《电子认证服务机构关键业务岗位设置和人员技能规范_[全文]》由会员分享,可在线阅读,更多相关《电子认证服务机构关键业务岗位设置和人员技能规范_[全文](8页珍藏版)》请在金锄头文库上搜索。
1、电子认证服务机构关键业务岗位设置 和人员技能规范 工业和信息化部信息安全协调司 主要内容 一、CA 机构关键岗位管理现状分析 二、法律法规对 CA 机构关键岗位管理的要求 三、 “规范”的目的、意义 四、 “规范”的主要内容介绍 五、电子认证服务业关键岗位监督管理电子认证服务行业发展背景 一、行业规模不断扩大自 2005 年电子签名法颁布实施以来,我国获准从事电子认证服务的机构已经有 30 家,分布在全国 21 个省、自制区、直辖市。 二、法律规章不断完善 电子认证服务管理办法 (1 号令) 电子认证服务业务承接管理办法 电子认证业务规则规范(试行) 电子认证服务许可审查流程(暂行) 电子认证
2、服务机构监督检查指引(试行) 电子认证服务行业发展背景 三、数字证书的规模不断扩大2005 年我国数字证书发放量为 260 万张,2006 年累计达到 546 万张,2007 年 790 万张, 2008 年累计达到 1100 万张,至今累计达到 1300 万张,其中有效证书 834 万张,占证书总 量的 641.2%。 四、应用领域更加广泛 广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签 约、供应链管理等领域。 一、CA 机构关键岗位管理现状分析 管理制度不健全 岗位职责不明晰 人员技能不规范 (1)多数 CA 均编写了大量的管理制度文档,但是未成体系,而且对
3、关键岗位没有明确的 职责划分或技能要求不规范; (2)目前还有 CA 机构没有建立 CPS 安全策略委员会,或者即使存在,但也没有对 CPS 维 护相关的职责和权限进行明确划分。 一、CA 机构关键岗位管理现状分析 管理制度不健全 岗位职责不明晰 人员岗位、职责、权限等方面的规定不够清晰、管理不规范,如: (1)证书业务办理不规范:证书的申请受理、审核由一人完成;证书办理由机构外部人员 或合作伙伴员工完成; (2)根密钥保护不规范: CA 密钥的多人控制/备份措施的实施不够彻底,目前还存在有的 CA 采用 3 选 3 策略,并且三张私钥卡由同一人保存; (3)关键岗位职责不清:如有些机构的安全
4、管理员与数据录入、计算机操作以及系统分析 员和程序员等岗位混淆。 人员技能不规范 一、CA 机构关键岗位管理现状分析 管理制度不健全 岗位职责不明晰 人员技能不规范CA 机构还存在岗位人员不具备很好完成岗位工作的技能,如:1)CA 系统自建立部署和配置运行以来,其 CA 系统管理员由于不熟悉基本不对其进行配 置管理,导致 CRL 更新不及时,系统备份方案不灵活等;2)存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备,有 的甚至不熟悉防火墙的系统配置,不能及时更新网络拓扑结构图,留下系统安全隐患。综上,CA 机构的关键岗位管理存在较大的安全隐患! 二、法律法规对 CA 机构
5、关键岗位管理的要求 第五条规定:电子认证服务机构应当具备的条件:具有与提供电子认证服务相适应的人员。 从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于 三十名,并且应当符合相应岗位技能要求。 第三十五条规定:电子认证服务机构在关键岗位人员变动时应当及时向工业和信息化部报 告; 第三十六条规定:电子认证服务机构应当对其从业人员进行岗位培训。 第十七条规定: 提供电子认证服务,应当具有与提供电子认证服务相适应的专业技术人员 和管理人员; 中华人民共和国电子签名法 电子认证服务管理办法 人员控制规定: * 对于充当可信角色或其他重要角色的人员,其需要具备的资格、经历和无
