电子认证服务机构从业人员岗位技能规范.doc

资源描述

GB/T ××××—×××× 电子认证服务机构从业人员岗位技能规范（试行） 2010年10月 II 目录 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 数字证书 digital certificate 1 3.2 电子签名 electronic signature 1 3.3 电子认证服务 electronic certification service 1 3.4 电子认证服务机构electronic certification service authority 1 3.5 电子认证服务质量 electronic certification service quality 1 3.6 订户 subscriber 1 3.7 电子认证业务规则 Certification Practices Statement (CPS) 2 4 电子认证服务岗位总体说明 3 4.1 服务岗位划分 3 4.2 服务岗位重要性划分 3 4.3 从业人员 3 4.4 从业人员技能描述 3 4.5 岗位安全性要求 4 5 电子认证服务岗位设置与职能 4 5.1 安全管理类岗位 4 5.2 运行维护类岗位 8 5.3 客户服务类岗位 11 5.4 专业技术类岗位 13 6 电子认证服务从业人员技能要求 14 6.1 从业人员基本要求 14 6.2 安全管理类岗位从业人员基本要求 15 6.3 运行维护类岗位从业人员基本要求 16 6.4 客户服务类岗位从业人员基本要求 17 6.5 服务技术类岗位从业人员基本要求 18 7 岗位安全要求 18 7.1 岗位重要性 18 7.2 职责分割 18 7.3 多重控制 20 7.4 从业人员安全管理要求 20 I 电子认证服务机构从业人员岗位技能规范 1　范围本规范规定了电子认证服务机构的从业人员岗位技能要求，内容包括：电子认证服务机构岗位设置与职能描述、电子认证服务从业人员界定、从业人员技能基本要求、关键岗位技能要求、安全要求和监督管理措施等。本规范适用于所有提供电子认证服务的电子认证服务机构。 2　规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 2005年中华人民共和国电子签名法 2009年中华人民共和国工业和信息化部令第1号电子认证服务管理办法 2005年中华人民共和国工业和信息化部电子认证业务规则规范(试行) 2005年国家密码管理局公告第2号电子认证服务密码管理办法 3　术语和定义下列术语和定义适用于本规范。 3.1　数字证书 digital certificate 由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。 3.2　电子签名 electronic signature 数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。 3.3　电子认证服务 electronic certification service 电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。 3.4　电子认证服务机构electronic certification service authority 一个实体，或者是法人或自然人，颁发证书或提供与电子签名相关的其他服务。 3.5　电子认证服务质量 electronic certification service quality 是指电子认证服务过程和结果的可信性、可靠性满足明示的、通常隐含的或必须履行的要求与期望的程度。 3.6　订户 subscriber 从电子认证服务机构接收证书的实体。在电子签名应用中，订户即为电子签名人。 