憑證機構就金鑰對之產製及安裝，應於其作業基準中載明下列事項：

一、用戶金鑰對由誰產製。

二、金鑰對非由用戶自行產製時，私密金鑰如何安全傳送予用戶。

三、憑證機構公開金鑰如何安全傳送予用戶或信賴憑證者。

四、金鑰長度。

五、金鑰生成參數及參數品質檢驗。

六、金鑰之使用目的。

憑證機構就私密金鑰保護，應於其作業基準中載明下列事項：

一、密碼模組是否符合特定標準。

二、是否採行金鑰分持之多人控管。

三、私密金鑰是否託管、備份、歸檔或輸入至密碼模組；如進行託管、備 份、歸檔或輸入至密碼模組者，其方法及程序。

四、私密金鑰之啟動、停用及銷毀方式。

憑證機構應於其作業基準中載明憑證有效期限、公開金鑰是否歸檔及公開 金鑰與私密金鑰各別之使用期限。

憑證機構應於其作業基準中載明對於啟動資訊之保護措施。

憑證機構應於其作業基準中載明所採行之系統軟體及網路安全控管措施。