6、过失要求,例 如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。 * 在招聘充当可信角色或其他重要角色的人员时所需背景审查程序,这些角色可能要求调 查其犯罪记录、档案。 * 招聘人员后对每个角色的培训要求和过程。 * 在完成原始培训后对每个角色的再培训周期和过程。 * 在不同角色间的工作轮换周期和顺序 * 对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。 * 对独立签约者而非实体内部人员的控制。 * 在原始培训、再培训和其他过程中提供给员工的文档。 二、法律法规对 CA 机构关键岗位管理的要求 电子认证业务规则规范 三、 “规范”的目的、意义贯彻落实电子签名法中
7、“具有与提供电子认证服务相适应的专业技术人员和管理 人员”的基本要求,对 CA 认证机构的与提供电子认证服务直接相关的从业人员包括专业 技术人员、运维管理人员、安全管理人员、客户服务人员等的岗位设置、职责明确、技能 要求等进行规范,建立一套满足电子认证服务业实际要求的从业人员管理体系,指导电子 认证服务机构安全运营和规范服务,促进电子认证服务整体质量水平的提高。实施“规范”的主要目的 三、 “规范”的目的、意义 实施“规范”的意义 贯彻落实了电子签名法和相关法律法规,满足了对专业技术人员和管理人员的基本法 律法规要求; 有效管理了电子认证服务业从业人员,推动了电子认证服务机构的规范化安全运营;
8、 促进了电子认证服务质量的提高,推动了电子认证服务业健康、有序、规范发展。 四、 “规范”的主要内容介绍 (一)电子认证服务人员划分 (二)电子认证服务人员基本要求 (三)电子认证服务机构十二个关键岗位 (四)关键岗位的职责及基本技能要求 (五)认证服务业从业人员监督管理 (一)电子认证服务人员划分 专业技术人员 安全管理人员 运营管理人员 客户服务人员 电子认证服务机构 (一)电子认证服务人员划分 专业技术人员 安全管理人员 运营管理人员 客户服务人员 电子认证服务机构 电子认证专业技术人员是指对电子认证服务系统(CA 系统)进行研究、管理、应用开发, 保障电子认证服务系统稳定运行和应用实施
9、的人员。 (一)电子认证服务人员划分 专业技术人员 安全管理人员 运营管理人员 客户服务人员 电子认证服务机构 电子认证运营管理人员是指对信息系统、网络系统、物理环境进行日常维护,保障电子认 证服务业务连续性的人员。 (一)电子认证服务人员划分 专业技术人员 安全管理人员 运营管理人员 客户服务人员 电子认证服务机构 电子认证安全管理人员是指电子认证服务机构安全策略委员会成员,以及安全经理、密钥 管理人员、物理环境安全管理人员等。 (一)电子认证服务人员划分专业技术人员 安全管理人员 运营管理人员 客户服务人员 电子认证服务机构 电子认证客户服务人员是指面向证书申请人提供受理、鉴别、验证、证书
10、制作、证书分发 等服务的人员。 (二)电子认证服务人员基本要求 电子认证服务对从业人员提出的基本要求 具有较强的法律意识,熟悉电子签名法等法律法规; 具有较强的保密意识,对接触的资料、档案、文件等保密; 具有较强的安全意识,对密钥、网络、服务等的安全性时刻牢记; 具有良好的个人信用记录; (三)电子认证服务机构十二个关键岗位 电子认证服务机构从业人员 专业技术人员 运营管理人员 安全管理人员 客户服务人员 CA 系统管理人员 CA 系统运营管理人员 网络安全管理员 系统维护管理员 核心机房管理员 安全策略委员会主任 安全经理 密钥管理人员 物理环境安全管理人员 鉴证人员 客户服务负责人 客户档
11、案管理员 (四)关键岗位的职责及基本技能要求 基本技能要求 1、CA 系统管理员主要职责:负责对密钥管理、生产系统以及运营场地、电力、设备等基础设施运行进行 监督,规避主要风险。 专业技术类 熟悉电子认证方面的法律、法规和规章; 掌握国内各项安全规范和标准; 具有网络信息或系统安全的相关知识; 具有 3 年以上运营维护和管理的工作经验; 具有良好的风险管理能力,对于安全体系有着较深刻的认识,容易从评估风险的角度发现 潜在的隐患或漏洞,并能提供有效的办法来规避风险。 具有良好的质量导向能力,信息收集能力,计划执行能力,组织协调能力,决策能力。(四)关键岗位的职责及基本技能要求 基本技能要求 1、