3.7　电子认证业务规则 Certification Practices Statement (CPS) 电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容 20 4　电子认证服务岗位总体说明 4.1　服务岗位划分电子认证服务岗位指依据《电子签名法》和《电子认证服务管理办法》要求，提供具有法律效力的可靠电子签名服务的相关岗位。电子认证服务岗位划分成四类：安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗位。 4.1.1　安全管理类岗位电子认证服务安全管理类岗位是指电子认证服务机构贯彻落实《电子签名法》，提供安全稳定高质量的电子认证服务而必须进行的运营管理、财务管理、可信人员管理、服务管理等相关管理岗位。 4.1.2　运行维护类岗位电子认证服务运行维护类岗位，是指对信息系统、网络系统、物理环境、密钥管理进行日常维护，保障电子认证服务业务连续性的岗位。 4.1.3　客户服务类岗位电子认证服务客户服务类岗位，是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发以及提供相关技术支持、售后服务的岗位。 4.1.4　专业技术类岗位电子认证服务专业技术类岗位，是指为保障订户电子认证服务不同层次需求的服务质量而设置的产品、系统等技术研发、项目实施岗位。 4.2　服务岗位重要性划分依据《电子签名法》和《电子认证服务管理办法》对电子认证服务的法律要求，本规范对不同的服务岗位进行了重要性的划分，区分为关键岗位、重要岗位和补充岗位三类。关键岗位是指法律法规、标准规范明确规定的提供电子认证服务必须的岗位，是必须设置的。重要岗位是指对电子认证服务水平有重大影响的岗位，该岗位在工信部对机构的监管中有重要参考意义，是必须设置的，不要求备案。补充岗位是指在电子认证服务实践中经验表明提供电子认证服务常常需要设置或人员配备的相关岗位，电子认证服务机构可以根据实际需要设置。 4.3　从业人员电子认证服务机构从业人员是指电子认证服务机构中安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗位的具有劳资关系的相关工作人员。 4.4　从业人员技能描述电子认证服务从业人员技能包括基本技能和专业技能。基本技能是指从事电子认证服务的任何相关人员必须具备的基本常识、保密意识、安全意识、服务纪律等基本要求。专业技能是指从事电子认证服务的安全管理类、运行维护类岗位、客户服务类岗位、专业技术类岗位相关从业人员的专业要求，包括从业资质、专业知识掌握程度、专业工具熟悉水平、相关从业经历要求等。 4.5　岗位安全性要求电子认证服务机构从业人员岗位安全性包括设置岗位安全性要求和从业人员安全性要求。岗位安全性要求包括职责分割要求等。从业人员安全性要求包括入职背景调查、安全培训、安全管理、异动管理、离职管理等。 5　电子认证服务岗位设置与职能 5.1　安全管理类岗位电子认证服务机构须设置安全策略委员会。安全策略委员会通过电子认证机构跨部门的执行层、业务管理层和行政管理层等不同部门管理人员协同完成认证机构整体的运营管理、风险控制和发展战略。主要职责有： 1）负责制定、发布、废止、批准、实施CA机构总体信息安全策略、安全管理制度，并监督、检查安全运营和生产活动； 2）监督管理财务运营状况，进行风险评估，并按照工业和信息化部主管部门要求上报财务数据信息； 3）制定可信雇员管理策略并监督执行，并按照工业和信息化部主管部门要求上报可信雇员数据信息； 4）组织进行安全运营审计，发布审计报告； 5.1.1　安全策略委员会主任岗位 1）岗位定义协调CA机构内部的运营管理人员、客户服务人员、服务管理人员，组建安全策略委员会，并进行CPS管理、监督执行，评估机构运营风险，应对突发情况等领导工作岗位。 