《信息安全技术 电子认证服务机构服务质量规范》编制说明

一、工作简况

1.1任务来源

《电子认证服务机构服务质量规范》是全国信息安全标准化技术委员会

2010年下达的信息安全国家标准制定项目，国标计划号为：20111605-T-469。

由北京天威诚信电子商务服务有限公司负责起草。

主要工作过程

2010年6月，北京天威诚信电子商务服务有限公司就召集项目相关人员举

行了第一次会议，成立了标准工作组，就工作组成员、组织形式、工作机制，项

目具体研究内容、研究范围，项目工作计划、时间安排、成员单位的任务分工及

其它事项达成了一致意见，形成的成果为：电子认证服务机构服务质量规规范编

写思路。思路中明确服务质量规范的研究内容：包括服务质量的定义、范围、内

容过程中的质量、质量分级等。

2010年11月，标准工作组先后召开了两次标准起草会议，就本标准的编写

提纲、编写内容、专业术语、章节编排以及标准具体细节内容开展了多次的讨论。

讨论的主要问题包括服务质量规范定义为客户满意度和法律符合性是否恰当，对

于无效认证的法律责任是否应在本规范中明确，本规范中是否应该延用第三方的

概念等。

2011年2月，根据上次讨论意见，进行相应修改。并完成ITIL、ISO9000、

WEBTRUST认证、CMMI等相关标准的资料收集工作，并进行研究工作。

2011年8月，参加了WG7工作组组织的中期汇报评审会，对目前标准工作

组的任务进展做了详细汇报并听取了相关专家意见，针对专家提出的意见对规范

作了进一步的修改。同时开展了电子认证服务机构服务质量满意度调查，由天威

诚信客户服务中心对客户进行回访，同时进行网上调研，通过多种渠道收集服务

质量相关数据。调查结果显示了用户对电子认证服务开展过程中关心的问题，如：

电子认证机构的服务组织、服务人员的能力、提供服务的形式等。这些对服务质

量规范要素的定义起了很重要的作用。

2012年2月，参加了WG7工作组召开的项目进展会议，北京天威诚信电子

商务服务有限公司向WG7工作组汇报了项目进展情况及下一步计划，随后

邀请中国信息安全测评中心的专家就电子认证服务质量分级进行了讨论。信息安

全测评中心对安全产品的分级是目前比较成熟的并得到广泛认可的。参考信息安

全分级：基本执行级、计划跟踪级、量化控制级等，对电子认证服务进行分级，

其主要目标是最低级实现基本要求、第二级对整个过程可记录可跟踪，最高级对

整个服务过程量化管理考核。

2012年4月，天威诚信参加了由WG7工作组召开的“信息安全服务标准研

讨会”。会上天威诚信负责人对电子认证服务机构服务质量规范等标准情况进行

汇报，并邀请全国信安标委WG1组专家就信息安全服务标准相关问题进行研讨和

交流。北京天威诚信电子商务服务有限公司起草了电子认证服务机构服务质量管

理规范（建议），征求信安标委相关领导和专家的意见，最后形成该规范。

2012年11月，北京天威诚信电子商务服务有限公司形成了草案，并提交信

安标委。

2013年9月，参加了WG7工作组在北京召开的阶段性专家评审会，会议中

天威诚信对本规范的进展、标准内容、及下一步计划做了详细的汇报，并认真听

取了参会专家（包括北京大学的王立福教授，国家信息中心的吴亚非主任等）的

建议，根据专家意见及建议对标准内容进行了进一步的完善。

2014年5月，参加了WG7工作组在北京召开的专家评审会，会议中天威

诚信对标准编制进展做了详细汇报，并就上次专家评审会中提出的意见及建议的

修改情况做了说明及解释，专家一致同意本标准基本符合要求，并出具了专家意

见评审表。会后，天威诚信针对此次专家意见及建议又做了进一步的修改和完善。

2014年9月，安标委组织了组内投票，该草案以100%投票率通过，并根据

组内各成员单位意见对草案进行了修改、完善，形成了征求意见稿，发送安标委

秘书处。

二、编制原则和主要内容

2.1编制原则

本标准在编制过程中遵循了先进性和可操作性原则。

作为标准，不仅要适合我国当前的信息安全技术的发展水平，而且要考虑到

与国际接轨。因此，在标准的制定和写作上，我们应吸收国际标准的先进模式，

跟踪国际信息安全的先进思想。这样使我们的标准能满足信息安全技术进一步发

展的需要。

可操作性原则体现在与国内实际情况相结合，本标准在编制过程中充分考虑

到电子认证服务相关技术发展的实际情况，对于电子认证服务的构建、运行和管

理相关的定义尽可能做到清晰、明确，使相关人员容易理解，避免出现由于对标

