电子认证服务机构从业人员岗位技能规范.doc
《电子认证服务机构从业人员岗位技能规范.doc》由会员分享,可在线阅读,更多相关《电子认证服务机构从业人员岗位技能规范.doc(22页珍藏版)》请在咨信网上搜索。
1、GB/T 电子认证服务机构从业人员岗位技能规范(试行)2010年10月II目 录1 范围12 规范性引用文件13 术语和定义13.1 数字证书 digital certificate13.2 电子签名 electronic signature13.3 电子认证服务 electronic certification service13.4 电子认证服务机构electronic certification service authority13.5 电子认证服务质量 electronic certification service quality13.6 订户 subscriber13.7 电子认
2、证业务规则 Certification Practices Statement (CPS)24 电子认证服务岗位总体说明34.1 服务岗位划分34.2 服务岗位重要性划分34.3 从业人员34.4 从业人员技能描述34.5 岗位安全性要求45 电子认证服务岗位设置与职能45.1 安全管理类岗位45.2 运行维护类岗位85.3 客户服务类岗位115.4 专业技术类岗位136 电子认证服务从业人员技能要求146.1 从业人员基本要求146.2 安全管理类岗位从业人员基本要求156.3 运行维护类岗位从业人员基本要求166.4 客户服务类岗位从业人员基本要求176.5 服务技术类岗位从业人员基本要求
3、187 岗位安全要求187.1 岗位重要性187.2 职责分割187.3 多重控制207.4 从业人员安全管理要求20I电子认证服务机构从业人员岗位技能规范1 范围本规范规定了电子认证服务机构的从业人员岗位技能要求,内容包括:电子认证服务机构岗位设置与职能描述、电子认证服务从业人员界定、从业人员技能基本要求、关键岗位技能要求、安全要求和监督管理措施等。本规范适用于所有提供电子认证服务的电子认证服务机构。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡
4、是不注日期的引用文件,其最新版本适用于本规范。2005年 中华人民共和国电子签名法2009年 中华人民共和国工业和信息化部令 第1号 电子认证服务管理办法2005年 中华人民共和国工业和信息化部 电子认证业务规则规范(试行)2005年 国家密码管理局公告 第2号 电子认证服务密码管理办法3 术语和定义下列术语和定义适用于本规范。3.1 数字证书 digital certificate由国家认可的,具有权威性、可信性和公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。3.2 电子签名 electronic signature数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人
5、认可其中内容的数据。3.3 电子认证服务 electronic certification service电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。3.4 电子认证服务机构electronic certification service authority一个实体,或者是法人或自然人,颁发证书或提供与电子签名相关的其他服务。3.5 电子认证服务质量 electronic certification service quality是指电子认证服务过程和结果的可信性、可靠性满足明示的、通常隐含的或必须履行的要求与期望的程度。3.6 订户 subscriber从电子认证服务机构
6、接收证书的实体。在电子签名应用中,订户即为电子签名人。3.7 电子认证业务规则 Certification Practices Statement (CPS)电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容204 电子认证服务岗位总体说明4.1 服务岗位划分电子认证服务岗位指依据电子签名法和电子认证服务管理办法要求,提供具有法律效力的可靠电子签名服务的相关岗位。电子认证服务岗位划分成四类:安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗位。4.1.1 安全管理类岗位电子认证服务安全管理类岗位是指
7、电子认证服务机构贯彻落实电子签名法,提供安全稳定高质量的电子认证服务而必须进行的运营管理、财务管理、可信人员管理、服务管理等相关管理岗位。4.1.2 运行维护类岗位电子认证服务运行维护类岗位,是指对信息系统、网络系统、物理环境、密钥管理进行日常维护,保障电子认证服务业务连续性的岗位。4.1.3 客户服务类岗位电子认证服务客户服务类岗位,是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发以及提供相关技术支持、售后服务的岗位。4.1.4 专业技术类岗位电子认证服务专业技术类岗位,是指为保障订户电子认证服务不同层次需求的服务质量而设置的产品、系统等技术研发、项目实施岗位。4.2 服务岗位重要