2）设置目的依法对CPS-电子认证业务规则进行管理和监督执行，该岗位是关键岗位； 3）岗位职责安全策略委员会主任主要岗位职责有下面三个方面： —— 根据国家《中华人民共和国电子签名法》和《电子认证服务管理办法》相关法规和电子认证服务机构章程，组建公司安全策略委员会，并领导该委员会工作； —— 负责定期组织制定公司CPS（电子认证业务规则），并监督严格执行； —— 有效控制公司运营风险，保证电子认证服务质量和业务连续性； —— 根据主管部门监管要求，报送CA机构运营相关数据信息：数字证书颁发统计、风险管理预案等CA机构管理相关信息。 5.1.2　财务管理岗位 1）岗位定义财务管理岗位是指对机构的财务进行综合管理和风险评估的管理岗位。 2）设置目的依法对CA机构的财务进行管理和风险评估，降低财务风险和机构运营风险，该岗位是关键岗位。 3）岗位职责财务管理员主要职责有： —— 财务制度建立、更新和监督执行； —— 按照工业和信息化部主管部门管理要求，如实提供但不限于下列情况： 1）注册资金情况（如有变化）； 2）股东情况（如有变化）； 3）现金余额（当前情况）； 4）资产负债情况。 —— 组织编制机构年度综合财务预算和控制标准，编制财务报告，对机构的财务保障能力进行正确评估。 5.1.3　可信人员管理岗位 1）岗位定义可信人员管理岗位是指对机构各关键岗位、重要岗位、补充岗位可信人员进行管理的岗位，包括背景调查、入职、培训、上岗、转岗、离职等管理，包括可信人员管理制度建立、流程、规范。 2）设置目的可信人员管理岗位设置目的是依据《电子认证服务管理办法》和《电子认证服务机构年检指引》加强对可信人员管理。本岗位属于关键岗位。 3）岗位职责(保留执行部分) —— 建立可信人员策略，包括岗位可信人员要求、背景调查内容和程序； —— 在正式聘任员工授权接触公司重要资料前，证明其可信性，并签署员工保密协议； —— 建立每个工作岗位的工作范围及其责任，并确定关键岗位、重要岗位、补充岗位等不同职位的可信要求； —— 建立可信人员培训制度及培训档案管理； —— 建立可信人员异动管理制度、可信人员离职后应立即删除其接触公司资料的权限； —— 建立可信雇员清单及所有职员清单；根据主管部门监管要求，如实上报关键岗位可信人员信息、变更信息、数量信息等。 5.1.4　安全管理岗位 1) 岗位定义安全管理岗位是指对本机构运营场地安全、人员安全、信息系统安全、通信系统安全、及重要IT资产安全进行日常监控和审计。 2) 设置目的监督生产系统、密钥管理、物理场地、设备、电力和网络基础设施的安全运作，对员工可信的控制等，规避主要风险。本岗位属于关键岗位。 3) 岗位职责 —— 制定运营场地安全策略，包括物理访问控制、电脑终端的安全接触、电力空调等设备的安全使用等； —— 制定人员安全策略，包括定义接触电子认证系统的各类安全角色和岗位、职责分割原则、和权限控制机制；定期检查物理访问权限和逻辑访问权限的设置情况，并对物理访问记录、和系统操作日志进行审计； —— 对信息系统各类安全事件进行分级，建立各类安全事件报告、跟进策略及处理机制的应急响应计划，并定期测试及评估和更新此计划的内容； —— 制定通信安全管理策略、变更申请和批准流程，保证通信系统的可靠性，预防通信系统泄露信息，防止非授权使用通信系统； —— 监控各类介质包括光盘、硬盘、软盘、移动存储介质以及磁带等，防止被盗、毁坏、被修改、信息泄露未授权访问等情况发生； —— 制定风险管理策略，对涉及运营的各类风险进行分析、评估、和分级，并提供解决方法； —— 对记录认证机构涉及运营条件和环境、密钥和证书生命周期管理的日志和事件进行监控和审计； —— 定期对相关人员开展安全培训； —— 对当前的安全策略和管理程序进行风险评估，并上报安全策略委员会。 5.1.5　运营审计岗位 1) 岗位定义定期对运营系统进行安全审计，包括：人员审计，物理安全审计，通信安全审计，操作安全审计，和系统安全审计。 2) 设置目的负责对涉及系统安全的事件、各类管理和操作人员的行为进行审计和监督，确保遵从法律和法规，降低运营风险，提供服务质量，保证经营的可持续性。本岗位属于重要岗位。 