准的解释不同，而影响规范实施的情况。

2.2主要内容

电子认证服务机构服务质量管理规范包括8章，从内容上看可划分为三部

分。本标准规定了电子认证服务机构服务质量的定义、服务分级标准及能力要求、

服务质量评价。

——第1部分，包括第1~4章：主要规定了本标准的范围、规范性引用文件、

术语和缩略语。从内容上看，本标准规定了电子认证服务的服务质量要求及包括

的内容；从适用性上，本标准适用于取得工信部电子认证服务许可并符合电子签

名法的电子认证服务机构。

电子认证服务质量的定义由来：管理学中服务质量是产品生产的服务或服务

业满足规定或潜在要求（或需要）的特征和特性的总和。其中特性是用以区分不

同类别的产品或服务的概念；特征则是用以区分同类服务中不同规格、档次、品

味的概念。类比，电子认证服务的特性是为电子签名相关各方提供公众服务；要

求：真实性、可靠性、客户满意度。

——第2部分，包括第5章：描述了电子认证服务概述。电子认证服务是指

为电子签名相关各方提供真实性、可靠性验证的活动；电子认证服务的服务质量

要求主要从服务内容要求、保障要求及质量分级来作规定；本章对以上三部分总

了总体说明。

本标准针对证书生命周期管理过程定义服务质量标准，对规范服务过程，并

使其持续受控起保障要求到指导作用。电子认证服务包含服务组织机构、服务人

员、服务设备、服务内容和服务过程这些基本要素。

电子认证服务质量规范要素与服务质量的关系为：

服务场所：明确了提供电子认证服务必须的活动场所。

服务组织机构：明确了提供电子认证服务的必须组织机构，包括服务中心下

设的客户服务部门、鉴别认证服务部门、技术支持服务部门、质量管理服务部门。

服务人员：细分了电子认证服务人员组成，包括；客户服务人员、鉴别验证

服务人员、技术支持人员和质量管理人员；

服务内容：细分了电子认证各项服务内容，包括客户服务内容、鉴别验证服

务、技术支持服务；

服务设备：规范了提供电子认证服务的相关参考设备，包括电话呼叫中心、

Web呼叫中心、网站平台、即时通讯等；

同时，基于电子认证服务基本要素，还定义了：

电子认证服务能力要求：对电子认证服务能力提出了基本要求，包括场地、

人员、设施、纪律、服务管理、服务暂停与终止、信息保存、信息披露、安全等

各个相关方面要求；

电子认证服务质量分级：依据电子认证服务的服务内容、服务设施、服务要

求，对电子认证服务进行分级划分；

电子认证服务质量评价：依据量化的电子认证服务指标，对电子认证服务质

量提供综合评估与分析；

——第3部分：包括第6~8章：提出电子认证服务过程要求，保障要求和质

量分级。服务过程要求对电子认证服务的5个环节进行了要求；保障要求对服务

场所、服务机构，人员，服务设备、服务内容等的要求；质量分级这章中提出了

电子认证服务质量分级的定义和基本要求。

服务分级的依据：参考信息安全分级标准，考虑到对电子认证的机构的监管

等因素将电子认证服务分为三级。低级能够开展电子认证服务，第二级对整个电

子认证服务过程进行可计划可跟踪。最高级对于电子认证机构要求较高，主要服

务过程量化考核。

本标准主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语和定义

4缩略语

5电子认证服务总体要求

6电子认证服务要求

7电子认证服务保障要求

8电子认证服务质量分级

参考文献

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本规范的推广实施，将为监管机构的监管活动确定了明确的测评和监管指

标，约束电子认证机构的行为，提升行业整体服务水平；推动电子认证服务机构

改善服务质量，增强企业竞争力，为企业产生直接和间接的经济效益。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

无

五、与有关的现行法律、法规和强制性国家标准的关系

本规范以及《电子认证业务规则规范》、《CA认证机构建设、运营和管理规

范》、《证书策略与认证业务声明框架》都是为了保证电子认证服务的规范性，进

一步完善了我国电子认证机构的标准体系。

本规范为《中华人民共和国电子签名法》、《电子认证服务管理办法》的细化

补充，明确了电子认证服务质量“特征”和“要求”及电子认证服务质量的目标

和方针。对于政府监管、企业自律和社会监督都有十分重要的意义。

六、重大分歧意