【現在位置】六法首頁 〉〉 超連結法規【更新】2017/02/04
【貼心小幫手】
(1)免費索取word檔(2)PC鍵盤CTRL+滑鼠滾輪往前滑動,調整放大﹝字型比例﹞100%~400%(3)尋找本頁關鍵字,PC鍵盤最左下CTRL+﹝F﹞,輸入您的關鍵字(4)PC鍵盤上方﹝F5﹞重新整理,重載最新頁面!

【法規名稱】法律用語辭典


廢:憑證實務作業基準應載明事項

【公布日期】93.07.16 【公布機關】行政院

【法規沿革】
1‧中華民國九十一年一月二十五日經濟部(91)經商字第0900227400號函訂定發布全文48點;並自九十一年四月一日起施行
2‧中華民國九十三年七月十六日經濟部經商字第09302114960號令發布廢止

【章節索引】
第一章 總則 §1
第二章 識別及鑑別程序 §20
第三章 營運規範 §25
第四章 非技術性安全控管 §34
第五章 技術性安全控管 §37
第六章 格式剖繪 §45
第七章 憑證實務作業基準之維護 §47

【法規內容】

第一章  總 則

第1項


  本應載明事項依電子簽章法第十一條第二項之規定訂定之。

第2項


  本應載明事項用辭之定義如下:
  (一)保證:指得據以信賴該個體已符合特定安全要件之基礎。
  (二)保證等級:指在具相對性保證層級中之某一級數。
  (三)憑證政策:指為指明某一憑證所適用之對象或情況所列舉之一套規則,該對象或情況可為特定之社群或具共同安全需求之應用。
  (四)物件識別碼:指一種以字母或數字組成之唯一識別碼,該識別碼必須依國際標準組織所訂定之註冊標準加以註冊,並可被用以識別唯一與之對應之憑證政策;憑證政策修訂時,其物件識別碼不必然隨之變更。
  (五)用戶:指憑證中所命名或識別之主體,且其持有與憑證中所載公開金鑰相對應之私密金鑰者。
  (六)信賴憑證者:指信賴所收受之憑證及得以憑證中所載公開金鑰加以驗證之數位簽章者,或信賴憑證中所命名主體之身分(或其他屬性)及憑證所載公開金鑰之對應關係者。
  (七)註冊中心:指負責確認憑證申請人之身分或其他屬性,但不簽發憑證亦不管理憑證者。註冊中心是否單獨為其行為負責及其應負責任之範圍,依所適用之憑證政策或協議定之。
  (八)儲存庫:指用以儲存與供檢索憑證或其他憑證相關資訊之值得信賴系統。
  (九)憑證廢止清冊:指由憑證機構以數位方式簽章,並可供信賴憑證者使用之已廢止憑證表列。

第3項


  憑證機構應於其憑證實務作業基準(以下簡稱作業基準)之首頁摘要載明足以影響用戶或信賴憑證者對於憑證之信賴之重要事項,並應包括下列項目:
  (一)主管機關核定文號。
  (二)所簽發之各種類憑證,其保證等級及適用範圍等重要特徵。
  (三)有關法律責任之重要事項。

第4項


  憑證機構如支援特定之憑證政策,應指明該等政策,並提供該憑證政策之物件識別碼。

第5項


  憑證機構應於其作業基準中識別參與認證服務運作及維持之主要成員及其角色,並應包括下列項目:
  (一)擔任憑證機構者。
  (二)是否設有註冊中心;如設有註冊中心,註冊中心與憑證機構間之關係。
  (三)用戶及信賴憑證者之資格。
  (四)以委外方式提供之主要認證服務。

第6項


  憑證機構對於憑證之適用範圍應於其作業基準中載明下列項目:
  (一)所發各種憑證適合之應用。
  (二)表列所發憑證使用上之限制。
  (三)表列所發憑證禁止使用之情況。

