T/SCCIA 012-2023 电子认证服务机构运营风险管理指南

ICS35.030

I65

团体标准

T/SCCIA012-2023

电子认证服务机构运营风险管理指南

Guidelinesforriskmanagementofcertificateauthorityoperation

2023-7-18发布2023-7-18实施

深圳市商用密码行业协会发布

T/SCCIA012-2023

目录

前言...III

引言IV

1范围1

2规范性引用文件1

3术语与定义1

4缩略语2

5风险管理背景2

6风险管理策略与原则3

6.1风险管理策略.3

6.2风险管理原则.3

7风险管理组织4

7.1风险管理组织架构.4

7.2风险管理职能.4

8风险管理过程4

8.1确定风险范围.5

8.2风险识别.5

8.3风险分析.5

8.4风险处置.6

8.5风险监督与改进.7

附录A（资料性）风险识别清单9

参考文献.16

II

T/SCCIA012-2023

前言

本标准按照GB/T1.1—2020的规定起草。

本标准由深圳市商用密码行业协会提出并归口。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准起草单位：深圳市电子商务安全证书管理有限公司、深圳鼎铉数字科技控股有限公司、鼎链

数字科技（深圳）有限公司、数安时代科技股份有限公司、广东省电子商务认证有限公司、山东省数字

证书认证管理有限公司。

本标准主要起草人：吴昊、杨振燕、王志辉、宋燕、柯晓悦、杨静、胡之婓、苏年乐、徐江斌、孙

子文、李科、冯挺、周蔚林、符玲、黄婉婷、陈树乐、杨贵忠、耿伟波

本标准凡涉及密码算法、电子认证服务规范等相关内容，按国家相关法规实施，如有不一致的地方，

以国家相关法规为准。

III

T/SCCIA012-2023

引言

本标准是为贯彻执行《中华人民共和国电子签名法》、《中华人民共和国密码法》、《电子认证服

务管理办法》等国家法律法规，规范电子认证服务机构业务运营过程的风险管理而制定的指导性标准。

本标准主要规定电子认证服务机构数字证书业务运营风险管理的策略、原则、组织及业务流程，推

动建立覆盖全面、责任明确、底线清晰、管理规范的风险管理体系，最终通过健全风险管理的长效机制，

逐步降低运营风险发生概率，减少电子认证服务机构运营风险损失，实现业务稳健持续开展。

本标准可为电子认证服务机构构建运营风险管理体系，加强运营风险的预防治理提供指导。

IV

T/SCCIA012-2023

电子认证服务机构运营风险管理指南

1范围

本文件规定了电子认证服务机构业务运营的术语定义、运营风险管理的策略、原则、组

织及业务流程，并明确业务运营工作中所需执行的具体业务标准、要求及指标等风险控制内

容要点，为后续业务持续改进和审计管理提供指导。

本标准适用于电子认证服务机构对数字证书业务运营风险的识别、分析、处置和监督改

进等风险管理工作。

电子认证服务机构可根据本文件建立、实施、有效运行和持续改进数字证书业务运营风

险管理体系，通过保障该体系的有效运行，有效管理风险。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本

适用于本文。凡是不注日期的引用文件，其最新版本（包括所有修改版）适用于本文件。

GB/T28447-2012信息安全技术电子认证服务机构运营管理规范

GB/T31722-2015信息技术安全技术信息安全风险管理

GB/T25056-2018信息安全技术证书认证系统密码及其相关安全技术规范

GB/T21053-2023信息安全技术公钥基础设施PKI系统安全技术要求

GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范

GM/T0014-2012数字证书认证系统密码协议规范

GM/T0037-2014证书认证系统检测规范

GJB5792-2006电磁屏蔽体等级划分和测量方法

BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和测试方式

3术语与定义

下列术语和定义适用于本文件。

3.1

电子认证服务机构certificateauthority

负责创建、分发证书并在必要时提供验证服务以证实用户身份的机构。通常将电子认证

服务机构简称为CA，也称为CA机构、CA中心、认证机构、证书认证机构等。

3.2

电子认证业务规则certificationpracticestatement

电子认证服务机构在提供电子认证服务时，在责任范围、作业操作规范、信息安全保障

措施等方面所遵循的业务规则。

3.3

数字证书digitalcertificate

1

T/SCCIA012-2023

由电子认证服务机构采用非对称密码技术签发的，用于证明证书主体身份与特定公钥间

对应关系的数据电文。

3.4

数字证书撤销列表certificaterevocationlist

由电子认证服务机构签署的一个有效期内失效的证书列表，它给出了一套证书发布者认

为无效的证书。

