周期和顺序均做出具体要求26.5.4.2处理日志的周期修订:规定了“每周定期”和“报警、异常事件”等的不定期27.5.4.3审计日志的保存期限修订:提出“数据库记录三个月,纸质五年”5序号版本2.0版本2.01备注28.5.4.4审计日志的保护修订:列举具体保护措施29.5.4.7对攻击者的处理内容只涉及对攻击者的处理规定修订:标题为“对导致事件实体的通告”;内容上添加了对未授权行为的处理30.5.5.2归档记录的保存期限修订:将“不永久保存”具体化为“3至5年”31.5.5.3归档文件的保护、归档文件的备份程序修订为:5.5.3档案的保护5.5.4档案备份程序32.5.6电子认证服务机构密钥更替5.6.1密钥更替定义5.6.2根证书有效性5.6.3CRL修订:将小节内容进行精简合并,成为一节33.6.1.3公钥传递给证书签发机构修订:标题为“公钥传递给电子认证机构”34.6.1.4根公钥的传递修订:标题为“电子认证机构公钥传递给依赖方”35.6.2.1密码模块标准与控制只强调“符合国家有关规定”修订:添加具体的控制标准36.6.2.8私钥在密码模块中的存储修订:进行调理化和精简37.6.2.11密码模块的评估未列出评估参照指标修订:列举加密机主要技术指标38.6.3.2证书操作期和密钥对使用期限修订:证书操作期限不超过一个月、删除根证书有效期39.6.5.1特别的计算机安全技术要求修订:列出完整的计算机保管维护制度;同时着重指出对主机设备的安全技术要求40.6.5.2计算机的安全等级修订:标题为“计算机的安全评估”41.6.6.1系统开发控制只介绍系统开发控制的概念修订:强调软件设计和开发的原则6序号版本2.0版本2.01备注42.6.6.2安全管理控制和生命周期的安全控制内容无控制措施修订为:6.6.2安全管理控制(内容上添加具体安全管理措施)6.6.3生命周期安全控制43.7.1.4名称形式对甄别名未作具体描述修订:列出甄别名格式44.8.1审计的频率与环境修订:标题为“审计的频率与情形”;同时进行了精简和调理化45.8.2审计者的身份与资质只对外界审计者的资质做出要求修订:添加内部审计人员需具备的资质46.8.3审计者与TJCA的关系8.3.1审计者与TJCA的关系8.3.2审计报告与TJCA的关系修订为:8.3审计者与TJCA的关系(改为一节;对审计者分类表述;并添加对评估机构与审计者的要求)47.8.6不足信息处理修订:标题为“对问题与不足采取的措施”48.8.5审计结果修订:标题为“审计结果的传达与发布”49.9.2支付能力修订为:9.2财务责任9.2.1保险范围9.2.2其他资产9.2.3对最终实体的保险或担保50.9.3商业信息的保密9.3.1保密的商业信息9.3.2非保密的商业信息修订为:9.3业务信息保密9.3.1保密信息范围9.3.2不属于保密的信息9.3.3保护保密信息的责任51.9.4个人信息的保密9.4.1保密的个人信息9.4.2非保密的个人信息修订为:9.4个人隐私保密9.4.1隐私保密方案9.4.2作为隐私处理的信息9.4.3不被视为隐私的信息9.4.4保护隐私的责任9.4.5使用隐私信息的告知与同意9.4.6依法律或行政程序的信7序号版本2.0版本2.01备注息披露9.4.7其他信息披露情形52.9.6免责修订为:9.7担保免责53.9.7责任范围9.7.1TJCA的责任9.7.2注册机构的职责9.7.3注册得分支机构职责9.7.4受理点的职责9.7.5订户的职责修订为:9.6陈述与担保9.6.1电子认证服务机构的陈述与担保9.6.2注册机构的陈述与担保9.6.3订户的陈述与担保9.6.4依赖方的陈述与担保9.6.5其他参与者的陈述与担保54.9.8有效期和终止修订为:9.10有效期和终止9.10.1有效限期9.10.2终止9.10.3效力终止与保留55.9.10监管和适用的法律修订为:9.14管辖法律9.15与适用法律的符合性56.9.11其他规定9.11.1完整协议9.11.2转让9.11.3分割性9.11.4强制执行9.11.5不可抗力9.11.6规则生效修订为:9.16一般条款9.16.1完整协议9.16.2转让9.16.3分割性9.16.4强制执行9.16.5不可抗力9.17其他条款57.增加:1.6定义与缩写:1.6.1电子认证服务系统1.6.14电子签名人1.6.15电子签名依赖方58.增加:3.2.1证明拥有私钥的方法3.2.5没有验证的订户信息59.增加:4.12密钥生成、备份与恢复4.12.1密钥生成、备份与恢复的策略和行为4.12.2会话密钥的封装与恢复8序号版本2.0版本2.01备注的策略和行为60.增加:9.8有限责任61.增加:9.9赔偿9.9.1赔偿范围9.9.2赔偿限额62.增加:9.11对参与者的个别通告与沟通63.增加:9.12修订9.12.1修订程序9.12.2通知机制和期限9.12.3修订同意9.12.4必须修改业务规则的情形64.删除:1.4.3注册分支机构1.4.4受理点1.4.7证书申请者证书申请者非电子认证活动参与者65.删除:1.7.1TJCA1.7.2TJCA认证委员会1.7.3电子认证服务机构1.7.4注册机构1.7.5注册分支机构1.7.6受理点1.7.7发证机构1.7.9TJCA灾难恢复策略1.7.10订户1.7.12证书申请1.7.22认证1.7.23数字证书已在前文定义66.删除:4.4密钥的申请和生成其内容包含在4.12密钥的生成、备份与恢复中9序号版本2.0版本2.01备注67.删除:4.6证书信息的发布其内容包含在第2章中68.删除:4.10证书补发相当于签发新证书和吊销旧证书69.删除:4.12证书的恢复规范未提及70.删除:5.5.5记录时间戳要求其内容包含在第6章中71.“认证服务业务规则”、“业务规则”、“认证服务业务规则”、“本业务规则”、“本《业务规则》”修订为:“《TJCA电子认证业务规则》”或“本CPS”标准用语72.“注册机构”、“注册审批机构”规范用语为:“注册机构”标准用语73.“认证机构”、“认证服务机构”、“发证机构”、“证书签发机构”、“签发机构”统一使用“证书签发机构”修订为:“电子认证服务机构”标准用语74.“单位”、“单位”数字证书、“单位”组织、“组织”修订为:“组织机构”标准用语75.“信任体”、“信赖