第7項


  憑證機構應於其作業基準中載明至少一個聯絡電話、郵遞地址及電子郵件信箱,以供用戶或信賴憑證者報告遺失金鑰等事件。

第8項


  憑證機構應於其作業基準中載明該機構及註冊中心就其所提供服務所承擔之職責和義務。

第9項


  憑證機構應於其作業基準中載明下列憑證用戶應盡之義務:
  (一)確保在申請憑證時所提供之資訊正確無誤。
  (二)安全的產製並保管其私密金鑰。
  (三)遵守對於金鑰及憑證使用之限制。
  (四)就私密金鑰資料外洩或遺失作出通知。
  憑證機構應於其作業基準中載明該機構所支援之憑證政策內所列之用戶義務重要規定。

第10項


  憑證機構應於其作業基準中載明下列信賴憑證者之注意事項:
  (一)驗證數位簽章之責任。
  (二)僅於憑證使用目的範圍內信賴該憑證。
  (三)查驗憑證狀態(是否廢止或暫時停用)。
  (四)了解並同意有關憑證機構法律責任之條款。

第11項


  憑證機構應於其作業基準中載明該機構就提供儲存庫服務所承擔之義務,並應包括下列事項:
  (一)正確並及時公布憑證目前狀態相關資訊之義務。
  (二)保障儲存庫之安全,並進行存取控制。
  (三)儲存庫資訊之可接取狀態及可用性。

第12項


  憑證機構應針對所提供之各種憑證於其作業基準中分別載明任何與分擔法律責任有關之條款,並應包括下列事項:
  (一)在用戶或其他有權提出廢止或暫時停用憑證要求者提出要求後,至該機構實際廢止或暫時停止憑證時止之期間內,有關憑證被用以進行交易或其他活動時之處理方法。
  (二)設有註冊中心者,憑證機構與註冊中心間之責任分擔。
  憑證機構應於其作業基準中載明該機構所支援之憑證政策內所列有關法律責任之重要規定。

第13項


  憑證機構應於其作業基準中載明與該機構及其他任何在作業基準內識別之成員之財務責任有關事項,並應包括下列事項:
  (一)憑證機構就其可能或實際發生之賠償責任所提供之財務保證。
  (二)憑證機構就其經營及責任是否加入任何保險。
  (三)憑證機構是否經由第三人進行財會稽核。

第14項


  憑證機構應於其作業基準中載明就所提供之認證服務或憑證之使用所生紛爭之處理程序、適用法律及用戶是否得請求退費;用戶得請求退費者,並應載明請求退費之程序。

第15項


  憑證機構應於其作業基準中載明一查詢方法,以供查詢其所發出之每一種憑證之申請、簽發、更新、廢止、查詢憑證狀態及其他認證相關服務可能收取之所有費用。

第16項


  憑證機構應於其作業基準中載明公布作業基準、憑證政策、所發憑証、憑證狀態等資訊之方法、頻率及儲存庫使用相關程序。

第17項


  憑證機構應於其作業基準中載明所實施之稽核或其他評核方法,並應包括下列項目:
  (一)稽核或其他評核之頻率。
  (二)進行稽核或評核人員之身分及資格。
  (三)稽核或評核人員中立性之確保(與憑證機構之關係)。
  (四)稽核或評核之範圍。
  (五)對於稽核或評核結果之因應方式。
  (六)相關稽核或評核報告公開之範圍及方法。

第18項


  憑證機構應於其作業基準中載明其保護用戶個人資料及維持資訊保密之方法,包括:
  (一)認證服務過程中可能取得之個人資料類型及取得方法。
  (二)將保持機密之資料種類。
  (三)非屬機密資料之種類。
  (四)資訊之商業應用:憑證機構、註冊中心或其他參與認證服務之成員而可能取得用戶、信賴憑證者之相關資訊者,對於該等資訊之內部或外部應用,包括安全性、程序及契約上之限制。
  (五)個人資料與機密資訊可能公開之範圍、程序及通知方法。