3) 岗位职责依据包括CA机构发布和制定的所有与运营相关的安全策略、证书策略、电子认证业务规则等，以及国家法律法规和行业相关标准，对以下内容进行审计，并根据审计结果撰写审计报告和改进意见： —— 检查法律和法规方面的符合性，运营是否符合安全策略、证书策略、认证业务规则等； —— 评估服务能力和运营安全性，是否在人力资源、运营管理、技术、安全管理、财务等方面存在风险； —— 向安全策略委员会提交审计报告。 5.1.6　密钥管理岗位 1) 岗位定义负责对电子认证密钥对和证书的生命周期进行维护，及相关密码设备进行管理和操作。 2) 设置目的维护电子认证密钥对的物理和逻辑安全，确保所创建密钥对和证书的完整性和可审计性等。本岗位属于关键岗位。 3) 岗位职责 —— 为电子认证机构及客户创建并维护电子认证密钥对和证书； —— 建立密码硬件设备的采购、使用、测试、维修、保管、报废等管理制度，维护所有密钥相关设备的安全可靠； —— 协助电子认证密钥对的恢复工作； —— 建立当电子认证密钥对可信性受威胁时的应变计划。 —— 制定用户加密密钥查询和恢复管理策略和流程，配合获得授权的国家机构以规定的方式进行密钥查询和恢复。 5.1.7　服务质量管理岗位 1）岗位定义电子认证服务质量管理岗位是指监督提供电子认证服务的各岗位职责和作业规范的执行，并进行客户满意度调查的岗位。 2）设置目的电子认证服务质量管理岗位设置目的是提高电子认证服务质量。本岗位属于重要岗位。 3）岗位职责 —— 应根据业务咨询服务岗位的职责规范进行质量跟踪和管理； —— 应根据业务办理服务岗位的职责规范进行质量跟踪和管理； —— 应根据鉴别验证服务岗位的职责规范进行质量跟踪和管理； —— 应根据技术支持服务岗位的职责规范进行质量跟踪和管理； —— 应进行定期或不定期进行用户满意度调查； —— 处理客户投诉。 5.2　运行维护类岗位电子认证运行维护类岗位是指负责电子认证服务机构信息系统、网络系统、物理环境、密钥管理的日常维护，保证电子认证服务可靠性和业务连续性的服务岗位。电子认证运行维护类岗位包括有安全管理岗位、运维管理岗位、密钥管理岗位、物理环境安全管理岗位、网络安全管理岗位、系统维护管理岗位、数据库管理岗位和运营审计岗位。 5.2.1　运维管理岗位 1) 岗位定义负责对生产系统进行维护，协调和监督生产系统、密钥管理、和运营物理环境等基础设施正常运行。 2) 设置目的维护运营系统的完整性。本岗位属于重要岗位。 3) 岗位职责 —— 制定运维策略和流程，负责生产系统初始化和维护，以及安全设备、网络设备的正确配置； —— 定义系统逻辑访问控制的角色和相应的权限； —— 分析入侵检测系统的日志和问题，及时响应安全事件、调整安全策略； —— 建立并维护生产系统功能相一致的测试系统； —— 建立系统升级、变更的审批策略和控制流程，制定新信息系统升级和新的版本验收标准，在投入生产系统正式使用前应作兼容性测试、功能性测试、安全性测试； —— 维护生产系统日志的完整性； —— 编制和维护运营场地资产清单，对重要IT资产的保管、使用、维护、报废、销毁进行监控； 5.2.2　物理环境安全管理岗位 1) 岗位定义对本机构运营场地的门禁监控、照明、电力、空调、消防、综合布线、静电防护、防雷、防灾等各项基础设施进行日常监控与维护。 2) 设置目的保障运营场地、机电基础设施正常工作。本岗位属于重要岗位。 3) 岗位职责 —— 负责机电、门禁监控设备、消防设备的管理及维护； —— 根据访问控制策略，制定访问控制管理制度，管理本机构人员的物理访问权限，以及外来人员的访问控制； —— 编写和更新各项应急预案； —— 场地工程建设和改造维护。 5.2.3　网络安全管理岗位 1) 岗位定义对本机构内外网络进行维护管理。 2) 设置目的制定网络安全策略，保障本机构网络的正常服务和IT设备的正常工作。本岗位属于重要岗位。 