第二条国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。

省、自治区、直辖市密码管理机构受国家密码管理局的委托，依据本办法承担有关管理工作。

第三条电子认证服务提供者采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。

第四条提供电子认证服务，应当依据本办法申请《电子认证服务使用密码许可证》。

第五条申请《电子认证服务使用密码许可证》应当具备下列条件：

(一)具有符合《证书认证系统密码及其相关安全技术规范》的电子认证服务系统;

(二)电子认证服务系统由具有商用密码产品生产资质的单位承建;

(三)电子认证服务系统采用的商用密码产品是国家密码管理局认定的产品;

(四)电子认证服务系统通过国家密码管理局安全性审查。

第六条申请《电子认证服务使用密码许可证》应当向省、自治区、直辖市密码管理机构提交下列材料：

(一)使用密码的书面申请;

(二)企业法人营业执照或者企业名称预先核准通知书(复印件);

(三)电子认证服务系统通过安全性审查的通知(复印件)。

第七条省、自治区、直辖市密码管理机构应当自受理申请材料之日起5个工作日内，将全部申请材料报国家密码管理局。

第八条国家密码管理局应当自收到省、自治区、直辖市密码管理机构报送的材料之日起15个工作日内对申报材料进行审查，并做出是否许可的决定。予以许可的，发给《电子认证服务使用密码许可证》;不予许可的，书面通知申请人并说明理由。

第九条电子认证服务系统的运行应当符合《证书认证系统密码及其相关安全技术规范》。

电子认证服务提供者对其电子认证服务系统进行技术改造的，事先将具体方案报国家密码管理局备案，事后向国家密码管理局申请安全性审查，通过审查的方可投入运行。

第十条电子认证服务提供者擅自对电子认证服务系统进行技术改造的，由国家密码管理局责令改正，并根据不同情况向信息产业主管部门提出处罚建议。

第十一条国家密码管理局和省、自治区、直辖市密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊，不依法履行监管职责的，给予行政处分;构成犯罪的，依法追究刑事责任。