收藏
下载资源

电子认证服务机构关键业务岗位设置和人员技能规范

上传人:ji****72 文档编号:50613926 上传时间:2018-08-09 格式:PPT 页数:33 大小:768.50KB
返回 下载 相关 举报
电子认证服务机构关键业务岗位设置和人员技能规范_第1页
第1页 / 共33页
电子认证服务机构关键业务岗位设置和人员技能规范_第2页
第2页 / 共33页
电子认证服务机构关键业务岗位设置和人员技能规范_第3页
第3页 / 共33页
电子认证服务机构关键业务岗位设置和人员技能规范_第4页
第4页 / 共33页
电子认证服务机构关键业务岗位设置和人员技能规范_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《电子认证服务机构关键业务岗位设置和人员技能规范》由会员分享,可在线阅读,更多相关《电子认证服务机构关键业务岗位设置和人员技能规范(33页珍藏版)》请在金锄头文库上搜索。

1、电子认证服务机构关键业务岗位设置 和人员技能规范工业和信息化部信息安全协调司 2009年11月26日主要内容一、CA机构关键岗位管理现状分析二、法律法规对CA机构关键岗位管理的要求三、“规范”的目的、意义四、“规范”的主要内容介绍五、电子认证服务业关键岗位监督管理电子认证服务行业发展背景一、行业规模不断扩大自2005年电子签名法颁布实施以来,我国获准从事电子认证服务的机构已经有30家,分布在全国21个省、自制区、直辖市。二、法律规章不断完善 电子认证服务管理办法(1号令) 电子认证服务业务承接管理办法 电子认证业务规则规范(试行) 电子认证服务许可审查流程(暂行) 电子认证服务机构监督检查指引

2、(试行) 电子认证服务行业发展背景三、数字证书的规模不断扩大2005年我国数字证书发放量为260万张,2006年累计达到546万张,2007年790万张,2008年累计达到1100万张,至今累计达到1300万张,其中有效证书834万张,占证书总量的64.2%。四、应用领域更加广泛广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签约、供应链管理等领域。一、CA机构关键岗位管理现状分析管理制度 不健全岗位职责 不明晰人员技能 不规范(1)多数CA均编写了大量的管理制度文档,但是未成体系,而且对关键岗位没有明确的职责划分或技能要求不规范;(2)目前还有CA机构没有建立CP

3、S安全策略委员会,或者即使存在,但也没有对CPS维护相关的职责和权限进行明确划分。一、CA机构关键岗位管理现状分析管理制度 不健全岗位职责 不明晰人员岗位、职责、权限等方面的规定不够清晰、管 理不规范,如: (1)证书业务办理不规范:证书的申请受理、审 核由一人完成;证书办理由机构外部人员或合作伙 伴员工完成; (2)根密钥保护不规范: CA密钥的多人控制/备 份措施的实施不够彻底,目前还存在有的CA采用3 选3策略,并且三张私钥卡由同一人保存; (3)关键岗位职责不清:如有些机构的安全管理 员与数据录入、计算机操作以及系统分析员和程序 员等岗位混淆。人员技能 不规范一、CA机构关键岗位管理现

4、状分析管理制度 不健全岗位职责 不明晰人员技能 不规范CA机构还存在岗位人员不具备很好完成岗位工作的技能,如:1)CA系统自建立部署和配置运行以来,其CA系统管理员由于不熟悉基本不对其进行配置管理,导致CRL更新不及时,系统备份方案不灵活等;2)存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备,有的甚至不熟悉防火墙的系统配置,不能及时更新网络拓扑结构图,留下系统安全隐患。综上,CA机构的关键岗位管理存在较大的安全隐患!二、法律法规对CA机构关键岗位管理的要求第五条规定:电子认证服务机构应当具备的条件:具有与提供电子认证服 务相适应的人员。从事电子认证服务的专业技术人员、运

5、营管理人员、安 全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要 求。 第三十五条规定:电子认证服务机构在关键岗位人员变动时应当及时向工 业和信息化部报告; 第三十六条规定:电子认证服务机构应当对其从业人员进行岗位培训。第十七条规定: 提供电子认证服务,应当具有与提供电子认证服务相适 应的专业技术人员和管理人员;中华人民共和国电子签名法电子认证服务管理办法人员控制规定: * 对于充当可信角色或其他重要角色的人员,其需要具备的资格、经历和无过失 要求,例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证 。 * 在招聘充当可信角色或其他重要角色的人员时所需背景审查程序,这