3) 岗位职责 —— 负责因特网的正常使用，网站发布； —— 正确配置防火墙，测试防火墙策略的有效性，保护CA内部网络域，防止未授权的访问； —— 正确配置生产系统和办公系统； —— 对必须提供的服务（如HTTP、FTP等）进行正确配置，停止不需要提供的服务进程，关闭不需要使用的端口；使用路由控制和安全通道保护外部远程电脑访问； —— 建立检测和防护控制来防止病毒和恶意软件，并能提供适当的报警信息； 5.2.4　系统维护管理岗位 1) 岗位定义对本机构办公系统、生产系统进行维护的人员。 2) 设置目的保障本机构办公系统、生产系统的正常运作。本岗位属于重要岗位。 3) 岗位职责 —— 硬件故障的排查及维修等； —— 定期检查系统及网络的稳定性、安全性及容量是否符合服务水平； —— 建立监控流程，确保记录并报告发现的或怀疑的、对系统或服务有威胁的安全缺陷； —— 建立并执行系统故障报告、处理流程。 5.2.5　数据库管理岗位 1) 岗位定义维护本机构数据库系统。 2) 设置目的保障本机构数据库系统的正常运作。本岗位属于重要岗位。 3) 岗位职责 —— 对数据库的运行状态，日志文件，备份情况，数据库的空间使用情况，系统资源的使用情况进行检查，发现并解决问题； —— 对数据库对象的空间扩展情况，数据的增长情况进行监控，对数据库做健康检查，对数据库对象的状态做检查； —— 对表和索引等进行分析，检查表空间碎片，进行数据库性能调整； 5.2.6　 CA系统管理岗位 1) 岗位定义对本机构电子认证服务系统进行管理。 2) 设置目的保障电子认证服务系统的正常运转。本岗位属于关键岗位。 3) 岗位职责 —— 负责监控电子认证服务系统的操作系统、备份系统的软硬件的正常运行，即时发现并排查故障； —— 加载系统根密钥、CA证书、CRL，更新CRL，配置系统，分配权限等； —— 评估并上报对系统的安全性有影响的改动； 5.3　客户服务类岗位客户服务人员为客户提供全面、及时、有效的服务，保证客户使用电子认证服务过程中出现的任何问题都能及时得到响应和解决。 5.3.1　业务咨询服务岗位 1) 岗位定义指向用户提供电子认证服务业务介绍、业务办理流程、证书应用和电子认证服务相关法律法规的解读。 2) 设置目的针对服务订户在业务办理前、业务办理中的各种需求，以及证书应用过程中的各种使用需求提供咨询服务。该岗位属于重要岗位。 3) 岗位职责 —— 对证书业务的咨询应告知用户相应服务流程； —— 对证书应用业务的咨询应提供相应的宣传手册； —— 对电子签名法相关法律条文的咨询应能明确解答； —— 应明确告知明确申请者和电子认证服务提供者的责任与义务。 5.3.2　业务办理服务岗位 1) 岗位定义指针对证书订户提供包括证书申请、证书更新、密钥更新、证书变更、证书吊销和挂起、证书状态查询、密钥生成、备份和恢复等在内的各种服务。 2) 设置目的为订户提供证书申请、证书更新、密钥更新、证书吊销和证书挂起在内的电子认证服务相关的业务办理服务。该岗位属于重要岗位。 3) 岗位职责业务办理服务应包括七个环节：证书申请、证书更新、证书密钥更新、证书变更、正式吊销和挂起、证书状态查询、密钥的生成、备份和恢复，具体内容参见《电子认证服务机构服务质量规范》。 5.3.3　鉴别验证服务岗位 1) 岗位定义在电子认证服务机构在业务办理过程中，对证书订户的身份真实性、过程真实性进行鉴别和验证，以及对证书订户资料进行规范管理的服务。 2) 设置目的确认客户身份的真实性；确认客户证书服务请求的真实性；确保证书签发给正确的实体。该岗位属于关键岗位。 3) 岗位职责鉴别验证服务包括证书鉴别服务、验证服务和资料归档，即： —— 对证书申请者的身份和其他属性进行鉴别；通过对用户提交的资质文件进行认证，以确认企业的真实身份，同时对客户提交的申请信息进行确认； —— 对申请办理证书业务的人员进行身份关联验证和行为验证； —— 对鉴别验证资料进行收集、备案、归档和查询； 5.3.4　技术支持服务岗位 1) 岗位定义指电子认证服务机构在提供电子认证服务是提供相关的技术支持，包括有数字证书管理、数字证书使用、证书存储介质硬件设备使用、电子认证软件系统使用、电子认证服务支撑平台使用以及各类数字证书应用（如，证书登录、证书加密、数字签名和安全邮件等）等。 