第19項


  憑證機構應於其作業基準中載明憑證、憑證政策、作業基準、憑證狀態相關資訊、名稱及金鑰等之智慧財產權。

回索引〉〉

第二章  識別及鑑別程序

第20項


  憑證機構應於其作業基準中載明憑證機構或註冊中心於註冊及發證時,識別及鑑別憑證申請人之程序,並應載明下列事項:
  (一)命名種類。
  (二)命名是否具有意義。
  (三)解釋不同命名形式的規則。
  (四)命名是否具有獨特性。
  (五)命名爭議如何解決。
  (六)證明擁有與所登記之公開金鑰相對應私密金鑰之方式。
  (七)身分鑑別之要件及程序。

第21項


  憑證機構應於其作業基準中載明例行性金鑰更換時所採取之識別及鑑別程序。

第22項


  憑證機構應於其作業基準中載明憑證被廢止而更換金鑰時所採用之識別及鑑別程序。

第23項


  憑證機構應於其作業基準中載明處理廢止憑證請求時之識別及鑑別程序。

第24項


  憑證機構如提供憑證暫時停用服務,則應於其作業基準中載明處理憑證暫時停用請求時之識別及鑑別程序。

回索引〉〉

第三章  營 運 規 範

第25項


  憑證機構應於其作業基準中載明申請各種憑證之程序。

第26項


  憑證機構應於其作業基準中載明簽發憑證及通知憑證已簽發之程序。

第27項


  憑證機構應於其作業基準中載明用戶接受憑證之程序及公布憑證之程序。

第28項


  憑證機構應於其作業基準中載明有關憑證暫時停用及廢止憑證之重要事項。
  憑證機構提供暫時停用服務者,應於其作業基準中載明下列事項:
  (一)得請求暫時停用憑證之事由及憑證機構得逕行暫時停用憑證之事由。
  (二)有權請求暫時停用憑證之人。
  (三)請求暫時停用憑證之程序。
  (四)暫時停用之期間。
  (五)憑證機構處理暫時停用請求之期間。
  憑證機構就憑證之廢止,應於其作業基準中載明下列事項:
  (一)得請求廢止憑證之事由及憑證機構得逕行廢止憑證之事由。
  (二)有權請求廢止憑證之人。
  (三)請求廢止憑證之程序。
  (四)憑證機構處理廢止憑證請求之期間。
  (五)憑證機構發出憑證廢止清冊之頻率。
  (六)信賴憑證者查詢憑證廢止清冊時須具備之要件。
  (七)是否提供線上憑證狀態查詢。
  憑證機構應於其作業基準中載明因私密金鑰遭破解而致憑證暫時停用或廢止時,前二項所列說明事項之不同。

第29項


  憑證機構應於其作業基準中載明為維持環境安全之目的所運用之紀錄及檢查系統,並應包括下列事項:
  (一)被記錄事件種類。
  (二)紀錄檔處理頻率。
  (三)稽核紀錄檔保留期間。
  (四)稽核紀錄檔的保護。
  (五)稽核紀錄檔備份程序。

第30項


  憑證機構應於其作業基準中載明紀錄歸檔之政策,並應包括下列事項:
  (一)所記錄事件之類型,應包括所有驗證憑證內容所必須之檔案資料。
  (二)歸檔保留期間。
  (三)歸檔之保護。
  (四)歸檔備份程序。
  (五)紀錄對於時戳之要求。
  (六)歸檔彙整系統是否是內部的。
  (七)取得及驗證歸檔資訊之程序。

第31項


  憑證機構應於其作業基準中載明提供新的公開金鑰予用戶之程序。

第32項


  憑證機構應於其作業基準中載明金鑰遭破解或災變時之通知及復原程序,並分別說明下列程序:
  (一)電腦資源、軟體或資料遭破壞或疑似遭到破壞時所採取之復原程序。
  (二)公開金鑰被廢止時所使用之復原程序。
  (三)金鑰遭破解時所採取之復原程序。
  (四)發生自然災害或其他災變時,在安全環境重建完成之前(不論是在原地或在其他地點),憑證機構用以救援其設備之程序。