8、性划分依据电子签名法和电子认证服务管理办法对电子认证服务的法律要求,本规范对不同的服务岗位进行了重要性的划分,区分为关键岗位、重要岗位和补充岗位三类。关键岗位是指法律法规、标准规范明确规定的提供电子认证服务必须的岗位,是必须设置的。重要岗位是指对电子认证服务水平有重大影响的岗位,该岗位在工信部对机构的监管中有重要参考意义,是必须设置的,不要求备案。补充岗位是指在电子认证服务实践中经验表明提供电子认证服务常常需要设置或人员配备的相关岗位,电子认证服务机构可以根据实际需要设置。4.3 从业人员电子认证服务机构从业人员是指电子认证服务机构中安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗
9、位的具有劳资关系的相关工作人员。4.4 从业人员技能描述电子认证服务从业人员技能包括基本技能和专业技能。基本技能是指从事电子认证服务的任何相关人员必须具备的基本常识、保密意识、安全意识、服务纪律等基本要求。专业技能是指从事电子认证服务的安全管理类、运行维护类岗位、客户服务类岗位、专业技术类岗位相关从业人员的专业要求,包括从业资质、专业知识掌握程度、专业工具熟悉水平、相关从业经历要求等。4.5 岗位安全性要求电子认证服务机构从业人员岗位安全性包括设置岗位安全性要求和从业人员安全性要求。岗位安全性要求包括职责分割要求等。从业人员安全性要求包括入职背景调查、安全培训、安全管理、异动管理、离职管理等。
10、5 电子认证服务岗位设置与职能5.1 安全管理类岗位电子认证服务机构须设置安全策略委员会。安全策略委员会通过电子认证机构跨部门的执行层、业务管理层和行政管理层等不同部门管理人员协同完成认证机构整体的运营管理、风险控制和发展战略。主要职责有:1)负责制定、发布、废止、批准、实施CA机构总体信息安全策略、安全管理制度,并监督、检查安全运营和生产活动;2)监督管理财务运营状况,进行风险评估,并按照工业和信息化部主管部门要求上报财务数据信息;3)制定可信雇员管理策略并监督执行,并按照工业和信息化部主管部门要求上报可信雇员数据信息;4)组织进行安全运营审计,发布审计报告;5.1.1 安全策略委员会主任岗
11、位1)岗位定义协调CA机构内部的运营管理人员、客户服务人员、服务管理人员,组建安全策略委员会,并进行CPS管理、监督执行,评估机构运营风险,应对突发情况等领导工作岗位。2)设置目的依法对CPS-电子认证业务规则进行管理和监督执行,该岗位是关键岗位;3)岗位职责安全策略委员会主任主要岗位职责有下面三个方面: 根据国家中华人民共和国电子签名法和电子认证服务管理办法相关法规和电子认证服务机构章程,组建公司安全策略委员会,并领导该委员会工作; 负责定期组织制定公司CPS(电子认证业务规则),并监督严格执行; 有效控制公司运营风险,保证电子认证服务质量和业务连续性; 根据主管部门监管要求,报送CA机构运
12、营相关数据信息:数字证书颁发统计、风险管理预案等CA机构管理相关信息。5.1.2 财务管理岗位1)岗位定义财务管理岗位是指对机构的财务进行综合管理和风险评估的管理岗位。2)设置目的依法对CA机构的财务进行管理和风险评估,降低财务风险和机构运营风险,该岗位是关键岗位。3)岗位职责财务管理员主要职责有: 财务制度建立、更新和监督执行; 按照工业和信息化部主管部门管理要求,如实提供但不限于下列情况:1) 注册资金情况(如有变化);2) 股东情况(如有变化);3) 现金余额(当前情况);4) 资产负债情况。 组织编制机构年度综合财务预算和控制标准,编制财务报告,对机构的财务保障能力进行正确评估。5.1
13、.3 可信人员管理岗位1)岗位定义可信人员管理岗位是指对机构各关键岗位、重要岗位、补充岗位可信人员进行管理的岗位,包括背景调查、入职、培训、上岗、转岗、离职等管理,包括可信人员管理制度建立、流程、规范。2)设置目的可信人员管理岗位设置目的是依据电子认证服务管理办法和电子认证服务机构年检指引加强对可信人员管理。本岗位属于关键岗位。3)岗位职责(保留执行部分) 建立可信人员策略,包括岗位可信人员要求、背景调查内容和程序; 在正式聘任员工授权接触公司重要资料前,证明其可信性,并签署员工保密协议; 建立每个工作岗位的工作范围及其责任,并确定关键岗位、重要岗位、补充岗位等不同职位的可信要求; 建立可信人
14、员培训制度及培训档案管理; 建立可信人员异动管理制度、可信人员离职后应立即删除其接触公司资料的权限; 建立可信雇员清单及所有职员清单;根据主管部门监管要求,如实上报关键岗位可信人员信息、变更信息、数量信息等。5.1.4 安全管理岗位1) 岗位定义安全管理岗位是指对本机构运营场地安全、人员安全、信息系统安全、通信系统安全、及重要IT资产安全进行日常监控和审计。2) 设置目的监督生产系统、密钥管理、物理场地、设备、电力和网络基础设施的安全运作,对员工可信的控制等,规避主要风险。本岗位属于关键岗位。3) 岗位职责 制定运营场地安全策略,包括物理访问控制、电脑终端的安全接触、电力空调等设备的安全使用等
