—
title: “电子签章平台资质审查指南”
cover_category: esignature
—

上周有一家SaaS厂商到我公司来推销电子签章平台，方案书里密密麻麻列了十几个”权威认证”。法务总监看了一眼就问我：”这些证，哪个是真的管用，哪些是凑数的？”

这是一个非常好的问题。电子签章涉及合同的法律效力，平台资质就是它的”身份证”。资质不全，签的合同可能没有法律效力。本文帮您理清哪些资质是强制必需的，哪些是重要加分的。

一、强制性资质（缺一不可）

1. 电子认证服务许可证（工信部）

这是最最核心的资质。CA机构（数字证书认证中心）必须持有工信部颁发的《电子认证服务许可证》，才能合法提供数字证书服务。

– 颁发机构：工业和信息化部
– 为什么重要：《电子签名法》第十七条明确规定，电子认证服务提供者应当取得该许可
– 怎么查：登录工信部官网→政务公开→电子认证服务许可查询
– 全国持证CA机构仅30余家，如果平台的合作CA不在名单内，立刻警觉

2. 商用密码产品认证（国密局）

我国要求电子签章必须使用国密算法（SM2/SM3/SM4），非国密算法（如RSA）在法律效力上存在风险。

– 颁发机构：国家密码管理局
– 关注点：认证范围是否覆盖了密码模块、签名服务器等核心组件
– 级别：推荐的密码模块安全等级为二级及以上

3. 信息系统安全等级保护三级（公安部）

等保三级是电子签章平台的基础安全门槛，意味着平台在物理安全、网络安全、数据安全等方面达到了国家认可的标准。

– 颁发机构：公安部
– 关键区别：等保测评报告和备案证明是两个不同东西。备案证明只是走完流程，测评报告才意味着真正通过了测评
– 注意：等保三级每年复测，要确认平台的最新测评报告在有效期内

二、重要加分资质

4. 信息安全服务资质（中国信息安全测评中心）

– 级别：一级最高，三级最低
– 加分理由：标志着平台提供方具备专业的信息安全服务和应急处置能力

5. ISO 27001信息安全管理体系认证

– 国际标准：证明平台内部信息安全管理体系完善
– 加分理由：有跨境业务或外企客户的企业尤其关注

6. 可信电子签章认证（中国电子技术标准化研究院）

– 国家推荐性标准：GB/T 38540-2020《信息安全技术 电子签章安全技术要求》
– 加分理由：证明签章技术方案符合国家标准

三、行业特定资质

金融行业

– 银保监会相关监管要求的适配证明
– 证券期货业电子签章规范适配

医疗行业

– 电子病历应用相关合规证明

政务/公共事业

– 国家电子政务外网认证
– 涉密信息系统集成资质（如果涉及保密业务）

四、资质审查四步法

第一步：列清单
把候选平台的资质清单全部拉出来，对照本文的”强制资质”和”加分资质”逐项标记。

第二步：验真伪
– 工信部CA许可：https://www.miit.gov.cn/ → 查询电子认证服务许可
– 等保备案：要求平台提供公安机关出具的《信息系统安全等级保护备案证明》
– 商密认证：要求提供《商用密码产品认证证书》原件

第三步：检查效期
很多平台展示的是几年前的老证书。有效期、年审记录、最近一次测评报告日期——都要逐一核对。

第四步：明确责任归属
在合同中明确约定：如果因为平台资质问题导致企业签署的电子合同被认定无效，平台需要承担的法律责任和经济赔偿。

五、一个排雷建议

有些平台会说”我们的CA是合作伙伴，他们持有许可证”。这可以接受——前提是：合作协议、CA资质证明、以及CA对平台签章合法性的背书文件，都需要在白纸黑字上写清楚。

记住一条铁律：资质不是越多越好，但不能少一个强制项。 强制资质缺失，不管功能多好、价格多便宜，直接淘汰。