6、些角色可 能要求调查其犯罪记录、档案。 * 招聘人员后对每个角色的培训要求和过程。 * 在完成原始培训后对每个角色的再培训周期和过程。 * 在不同角色间的工作轮换周期和顺序 * 对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等 。 * 对独立签约者而非实体内部人员的控制。 * 在原始培训、再培训和其他过程中提供给员工的文档。二、法律法规对CA机构关键岗位管理的要求电子认证业务规则规范三、“规范”的目的、意义贯彻落实电子签名法中“具有与提供电子认证服务 相适应的专业技术人员和管理人员”的基本要求,对CA认证 机构的与提供电子认证服务直接相关的从业人员包括专业技 术人员、运维管

7、理人员、安全管理人员、客户服务人员等的 岗位设置、职责明确、技能要求等进行规范,建立一套满足 电子认证服务业实际要求的从业人员管理体系,指导电子认 证服务机构安全运营和规范服务,促进电子认证服务整体质 量水平的提高。实施“规范”的主要目的三、“规范”的目的、意义实施“规范”的意义u贯彻落实了电子签名法和相关法律法规,满足了对专业技术人员和管理人员的基本法律法规要求;u有效管理了电子认证服务业从业人员,推动了电子认证服务机构的规范化安全运营;u促进了电子认证服务质量的提高,推动了电子认证服务业健康、有序、规范发展。四、“规范”的主要内容介绍(一)电子认证服务人员划分 (二)电子认证服务人员基本要

8、求 (三)电子认证服务机构十二个关键岗位 (四)关键岗位的职责及基本技能要求 (五)认证服务业从业人员监督管理(一)电子认证服务人员划分专业技术人员安全管理人员运营管理人员客户服务人员电子认证服 务机构(一)电子认证服务人员划分专业技术人员安全管理人员运营管理人员客户服务人员电子认证服 务机构电子认证专业技术人员是指对电子认证服务系统(CA系统)进行 研究、管理、应用开发,保障电子认证服务系统稳定运行和应用 实施的人员。(一)电子认证服务人员划分专业技术人员安全管理人员运营管理人员客户服务人员电子认证服 务机构电子认证运营管理人员是指对信息系统、网络系统、物理环境 进行日常维护,保障电子认证服

9、务业务连续性的人员。(一)电子认证服务人员划分专业技术人员安全管理人员运营管理人员客户服务人员电子认证服 务机构电子认证安全管理人员是指电子认证服务机构安全策略委员会 成员,以及安全经理、密钥管理人员、物理环境安全管理人员 等。(一)电子认证服务人员划分专业技术人员安全管理人员运营管理人员客户服务人员电子认证服 务机构电子认证客户服务人员是指面向证书申请人提供受理、鉴别、 验证、证书制作、证书分发等服务的人员。(二)电子认证服务人员基本要求电子认证服务对从业人员提出的基本要求 u具有较强的法律意识,熟悉电子签名法等法律法规;u具有较强的保密意识,对接触的资料、档案、文件等保密;u具有较强的安全

10、意识,对密钥、网络、服务等的安全性时刻牢记;u具有良好的个人信用记录;(三)电子认证服务机构十二个关键岗位电子认证服务机构从业人员专业技术人员运营管理人员安全管理人员客户服务人员CA系统管理人员CA系统运营管理人员网络安全管理员系统维护管理员核心机房管理员安全策略委员会主任安全经理密钥管理人员物理环境安全管理人员鉴证人员客户服务负责人客户档案管理员(四)关键岗位的职责及基本技能要求基本技能要求1、CA系统管理员主要职责:负责对密钥管理、 生产系统以及运营场地、电力、 设备等基础设施运行进行监督, 规避主要风险。专业技术类u熟悉电子认证方面的法律、法规和 规章; u掌握国内各项安全规范和标准;

11、u具有网络信息或系统安全的相关知 识; u具有3年以上运营维护和管理的工作 经验; u具有良好的风险管理能力,对于安 全体系有着较深刻的认识,容易从评 估风险的角度发现潜在的隐患或漏洞 ,并能提供有效的办法来规避风险。 u具有良好的质量导向能力,信息收 集能力,计划执行能力,组织协调能 力,决策能力。(四)关键岗位的职责及基本技能要求基本技能要求1、CA系统运营管理人员主要职责:负责协调、监督生 产系统,维护密钥管理,保证场 地、设备、电力和网络基础设施 的安全运行,对员工可信的控制 等。运营管理类u熟悉电子认证方面的法律、法规和 规章; u掌握国内安全相关规范和标准; u具有网络信息、系统安