12、CA 系统运营管理人员主要职责:负责协调、监督生产系统,维护密钥管理,保证场地、设备、电力和网络基 础设施的安全运行,对员工可信的控制等。 运营管理类 熟悉电子认证方面的法律、法规和规章; 掌握国内安全相关规范和标准; 具有网络信息、系统安全知识; 具有 2 年以上运营维护和管理工作的经验; 具有风险管理能力,对于安全体系有着较深的认识,容易从评估风险的角度发现潜在的隐 患或漏洞,并能提供有效的办法来规避风险。 具有良好的质量导向能力,信息收集能力,计划执行能力,组织协调能力,决策能力。 (四)关键岗位的职责及基本技能要求 基本技能要求 2、网络安全管理员主要职责:负责维护电子认证机构计算机相
13、关的电子设备、操作系统、数据中心的应用 进程及网站建设,保证硬件和软件的正常进行,即时发现并排查故障。 运营管理类 熟悉电子认证方面的法律、法规和规章; 具有全面的计算机专业知识,以太网络管理及系统管理经验; 熟悉各种操作系统、数据库; 熟悉各种网络安全策略; 具有 1 年以上计算机相关工作经验。 (四)关键岗位的职责及基本技能要求 基本技能要求 3、系统维护管理员主要职责:负责因特网的正常使用,网站发布及更改防火墙配置,硬件故障的排查及维 修等。 运营管理类 熟悉电子认证方面的法律、法规和规章; 具有全面的计算机专业知识,以太网络管理及系统管理经验; 熟悉各种操作系统、数据库; 熟悉各种网络
14、安全政策。 (四)关键岗位的职责及基本技能要求 基本技能要求 4、核心机房管理员主要职责:负责监控计算机中心的操作系统、数据库、备份系统的运行。 运营管理类 熟悉电子认证方面的法律、法规和规章; 具有全面的计算机专业知识,以太网络管理及系统管理经验; 熟悉各种操作系统、数据库; 熟悉各种网络安全政策; 具有 2 年及以上计算机相关工作经验;(四)关键岗位的职责及基本技能要求 基本技能要求 1、安全策略委员会主任主要职责:负责领导安全策略委员会,制定本机构的电子认证业务声明并监督执行,有 效控制本机构运营风险,保证电子认证服务质量和业务的连续性。 安全管理类 熟悉电子认证方面的法规、规章和行业政
15、策; 了解国家相关安全规范和标准; 熟悉本机构的电子认证业务规则; 熟悉电子认证事故应急救援与预案程序; 对本机构电子认证运营工作有较全面的认识; 无重大行政处罚和犯罪记录; 具有学士以上学位; 具有 5 年以上电子认证行业或相关行业高级管理工作经验。 (四)关键岗位的职责及基本技能要求 基本技能要求 2、安全经理主要职责:负责本机构场地安全、日常安全管理、审计工作,定期检查门禁系统运行状 况,定期对物理场地进行安全评估,并对安全事件提出可行性解决方案。 。 安全管理类 熟悉电子认证方面的法规、规章和行业政策; 了解国家相关安全规范和标准; 熟悉电子认证服务安全隐患排查与事故防范措施; 熟悉电
16、子认证事故应急救援与预案程序; 熟悉电子认证事故统计、报告制度; 精通机房运营安全; 具有场地维护经验; 具有机房安全管理工作经验; 具有良好的关注细节能力、自控能力,敬业负责。 (四)关键岗位的职责及基本技能要求 基本技能要求 3、密钥管理人员主要职责:负责为电子认证机构及客户创建并维护电子认证密钥对和证书,保存和维护 所有密钥相关物品和文档,贯彻电子认证密钥对的物理和逻辑安全,确保密钥生成规程的 完整性和可审计性等。 。 安全管理类 熟悉电子认证方面的法律、法规和规章; 掌握国家的各项安全技术规范和标准; 掌握加密技术、PKI 技术以及电子认证服务流程; 熟悉本机构加密厂商的加密设备; 具有计算机相关专业知识; 具有良好的关注细节能力、分析判断能力、信息收集能力和表达能力。 (四)关键岗位的职责及基本技能要求 基本技能要求4、物理环境安全管理人员主要职责:负责机电、门禁监控设备、消防设备的管理及维护,各项应急预案编写及更 新,工程建设和改造维护等。 。 安全管理类 熟悉电子认证方面的法律、法规和规章; 掌握国家的各