2) 设置目的为解决订户在证书使用过程中的各种技术问题和电子认证系统故障提供的技术支持服务。该岗位属于重要岗位。 3) 岗位职责主要解决证书使用问题和认证服务系统故障两大方面问题；明确对一般事件、严重事件、重大事件的处理流程和响应时间，以最大程度不影响客户使用为准则；形式上采用电话支持、远程协助支持、现场支持等。 5.3.5　客户档案管理岗位 1) 岗位定义保管本机构客户的提交资料、证书使用情况等相关文件的人员。 2) 设置目的对客户资料进行妥善保管。本岗位属于重要岗位。 3) 岗位职责负责建立和维护客户档案资料，管理客户档案借阅工作等。 5.3.6　客户培训岗位 1）岗位定义客户培训岗位是指为了客户更好的理解电子签名和相关法律法规环境，向其提供PKI技术、法律以及相关电子认证服务培训的岗位。 2）设置目的客户培训岗位设置目的主要是通过提供相关培训，提高电子签名人的应用水平。本岗位属于补充岗位。 3）岗位职责 —— 提供PKI/ CA相关技术培训； —— 提供《电子签名法》等法律法规培训； —— 提供与客户相关的电子认证服务培训。 5.3.7　法律事务岗位 1）岗位定义法律事务岗位是指CA机构中提供法律相关解读、咨询的岗位。 2）设置目的法律事务岗位设置目的是贯彻《电子签名法》，依法提供电子认证服务。本岗位属于补充岗位。 3）岗位职责 —— 提供电子认证服务法律合规性保障； —— 向客户讲解分析《电子签名法》等法律法规； —— 向客户提供法律咨询和司法援助； 5.4　专业技术类岗位 5.4.1　产品研发岗位 1）岗位定义产品研发岗位是指根据市场需要研究开发电子认证服务相关软硬件产品的岗位； 2）设置目的产品研发岗位设置目的是顺应客户需要，完善电子认证服务的产品线，提高电子认证服务的层次和水平。本岗位属于补充岗位。 3）岗位职责 —— 电子认证服务产品、系统的研发； —— 电子认证服务产品、系统维护和升级； —— 支撑项目实施岗位人员完成实施任务。 5.4.2　项目实施岗位 1）岗位定义项目实施岗位是指为完成客户电子认证项目，提供客户现场系统安装、部署、调试、测试以及上线运行的岗位。 2）设置目的项目实施岗位设置目的是降低电子签名技术难点，为电子签名人提供完整的技术支持和服务，也将会提供客户满意度。本岗位属于重要岗位； 3）岗位职责 —— 调配机构资源，完成客户项目实施； —— 现场进行系统安装、部署和测试； —— 根据客户个性需要，进行现场系统配置和修改； —— 解决项目实施中的突发问题； —— 提供相关的系统培训。 6　电子认证服务从业人员技能要求 6.1　从业人员基本要求电子认证服务从业人员基本要求如下： —— 具有较强的法律意识，熟悉《电子签名法》、《电子认证服务管理办法》等法律法规； —— 具有较强的保密意识，掌握接触的资料、档案、文件等的制度、流程； —— 具有较强的安全意识，掌握密钥、网络、服务等的管理制度和流程。； —— 具有良好的个人信用记录； 6.2　安全管理类岗位从业人员基本要求 6.2.1　安全策略委员会负责人员 —— 五年以上相同和相关行业高级管理岗位工作经验； —— 熟悉《中华人民共和国电子签名法》和《电子认证服务管理办法》相关法律法规； —— 对电子认证运营工作有较全面的认识； —— 精通信息安全管理体系，并有丰富的管理实践经验； 6.2.2　财务管理岗位从业人员 —— 会计、财务相关专业 —— 三年以上财务相关实务工作经验 —— 熟悉国家财务会计法规条例 —— 能够独立进行全盘帐务处理，合并报表和集团公司账务经验，熟悉税务流程 6.2.3　可信人员管理岗位从业人员 —— 人力资源、劳动经济等相关管理类专业 —— 熟悉国家有关劳动、社保、人事的政策法规 —— 熟悉《电子签名法》等法律法规基本要求 —— 较强沟通能力、分析判断能力和员工关系管理能力 6.2.4　安全管理岗位从业人员 —— 精通计算机相关专业知识、PKI/CA安全专业知识； —— 具有信息安全相关认证资质； —— 熟悉电子认证服务安全隐患排查与事故防范措施； —— 熟悉电子认证事故应急救援与预案程序； —— 熟悉电子认证事故统计、报告制度； —— 精通机房运营安全； —— 具有场地维护经验； —— 具有机房安全管理工作经验； —— 具有良好的质量导向能力，信息收集能力，计划执行能力，组织协调能力，决策能力。 