12、全知识; u具有2年以上运营维护和管理工作的 经验; u具有风险管理能力,对于安全体系 有着较深的认识,容易从评估风险的 角度发现潜在的隐患或漏洞,并能提 供有效的办法来规避风险。 u具有良好的质量导向能力,信息收 集能力,计划执行能力,组织协调能 力,决策能力。(四)关键岗位的职责及基本技能要求基本技能要求2、网络安全管理员主要职责:负责维护电子认证 机构计算机相关的电子设备、操 作系统、数据中心的应用进程及 网站建设,保证硬件和软件的正 常进行,即时发现并排查故障。运营管理类u熟悉电子认证方面的法律、法规和 规章; u具有全面的计算机专业知识,以太 网络管理及系统管理经验; u熟悉各种操作

13、系统、数据库; u熟悉各种网络安全策略; u具有1年以上计算机相关工作经验。(四)关键岗位的职责及基本技能要求基本技能要求3、系统维护管理员主要职责:负责因特网的正常 使用,网站发布及更改防火墙配 置,硬件故障的排查及维修等。运营管理类u熟悉电子认证方面的法律、法规和 规章; u具有全面的计算机专业知识,以太 网络管理及系统管理经验; u熟悉各种操作系统、数据库; u熟悉各种网络安全政策。(四)关键岗位的职责及基本技能要求基本技能要求4、核心机房管理员主要职责:负责监控计算机中 心的操作系统、数据库、备份系 统的运行。运营管理类u熟悉电子认证方面的法律、法规和 规章; u具有全面的计算机专业知

14、识,以太 网络管理及系统管理经验; u熟悉各种操作系统、数据库; u熟悉各种网络安全政策; u具有2年及以上计算机相关工作经验 ;(四)关键岗位的职责及基本技能要求基本技能要求1、安全策略委员会主任主要职责:负责领导安全策略 委员会,制定本机构的电子认证 业务声明并监督执行,有效控制 本机构运营风险,保证电子认证 服务质量和业务的连续性。安全管理类u熟悉电子认证方面的法规、规章和 行业政策; u了解国家相关安全规范和标准; u熟悉本机构的电子认证业务规则; u熟悉电子认证事故应急救援与预案 程序; u对本机构电子认证运营工作有较全 面的认识; u无重大行政处罚和犯罪记录; u具有学士以上学位;

15、 u具有5年以上电子认证行业或相关行 业高级管理工作经验。(四)关键岗位的职责及基本技能要求基本技能要求2、安全经理主要职责:负责本机构场地安 全、日常安全管理、审计工作, 定期检查门禁系统运行状况,定 期对物理场地进行安全评估,并 对安全事件提出可行性解决方案 。安全管理类u熟悉电子认证方面的法规、规章和 行业政策; u了解国家相关安全规范和标准; u熟悉电子认证服务安全隐患排查与 事故防范措施; u熟悉电子认证事故应急救援与预案 程序; u熟悉电子认证事故统计、报告制度 ; u精通机房运营安全; u具有场地维护经验; u具有机房安全管理工作经验; u具有良好的关注细节能力、自控能 力,敬业

16、负责。(四)关键岗位的职责及基本技能要求基本技能要求3、密钥管理人员主要职责:负责为电子认证机 构及客户创建并维护电子认证密 钥对和证书,保存和维护所有密 钥相关物品和文档,贯彻电子认 证密钥对的物理和逻辑安全,确 保密钥生成规程的完整性和可审 计性等。 。安全管理类u熟悉电子认证方面的法律、法规和 规章; u掌握国家的各项安全技术规范和标 准; u掌握加密技术、PKI技术以及电子认 证服务流程; u熟悉本机构加密厂商的加密设备; u具有计算机相关专业知识; u具有良好的关注细节能力、分析判 断能力、信息收集能力和表达能力。(四)关键岗位的职责及基本技能要求基本技能要求4、物理环境安全管理人员主要职责:负责机电、门禁监 控设备、消防设备的管理及维护 ,各项应急预案编写及更新,工 程建设和改造维护等。 。安全管理类u熟悉电子认证方面的法律、法规和 规章; u掌握国家的各项安全技术规范和标 准; u具有机电专业知识,熟知机电管理 流程; u具有火灾、水灾防护等基本安全知 识; u具有5年以上机电、安全等工作经验 ; u具有良好的关注

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号