第33項


  憑證機構應於其作業基準中載明憑證機構或註冊中心欲終止服務時,進行通知及檔案紀錄之保管與移交之程序。

回索引〉〉

第四章  非技術性安全控管

第34項


  憑證機構應於其作業基準中載明其為能安全執行金鑰產製、鑑別身分、簽發憑證、廢止憑證及歸檔等功能所採用之實體控管,並應包括下列項目:
  (一)實體所在及結構。
  (二)實體存取。
  (三)電力及空調。
  (四)水災。
  (五)火災防範及保護。

第35項


  憑證機構應於其作業基準中載明就其運作之程序控管而言須獲得信賴之職位,並載明識別及鑑別擔任該等職位人員之方法。

第36項


  憑證機構應於其作業基準中載明就人員聘用、監督及培訓所進行之控管措施。

回索引〉〉

第五章  技術性安全控管

第37項


  憑證機構就金鑰對之產製及安裝,應於其作業基準中載明下列事項:
  (一)金鑰對由誰產製。
  (二)金鑰對非由用戶自行產製時,私密金鑰如何安全傳送予用戶。
  (三)公開金鑰如何安全傳送予實際簽發憑證者。
  (四)憑證機構公開金鑰如何安全傳送予用戶或信賴憑證者。
  (五)金鑰長度。
  (六)公開公鑰生成參數。
  (七)金鑰參數品質檢驗。
  (八)金鑰經軟體或硬體產製。
  (九)金鑰之使用目的。

第38項


  憑證機構就私密金鑰保護,應於其作業基準中載明下列事項:
  (一)是否符合特定密碼模組標準。
  (二)是否採行金鑰分持之多人控管。
  (三)私密金鑰是否託管、備份、歸檔或輸入至密碼模組;如進行託管、備份、歸檔或輸入至密碼模組者,其方法及程序。
  (四)私密金鑰之啟動、停用及銷毀方式。

第39項


  憑證機構就金鑰對之管理,應於其作業基準中載明下列事項:
  (一)公開金鑰是否歸檔;如歸檔,則負責歸檔之機關與其形式,及對於歸檔系統之安全控管。
  (二)公開金鑰及私密金鑰各別之使用期限。

第40項


  憑證機構應於其作業基準中載明對於啟動資訊之保護,包括從產生、歸檔到銷毀之間整個生命週期之保護。

第41項


  憑證機構應於其作業基準中載明為防止及偵測未經授權之使用、竄改或洩露資料所採取之電腦軟硬體安控措施。

第42項


  憑證機構應於其作業基準中載明其所採行之系統研發控管及安全管理控管措施。

第43項


  憑證機構應於其作業基準中載明其所採行之網路安全控管措施。

第44項


  憑證機構應於其作業基準中載明其所採行之密碼模組安全控管措施。

回索引〉〉

第六章  格 式 剖 繪

第45項


  憑證機構就憑證之格式剖繪應於其作業基準中載明下列事項:
  (一)版本序號。
  (二)憑證擴充欄位。
  (三)演算法物件識別碼。
  (四)命名形式。
  (五)命名限制。
  (六)憑證政策物件識別碼。
  (七)政策限制擴充欄位之使用。
  (八)對關鍵憑證政策擴充欄位之語意處理。

第46項


  憑證機構就憑證廢止清冊之格式剖繪應於其作業基準中載明下列事項:
  (一)版本序號。
  (二)憑證廢止清冊及憑證廢止清冊擴充欄位。

回索引〉〉

第七章  憑證實務作業基準之維護

第47項


  憑證機構應於其作業基準中載明作業基準之變更程序及作業基準變更時是否變更其物件識別碼或其公布之網址。

第48項


  憑證機構應於其作業基準中載明作業基準變更時通知或公告之對象及其程序。


回頁首〉〉


 

【編註】本超連結法規檔提供學習與參考為原則;如需正式引用,請以政府公告版為準。
如有發現待更正部份及您所需本站未收編之法規,敬請告知,謝謝!