6.2.5　运营审计岗位从业人员 —— 熟悉公司质量体系规范； —— 熟悉各种网络安全政策； —— 具有两年以上运营审计相关工作经验。 6.2.6　密钥管理岗位从业人员 —— 掌握国家的各项安全技术规范和标准； —— 掌握加密技术、PKI技术以及电子认证服务流程； —— 熟悉本机构加密厂商的加密设备； —— 具有计算机相关专业知识； —— 具有良好的关注细节能力、分析判断能力、信息收集能力和表达能力。 6.2.7　服务质量管理岗位从业人员 —— 具有基本的PKI/CA知识及数字证书应用基本知识，精通计算机网络基本知识； —— 熟悉机构质量体系规范并能够贯彻执行； —— 具备良好的书面表达能力和口头表达能力； —— 良好的人际交往能力、团队合作能力、成本意识、解决问题能力和结果导向意识和成本意识。 6.3　运行维护类岗位从业人员基本要求 6.3.1　运维管理岗位从业人员 —— 具有网络信息或系统安全的相关知识； —— 具有三年以上运营维护和管理的工作经验； —— 具有良好的风险管理能力，对于安全体系有着较深刻的认识，容易从评估风险的角度发现潜在的隐患或漏洞，并能提供有效的办法来规避风险； —— 具有良好的质量导向能力，信息收集能力，计划执行能力，组织协调能力，决策能力。 6.3.2　物理环境安全管理岗位从业人员 —— 掌握国家的各项安全技术规范和标准； —— 具有机电专业知识，熟知机电管理流程； —— 具有火灾、水灾防护等基本安全知识； —— 具有5年以上机电、安全等工作经验； —— 具有良好的关注细节能力、分析判断能力、信息收集能力和表达能力。 6.3.3　网络安全管理岗位从业人员 —— 熟悉计算机相关专业知识、PKI/CA安全专业知识； —— 具有全面的计算机专业知识，以太网络管理及系统管理经验； —— 熟悉各种操作系统、数据库； —— 熟悉各种网络安全策略； —— 具有信息安全相应认证资质； —— 具有两年以上计算机网络安全管理经验。 6.3.4　系统维护管理岗位从业人员 —— 具有全面的计算机专业知识，以太网络管理及系统管理经验； —— 熟悉各种网络安全政策。 6.3.5　数据库管理岗位从业人员 —— 熟悉各种操作系统和数据库管理工具； —— 具有信息安全相应认证资质； —— 具有两年以上大型数据库管理经验。 6.3.6　 CA系统管理岗位从业人员 —— 精通计算机相关专业知识、PKI/CA安全专业知识； —— 具有信息安全相应认证资质； —— 熟悉各种操作系统、数据库； —— 熟悉各种网络安全策略； —— 熟练使用CA系统相关软件和进行配置管理； —— 具有两年以上计算机相关工作经验。 6.4　客户服务类岗位从业人员基本要求电子认证客户服务类岗位包括有业务咨询岗位、业务办理岗位、鉴别验证岗位、技术支持岗位、售后服务岗位和法律顾问，相关的从业人员基本要求如下： —— 熟悉PKI/CA专业技术知识； —— 熟悉《电子签名法》、《电子认证服务管理办法》等法律法规； —— 熟悉电子认证相关产品、系统的原理、操作使用、基本问题解答； —— 良好的语言表达能力、信息收集、客户导向、人际交往能力和学习能力； 6.4.1　法律事务岗位从业人员 —— 法律专业本科以上学历，具有专业律师资格证书； —— 熟悉《电子签名法》等法律法规； —— 能独立起草、修改合同及法律文书； —— 较强的文字写作能力。 6.4.2　客户培训岗位从业人员 —— 具有基本的PKI/CA知识及数字证书应用基本知识，精通计算机网络基本知识； —— 具备丰富的培训经验； —— 具备客户服务工作经验。 6.5　服务技术类岗位从业人员基本要求电子认证服务技术类岗位包括技术研发岗位和项目实施岗位，其基本要求一致，具体如下： —— 精通计算机相关专业知识、PKI/CA安全专业知识； —— 精通计算机相关语言和开发工具； —— 具备良好的书面表达能力和口头表达能力； —— 有良好的英文文档阅读能力； —— 良好的人际交往能力、团队合作能力、成本意识、解决问题能力和结果导向意识和成本意识。 7　岗位安全要求电子认证服务机构从业人员岗位的安全要求包括职责分割、双重控制、具备可信背景、接受安全培训、妥善岗位调动等内容。 7.1　岗位重要性电子认证服务岗位按照不同的安全要求、管理要求、服务要求划分成关键岗位、重要岗位、补充岗位三个层次，其中关键岗位8个，重要岗位11个，补充岗位3个，不同层次的岗位有不同的重要性要求。关键岗位重要岗位补充岗位安全管理类岗位安全策略委员会主任岗位财务管理岗位可信人员管理岗位安全经理岗位密钥管理岗位运营审计岗位电子认证服务质量管理岗位 N/A 运行维护类岗位 CA系统管理岗位运维管理岗位物理环境安全管理岗位网络安全管理岗位系统维护管理岗位数据库管理岗位 N/A 客户服务类岗位鉴别验证服务岗位客户档案管理岗位业务咨询服务岗位业务办理服务岗位技术支持服务岗位客户培训岗位法律事务岗位专业技术类岗位 N/A 项目实施岗位产品研发岗位 7.2　职责分割职责分割指根据知识分割、双重控制、最小权限的原则，限制某些岗位之间由同一组人员兼任的安全要求。涉及职责分割的岗位主要包括系统维护、技术研发、密钥管理、证书管理、安全管理、运营审计几大类： —— 系统维护类：负责生产系统的管理和维护，包括 l 运维管理岗位； l 网络安全管理岗位； l 系统维护管理岗位； l 数据库管理岗位； l CA系统管理岗位； —— 技术研发类：负责系统开发和实施，包括 l 产品研发岗位； l 项目实施岗位； —— 密钥管理类：负责密钥管理系统的操作，包括 l 密钥管理岗位； —— 证书管理类：负责证书批准、吊销等操作，包括 l 鉴别验证服务岗位； —— 安全管理类：负责运营安全管理，包括 l 安全管理岗位； l 物理环境安全管理岗位； —— 运营审计类：负责运营审计，包括 l 运营审计岗位；各类岗位具体职责分割要求见下表：（NO代表不可兼任，YES代表可以兼任）系统维护类技术研发类密钥管理类证书管理类安全管理类运营审计类系统维护类 NO NO NO NO NO 技术研发类 NO NO NO NO YES 密钥管理类 NO NO NO NO NO 证书管理类 NO NO NO NO NO 安全管理类 NO NO NO NO NO 运营审计类 NO YES NO NO NO 7.3　多重控制为了避免个人误操作、恶意操作等行为对认证系统的安全威胁，加强对系统关键操作的安全控制，以下岗位职能实行双重控制。 7.3.1　密钥管理岗位密钥管理人员包含密钥管理员和分管者两种。密钥管理员具有电子认证密钥对的操作权限，而分管者持有电子认证密钥对的密钥分割或秘密共享，这两类人员对电子认证密钥对的激活、恢复实现了双重控制。 7.3.2　鉴别验证服务岗位鉴别验证服务人员对证书申请的审核批准工作由不同人员完成，实现了对证书签发的双重控制。 7.4　从业人员安全管理要求 7.4.1　入职调查对新进员工进行背景调查。背景调查可分为基本调查和高级调查。普通雇员执行基本调查，可信人员执行高级背景调查。人力资源部门应根据背景调查的结果出具调查分析评估报告，并应对调查报告保密。背景调查应为周期性调查，宜以每3年为周期对全体员工进行背景调查。通过调查的员工入职时除了签署劳动合同，还应签署保密协议以及其它相关协议。 7.4.2　安全培训确定每个关键岗位、重要岗位和补充岗位的培训要求和流程、再培训的周期和流程。 7.4.3　人员离职和转岗当发生人员离职或岗位调整时，应进行妥善的业务交接和各种权限的调整，保证企业运营安全和资产不受影响。 7.4.4　人员异动为关键岗位设置备份人员，避免人员异动发生影响运营。

展开阅读全文