GB/T 26855—2011信息安全技術 公鑰基礎設施 證書策略與認證業務聲明框架條款集框架
本章包含條款集的標題列表,可作為全部標題的一覽表或CP、CPS編寫者的標準模版。此通用主題列表有助于:
a) 在進行交叉認證或其他形式的互操作時,比較兩個證書策略(為實現策略映射)。
b) 將CPS與CP進行比較,來確認CPS忠實地實現了策略。
c) 比較兩個CPS。
條款集標題列表如下:
- 引言
1.1 概述
1.2 文檔名稱與標識
1.3 PKI參與者
1.3.1 證書認證機構
1.3.2 注冊機構
1.3.3 訂戶
1.3.4 依賴方
1.3.5 其他參與者
1.4 證書應用
1.4.1 適合的證書應用
1.4.2 限制的證書應用
1.5 策略管理
1.5.1 策略文檔管理機構
1.5.2 聯系人
1.5.3 決定CPS符合策略的人員
1.5.4 CPS批準流程
1.6 定義和縮寫
- 發布與信息庫責任
2.1 信息庫
2.2 認證信息的發布
2.3 發布的時間或頻率
2.4 信息庫訪問控制
- 標識與鑒別
3.1 命名
3.1.1 名稱類型
3.1.2 對名稱意義化的要求
3.1.3 訂戶的匿名或偽名
3.1.4 解釋不同名稱形式的規則
3.1.5 名稱的唯一性
3.1.6 商標的識別、鑒別和角色
3.2 初始身份確認
3.2.1 證明擁有私鑰的方法
3.2.2 組織機構身份的鑒別
3.2.3 個人身份的鑒別
3.2.4 沒有驗證的訂戶信息
3.2.5 授權確認
3.2.6 互操作準則
3.3 密鑰更新請求的標識與鑒別
3.3.1 常規密鑰更新的標識與鑒別
3.3.2 吊銷后密鑰更新的標識與鑒別
3.4 吊銷請求的標識與鑒別
- 證書生命周期操作要求
4.1 證書申請
4.1.1 證書申請主體
4.1.2 注冊過程與責任
4.2 證書申請處理
4.2.1 執行標識與鑒別功能
4.2.2 證書申請批準和拒絕
4.2.3 處理證書申請的時間
4.3 證書簽發
4.3.1 證書簽發中RA和CA的行為
4.3.2 CA和RA對訂戶的通告
4.4 證書接受
4.4.1 構成接受證書的行為
4.4.2 CA對證書的發布
4.4.3 就簽發證書CA對其他實體的通告
4.5 密鑰對和證書的使用
4.5.1 訂戶私鑰和證書的使用
4.5.2 依賴方公鑰和證書的使用
4.6 證書更新
4.6.1 證書更新的情形
4.6.2 請求證書更新的主體
4.6.3 證書更新請求的處理
4.6.4 頒發新證書時對訂戶的通告
4.6.5 構成接受更新證書的行為
4.6.6 CA對更新證書的發布
4.6.7 就簽發證書CA對其他實體的通告
4.7 證書密鑰更新
4.7.1 證書密鑰更新的情形
4.7.2 請求證書密鑰更新的主體
4.7.3 證書密鑰更新請求的處理
4.7.4 頒發新證書時對訂戶的通告
4.7.5 構成接受密鑰更新證書的行為
4.7.6 CA對密鑰更新證書的發布
4.7.7 就簽發證書CA對其他實體的通告
4.8 證書變更
4.8.1 證書變更的情形
4.8.2 請求證書變更的主體
4.8.3 證書變更請求的處理
4.8.4 頒發新證書時對訂戶的通告
4.8.5 構成接受變更證書的行為
4.8.6 CA對變更證書的發布
4.8.7 就簽發證書CA對其他實體的通告
4.9 證書吊銷和掛起
4.9.1 證書吊銷的情形
4.9.2 請求證書吊銷的主體
4.9.3 吊銷請求的流程
4.9.4 吊銷請求寬限期
4.9.5 CA處理吊銷請求的時限
4.9.6 依賴方檢查證書吊銷的要求
4.9.7 CRL發布頻率
4.9.8 CRL發布的最大滯后時間
4.9.9 在線證書狀態查詢的可用性
4.9.10 在線證書狀態查詢要求
4.9.11 吊銷信息的其他發布形式
4.9.12 對密鑰損害的特別要求
4.9.13 證書掛起的情形
4.9.14 請求證書掛起的主體
4.9.15 掛起請求的流程
4.9.16 掛起的期限限制
4.10 證書狀態服務
4.10.1 操作特征
4.10.2 服務可用性
4.10.3 可選特征
4.11 訂購結束
4.12 密鑰托管與恢復
4.12.1 密鑰托管與恢復的策略與行為
4.12.2 會話密鑰的封裝與恢復的策略與行為
- 設施、管理和操作控制
5.1 物理控制
5.1.1 場地位置與建筑
5.1.2 物理訪問
5.1.3 電力與空調
5.1.4 水患防治
5.1.5 火災防護
5.1.6 介質存儲
5.1.7 廢物處理
5.1.8 異地備份
5.2 過程控制
5.2.1 可信角色
5.2.2 每項任務需要的人數
5.2.3 每個角色的標識與鑒別
5.2.4 需要職責分割的角色
5.3 人員控制
5.3.1 資格、經歷和無過失要求