15、; 制定人员安全策略,包括定义接触电子认证系统的各类安全角色和岗位、职责分割原则、和权限控制机制;定期检查物理访问权限和逻辑访问权限的设置情况,并对物理访问记录、和系统操作日志进行审计; 对信息系统各类安全事件进行分级,建立各类安全事件报告、跟进策略及处理机制的应急响应计划,并定期测试及评估和更新此计划的内容; 制定通信安全管理策略、变更申请和批准流程,保证通信系统的可靠性,预防通信系统泄露信息,防止非授权使用通信系统; 监控各类介质包括光盘、硬盘、软盘、移动存储介质以及磁带等,防止被盗、毁坏、被修改、信息泄露未授权访问等情况发生; 制定风险管理策略,对涉及运营的各类风险进行分析、评估、和分级
16、,并提供解决方法; 对记录认证机构涉及运营条件和环境、密钥和证书生命周期管理的日志和事件进行监控和审计; 定期对相关人员开展安全培训; 对当前的安全策略和管理程序进行风险评估,并上报安全策略委员会。5.1.5 运营审计岗位1) 岗位定义 定期对运营系统进行安全审计,包括:人员审计,物理安全审计,通信安全审计,操作安全审计,和系统安全审计。2) 设置目的负责对涉及系统安全的事件、各类管理和操作人员的行为进行审计和监督,确保遵从法律和法规,降低运营风险,提供服务质量,保证经营的可持续性。本岗位属于重要岗位。3) 岗位职责依据包括CA机构发布和制定的所有与运营相关的安全策略、证书策略、电子认证业务规
17、则等,以及国家法律法规和行业相关标准,对以下内容进行审计,并根据审计结果撰写审计报告和改进意见: 检查法律和法规方面的符合性,运营是否符合安全策略、证书策略、认证业务规则等; 评估服务能力和运营安全性,是否在人力资源、运营管理、技术、安全管理、财务等方面存在风险; 向安全策略委员会提交审计报告。5.1.6 密钥管理岗位1) 岗位定义负责对电子认证密钥对和证书的生命周期进行维护,及相关密码设备进行管理和操作。2) 设置目的维护电子认证密钥对的物理和逻辑安全,确保所创建密钥对和证书的完整性和可审计性等。本岗位属于关键岗位。3) 岗位职责 为电子认证机构及客户创建并维护电子认证密钥对和证书; 建立密
18、码硬件设备的采购、使用、测试、维修、保管、报废等管理制度,维护所有密钥相关设备的安全可靠; 协助电子认证密钥对的恢复工作; 建立当电子认证密钥对可信性受威胁时的应变计划。 制定用户加密密钥查询和恢复管理策略和流程,配合获得授权的国家机构以规定的方式进行密钥查询和恢复。5.1.7 服务质量管理岗位1)岗位定义电子认证服务质量管理岗位是指监督提供电子认证服务的各岗位职责和作业规范的执行,并进行客户满意度调查的岗位。2)设置目的电子认证服务质量管理岗位设置目的是提高电子认证服务质量。本岗位属于重要岗位。3)岗位职责 应根据业务咨询服务岗位的职责规范进行质量跟踪和管理; 应根据业务办理服务岗位的职责规
19、范进行质量跟踪和管理; 应根据鉴别验证服务岗位的职责规范进行质量跟踪和管理; 应根据技术支持服务岗位的职责规范进行质量跟踪和管理; 应进行定期或不定期进行用户满意度调查; 处理客户投诉。5.2 运行维护类岗位 电子认证运行维护类岗位是指负责电子认证服务机构信息系统、网络系统、物理环境、密钥管理的日常维护,保证电子认证服务可靠性和业务连续性的服务岗位。电子认证运行维护类岗位包括有安全管理岗位、运维管理岗位、密钥管理岗位、物理环境安全管理岗位、网络安全管理岗位、系统维护管理岗位、数据库管理岗位和运营审计岗位。5.2.1 运维管理岗位1) 岗位定义负责对生产系统进行维护,协调和监督生产系统、密钥管理
20、、和运营物理环境等基础设施正常运行。2) 设置目的维护运营系统的完整性。本岗位属于重要岗位。3) 岗位职责 制定运维策略和流程,负责生产系统初始化和维护,以及安全设备、网络设备的正确配置; 定义系统逻辑访问控制的角色和相应的权限; 分析入侵检测系统的日志和问题,及时响应安全事件、调整安全策略; 建立并维护生产系统功能相一致的测试系统; 建立系统升级、变更的审批策略和控制流程,制定新信息系统升级和新的版本验收标准,在投入生产系统正式使用前应作兼容性测试、功能性测试、安全性测试; 维护生产系统日志的完整性; 编制和维护运营场地资产清单,对重要IT资产的保管、使用、维护、报废、销毁进行监控;5.2.
21、2 物理环境安全管理岗位1) 岗位定义对本机构运营场地的门禁监控、照明、电力、空调、消防、综合布线、静电防护、防雷、防灾等各项基础设施进行日常监控与维护。2) 设置目的保障运营场地、机电基础设施正常工作。本岗位属于重要岗位。3) 岗位职责 负责机电、门禁监控设备、消防设备的管理及维护; 根据访问控制策略,制定访问控制管理制度,管理本机构人员的物理访问权限,以及外来人员的访问控制; 编写和更新各项应急预案; 场地工程建设和改造维护。5.2.3 网络安全管理岗位1) 岗位定义对本机构内外网络进行维护管理。2) 设置目的制定网络安全策略,保障本机构网络的正常服务和IT设备的正常工作。本岗位属于重要岗
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子 认证 服务机构 从业人员 岗位 技能 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。