CRL通常又被称为数字证书黑名单。内容通常还包含CA机构的名称、发行日期、下次

撤销列表的预定发行日期、变更或撤销的数字证书序号，并说明变更或撤销的时间与理由。

3.5

在线查询数字证书状态协议onlinecertificatestatusprotocol

OCSP用于支持实时查询数字证书状态。

3.6

业务运营风险businessoperationrisk

电子认证服务机构在提供数字证书等的业务咨询、业务办理、鉴证服务、档案管理、技

术支持等的工作流程，任何由于操作流程、系统问题、人员失误等原因所可能或实际引发的

各类风险及其导致的损失。

3.7

风险源risksource

任何可能导致或增大风险事故发生的要素，包括电子认证服务运营管理流程及其相关活

动。

3.8

风险管理riskmanagement

指导和控制风险相关的协调活动，具体可包括对数字证书运营全流程可能影响业务正常

开展的风险源进行风险识别、分析、处置以及监督评价等实施管理的过程。

4缩略语

下列缩略语适用于本文件：

CA：电子认证服务机构certificateauthority

CPS：电子认证业务规则certificationpracticestatement

CRL：数字证书撤销列表certificaterevocationlist

OCSP：在线查询数字证书状态协议onlinecertificatestatusprotocol

USBKEY:智能密码钥匙universalserialbuskey

5风险管理背景

近年来，国家高度重视网络安全，大力推动营造构建网络安全环境，实施网络可信身份

战略，对电子认证服务机构也提出了更高的运营要求。为进一步规范电子认证服务机构业务

运营过程中的风险管理，本文件规定电子认证服务机构数字证书业务运营风险管理的策略、

原则、组织及业务流程，推动建立覆盖全面、责任明确、底线清晰、管理规范的风险管理体

2

T/SCCIA012-2023

系，最终通过该体系的有效运作，逐步减少运营风险发生概率，降低电子认证服务机构运营

风险损失，实现业务稳健持续开展。

电子认证服务机构进行业务运营风险管理，需要依据《运营风险管理体系框架》(见图

一)构建维护CA运营风险管理框架与体系，建立健全风险管理组织架构，设置符合CA机构自

身经营理念和战略规划的运营风险管理目标方针，制定风险管理标准、制度和流程，并组织

开展风险管理相关宣传、培训和考核，确定CA运营风险监控指标和运营风险管理清单，形成

完善的运营风险评估处置机制。

CA机构可以通过业务访谈、内部审计自查、信息收集与解读等方式对机构与运营风险管

理相关的内部制度、流程及风险管理指标开展审查评估，再根据评估结果提出风险管理处置

建议与改进。

图一运营风险管理体系框架

6风险管理策略与原则

6.1风险管理策略

电子认证服务机构应制定与自身业务状况相适应的运营风险管理策略与方针，具体管理

策略应包括至少以下方面内容：

——建立科学规范合理的风险管理组织架构或职能部门；

——建立合理流程有效识别、评估分析与处置风险；

——配备能力适配的人员支持风险管理工作，并开展风险管理的有关培训；

——设置风险评估周期，并制定实施相适应的风险控制管理应急预案；

——风险后果严重等级、风险发生后果严重等级的确定评估；

——风险识别、评估、监控系统或工具；

——风险应对、风险处理、风险控制措施；

——风险防范机制。

6.2风险管理原则

电子认证服务机构的数字证书业务过程中的运营风险管理，须遵循以下基本原则：

1.全面性原则

3

T/SCCIA012-2023

运营风险管理全面覆盖事前、事中、事后各业务的各个环节。电子认证服务机构应建立

并完善其相应的运营风险管理机制、制度及流程，设立相应运营风险监控指标，确保指标在

各业务领域的全面覆盖，在各个风险关键节点检测出风险后，及时实现对风险业务实施阻断

操作。

2.一致性原则

电子认证服务机构设立的运营风险管理目标与自身整体风险承受能力与意愿保持一致，

且应与CA机构整体层面设立的风险管理目标一致，一致性原则也有助于确保机构负责人辨别

行动方向和做出优先的措施。

3.预防性原则

风险预防控制原则，要求电子认证服务机构在实践业务运营中普遍应用运营风险管理策

略，变被动为主动，变事后处理为提前防范，在对外提供运营服务时采用风险管理技术工具

与措施，提高风险的可预判性，降低或避免风险带来的现实危害。

4.有效性原则

风险管理应该对照机构的全面风险管理目标，选择最恰当有效的方式，主动地对风险采

取及时的处置措施。风险管理的有效性是衡量风险管理体系运行效果的重要标准。

5.持续性原则

电子认证服务机构需要建立一套完善的可持续风险管理体系，如可操作的管理制度、健

全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险

应对机制。风险管理的过程，需要持续跟踪风险管理执行情况，不断识别和管理新风险，确

保组织实施风险管理措施的持续性。

7风险管理组织

7.1风险管理组织架构

电子认证服务机构应建立专门的风险管理组织机构，或指定具备风险管理职能的部门与

人员负责开展风险管理工作，且应明确各层级、各部门的职责。

其中以机构负责人或最高管理者，或以其为核心组成的风险管理领导小组为风险管理的

权力组织，风险管理部门或人员作为风险管理的管理组织，各职能部门作为风险管理的实施

组织。

7.2风险管理职能

风险管理的权力组织应推动建立和完善风险管理体系，管理和支持建立有效的风险管理

机制和程序，对风险管理运行状况进行监督检查。

风险管理的管理组织，作为直接负责风险管理工作的职能部门，应制定风险管理制度、

流程、措施等，协助和指导业务部门设置部门运营风险管理指标，并监控各项指标完成情况，

及组织实施风险管理的培训、风险评估与监督检查、跟进整改方案落实等工作，负责制定风

险管理报告，并向机构的负责人或最高管理者汇报。

风险管理的实施组织，作为风险管理的第一道防线，应立足于部门或岗位职能，配合管

理组织做好各部门工作流程与环节中的风险识别、风险监测指标的建立、维护及日常监控预

警工作，并做好风险的应对处置及效果评估。

8风险管理过程

4

T/SCCIA012-2023

8.1确定风险范围

针对电子认证服务机构业务运营过程中的风险信息，开展收集与管理工作时，需要依照

法律法规要求、国家标准、行业标准等规范文件要求，同时关注CA业务操作标准与要求，业

务系统运行安全等各方面相关信息，包括但不限于：

a)数字证书业务受理时的订户身份标识与鉴别；

b)数字证书生命周期操作要求；

c)业务系统管理与操作控制；

d)系统数据信息安全控制；

e)计算机、软件、数据库、机房、系统、网络配置管理；

f)核心团队管理及员工冲突、流失和知识管理；

e)机构内部组织职能管理。

8.2风险识别

风险识别是指确定电子认证服务机构业务运营过程中会发生的风险源、可能发生的事件

及其发生的原因和潜在后果。可以通过建立风险识别清单（见附录A），参照清单进行风险

识别、确认和描述，同时需充分考虑不同风险源、事件、原因和后果，如数据管理、产品故

障、系统问题、人员失误以及环境因素等，及其可能带来的对机构及客户等造成的影响（含

影响程度、影响范围）、及发生影响的概率。

同时需注意进行风险识别工作时，应进行充分的调查了解、搜集足够准确有效的信息，

以便为后续风险评价、处置提供充分的依据，并应采用科学有效的风险识别系统、工具与技

术。

8.3风险分析

8.3.1总则

风险分析是对风险影响和后果进行评估分析，确定管理方案来预防和解决风险。对潜在

问题可能导致的风险及其后果进行量化，并确定风险等级，最后采取各种措施来实现风险预

防、处置与监控，这也是风险分析的最终目的。

8.3.2风险分析方法

风险分析方法包括定性分析和定量分析，这其中可能涉及多种分析模型的综合应用，包

括但不限于：

a)风险矩阵分析

风险矩阵分析法是在进行风险评价时，将风险事件的后果严重程度、风险事件发生的概

率等级等相对定性分为若干级，然后绘制成表，计算得出加权指数，而每一个指数代表一个

风险等级。

b)安全检查分析

安全检查分析法是将一系列项目列出检查表进行分析，以确定检查表内容与实际标准要

求存在的偏差值，进而发现潜在风险，提出改进措施的一种方法。安全检查表的编制主要是

依据国家及地方的相关法规、标准、规章制度、国内外案例经验、行业实践经验等。

c)风险概率分析

风险概率分析是根据历史统计数据或大量的试验来分析风险实际发生的概率。主要分为

客观概率和主观概率分析。

5

T/SCCIA012-2023

d)工作危害分析

工作危害分析法是基于作业活动的一种风险辨识技术，用来进行人的不安全行为、物的

不安全状态、环境的不安全因素以及管理缺陷等的有效识别。

e)风险成因分析

风险成因有很多，风险成因分析法是将已识别的风险针对性地进行根本原因分析，通过

原因来评估风险的等级。根据成因分析，也可以把风险进行类型划分为自然风险、社会风险、

政治风险、经济风险、技术风险等。

8.3.3风险指数测算

以风险矩阵分析方法为例，分析电子认证服务机构运营过程中的风险事项和行为，在风

险识别完成后，根据对经营管理活动的影响，用0、1、2、3、4等数值，对风险源的概率等

级（见表一）和后果严重等级赋值（见表二），测算出风险指数（见表三）。测算公式为：

风险指数=风险概率等级*后果严重等级。

确定风险等级后（见表四），电子认证服务机构应及时制定风险管理的优先顺序和策略，

并组织有关职能部门进行整改实施。

表一风险概率等级赋值

风险概率等级高中低

赋值321

表二后果严重等级赋值

后果严重等级非常严重严重一般低非常低

赋值54321

表三风险指数评价

风险指数区间风险等级

1-3低风险

4-7中风险

8-11高风险

≥12严重风险

按照风险指数的测算方法，举例风险识别清单（见附录A）的风险赋值和风险等级测算，

以供参考。

8.4风险处置

及时识别处理风险，根据风险分析结果，采取有效的风险处置方式，最大限度地预防事

故发生或控制损失影响。

开展风险处置实施前，应进行预演评估，考虑评估采取各项风险控制措施的合理性和有

效性，争取降低风险至可接受程度。一旦确定了风险处置计划，就需要考虑所建议采取的风

险处置计划、方案和措施实施后，预期效果能否实现，风险级别能否降低至CA机构的风险接

6