5.3.2 背景審查程序
5.3.3 培訓要求
5.3.4 再培訓周期和要求
5.3.5 工作崗位輪換周期和順序
5.3.6 未授權行為的處罰
5.3.7 獨立合約人的要求
5.3.8 提供給員工的文檔
5.4 審計日志程序
5.4.1 記錄事件的類型
5.4.2 處理日志的周期
5.4.3 審計日志的保存期限
5.4.4 審計日志的保護
5.4.5 審計日志備份程序
5.4.6 審計收集系統
5.4.7 對導致事件主體的通告
5.4.8 脆弱性評估
5.5 記錄歸檔
5.5.1 歸檔記錄的類型
5.5.2 歸檔記錄的保存期限
5.5.3 歸檔文件的保護
5.5.4 歸檔文件的備份程序
5.5.5 記錄時間戳要求
5.5.6 歸檔收集系統
5.5.7 獲得和檢驗歸檔信息的程序
5.6 CA密鑰更替
5.7 損害和災難恢復
5.7.1 事故和損害處理程序
5.7.2 計算資源、軟件和/或數據的損壞
5.7.3 實體私鑰損害處理程序
5.7.4 災難后的業務連續性能力
5.8 CA或RA的終止
- 技術安全控制
6.1 密鑰對的生成和安裝
6.1.1 密鑰對的生成
6.1.2 私鑰傳送給訂戶
6.1.3 公鑰傳送給證書簽發機構
6.1.4 CA公鑰傳送給依賴方
6.1.5 密鑰的長度
6.1.6 公鑰參數的生成和質量檢查
6.1.7 密鑰使用目的
6.2 私鑰保護和密碼模塊工程控制
6.2.1 密碼模塊的標準和控制
6.2.2 私鑰多人控制(m選n)
6.2.3 私鑰托管
6.2.4 私鑰備份
6.2.5 私鑰歸檔
6.2.6 私鑰導入、導出密碼模塊
6.2.7 私鑰在密碼模塊的存儲
6.2.8 激活私鑰的方法
6.2.9 解除私鑰激活狀態的方法
6.2.10 銷毀私鑰的方法
6.2.11 密碼模塊的評估
6.3 密鑰對管理的其他方面
6.3.1 公鑰歸檔
6.3.2 證書操作期和密鑰對使用期限
6.4 激活數據
6.4.1 激活數據的產生和安裝
6.4.2 激活數據的保護
6.4.3 激活數據的其他方面
6.5 計算機安全控制
6.5.1 特別的計算機安全技術要求
6.5.2 計算機安全評估
6.6 生命周期技術控制
6.6.1 系統開發控制
6.6.2 安全管理控制
6.6.3 生命周期安全控制
6.7 網絡的安全控制
6.8 時間戳
- 證書、CRL和OCSP
7.1 證書
7.1.1 版本號
7.1.2 證書擴展項
7.1.3 算法對象標識符
7.1.4 名稱形式
7.1.5 名稱限制
7.1.6 證書策略對象標識符
7.1.7 策略限制擴展項的用法
7.1.8 策略限定符的語法和語義
7.1.9 關鍵證書策略擴展項的處理規則
7.2 CRL
7.2.1 版本號
7.2.2 CRL 和CRL條目擴展項
7.3 OCSP
7.3.1 版本號
7.3.2 OCSP擴展項
- 一致性審計和其他評估
8.1 評估的頻率或情形
8.2 評估者的資質
8.3 評估者與被評估者之間的關系
8.4 評估內容
8.5 對問題與不足采取的措施
8.6 評估結果的傳達與發布
- 業務和法律事務
9.1 費用
9.1.1 證書簽發和更新費用
9.1.2 證書查取費用
9.1.3 證書吊銷或狀態信息的查詢費用
9.1.4 其他服務費用
9.1.5 退款策略
9.2 財務責任
9.2.1 保險范圍
9.2.2 其他資產
9.2.3 對最終實體的保險或擔保
9.3 業務信息保密
9.3.1 保密信息范圍
9.3.2 不屬于保密的信息
9.3.3 保護保密信息的責任
9.4 個人隱私保密
9.4.1 隱私保密方案
9.4.2 作為隱私處理的信息
9.4.3 不被視為隱私的信息
9.4.4 保護隱私的責任
9.4.5 使用隱私信息的告知與同意
9.4.6 依法律或行政程序的信息披露
9.4.7 其他信息披露情形
9.5 知識產權
9.6 陳述與擔保
9.6.1 CA 的陳述與擔保
9.6.2 RA 的陳述與擔保
9.6.3 訂戶的陳述與擔保
9.6.4 依賴方的陳述與擔保
9.6.5 其他參與者的陳述與擔保
9.7 擔保免責
9.8 有限責任
9.9 賠償
9.10 有效期限與終止
9.10.1 有效期限
9.10.2 終止
9.10.3 效力的終止與保留
9.11 對參與者的個別通告與溝通
9.12 修訂
9.12.1 修訂程序
9.12.2 通知機制和期限
9.12.3 必須修改OID的情形
9.13 爭議處理
9.14 管轄法律
9.15 與適用法律的符合性
9.16 一般條款
9.16.1 完整協議
9.16.2 轉讓
9.16.3 分割性
9.16.4 強制執行
9.16.5 不可抗力
9.17 其他條款
推薦文章: