电子认证服务机构从业人员岗位技能规范.docx
- 文档编号:23989526
- 上传时间:2023-05-23
- 格式:DOCX
- 页数:27
- 大小:28.81KB
电子认证服务机构从业人员岗位技能规范.docx
《电子认证服务机构从业人员岗位技能规范.docx》由会员分享,可在线阅读,更多相关《电子认证服务机构从业人员岗位技能规范.docx(27页珍藏版)》请在冰豆网上搜索。
电子认证服务机构从业人员岗位技能规范
电子认证服务机构
从业人员岗位技能规范
(试行)
2010年10月
电子认证服务机构从业人员岗位技能规范
11 范围
本规范规定了电子认证服务机构的从业人员岗位技能要求,内容包括:
电子认证服务机构岗位设置与职能描述、电子认证服务从业人员界定、从业人员技能基本要求、关键岗位技能要求、安全要求和监督管理措施等。
本规范适用于所有提供电子认证服务的电子认证服务机构。
12 规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
2005年中华人民共和国电子签名法
2009年中华人民共和国工业和信息化部令第1号电子认证服务管理办法
2005年中华人民共和国工业和信息化部电子认证业务规则规范(试行)
2005年国家密码管理局公告第2号电子认证服务密码管理办法
13 术语和定义
下列术语和定义适用于本规范。
13.1 数字证书digitalcertificate
由国家认可的,具有权威性、可信性和公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。
13.2 电子签名electronicsignature
数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
13.3 电子认证服务electroniccertificationservice
电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。
13.4 电子认证服务机构electroniccertificationserviceauthority
一个实体,或者是法人或自然人,颁发证书或提供与电子签名相关的其他服务。
13.5 电子认证服务质量electroniccertificationservicequality
是指电子认证服务过程和结果的可信性、可靠性满足明示的、通常隐含的或必须履行的要求与期望的程度。
13.6 订户subscriber
从电子认证服务机构接收证书的实体。
在电子签名应用中,订户即为电子签名人。
13.7 电子认证业务规则CertificationPracticesStatement(CPS)
电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。
电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容
14 电子认证服务岗位总体说明
14.1 服务岗位划分
电子认证服务岗位指依据《电子签名法》和《电子认证服务管理办法》要求,提供具有法律效力的可靠电子签名服务的相关岗位。
电子认证服务岗位划分成四类:
安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗位。
安全管理类岗位
电子认证服务安全管理类岗位是指电子认证服务机构贯彻落实《电子签名法》,提供安全稳定高质量的电子认证服务而必须进行的运营管理、财务管理、可信人员管理、服务管理等相关管理岗位。
运行维护类岗位
电子认证服务运行维护类岗位,是指对信息系统、网络系统、物理环境、密钥管理进行日常维护,保障电子认证服务业务连续性的岗位。
客户服务类岗位
电子认证服务客户服务类岗位,是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发以及提供相关技术支持、售后服务的岗位。
专业技术类岗位
电子认证服务专业技术类岗位,是指为保障订户电子认证服务不同层次需求的服务质量而设置的产品、系统等技术研发、项目实施岗位。
14.2 服务岗位重要性划分
依据《电子签名法》和《电子认证服务管理办法》对电子认证服务的法律要求,本规范对不同的服务岗位进行了重要性的划分,区分为关键岗位、重要岗位和补充岗位三类。
关键岗位是指法律法规、标准规范明确规定的提供电子认证服务必须的岗位,是必须设置的。
重要岗位是指对电子认证服务水平有重大影响的岗位,该岗位在工信部对机构的监管中有重要参考意义,是必须设置的,不要求备案。
补充岗位是指在电子认证服务实践中经验表明提供电子认证服务常常需要设置或人员配备的相关岗位,电子认证服务机构可以根据实际需要设置。
14.3 从业人员
电子认证服务机构从业人员是指电子认证服务机构中安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗位的具有劳资关系的相关工作人员。
14.4 从业人员技能描述
电子认证服务从业人员技能包括基本技能和专业技能。
基本技能是指从事电子认证服务的任何相关人员必须具备的基本常识、保密意识、安全意识、服务纪律等基本要求。
专业技能是指从事电子认证服务的安全管理类、运行维护类岗位、客户服务类岗位、专业技术类岗位相关从业人员的专业要求,包括从业资质、专业知识掌握程度、专业工具熟悉水平、相关从业经历要求等。
14.5 岗位安全性要求
电子认证服务机构从业人员岗位安全性包括设置岗位安全性要求和从业人员安全性要求。
岗位安全性要求包括职责分割要求等。
从业人员安全性要求包括入职背景调查、安全培训、安全管理、异动管理、离职管理等。
15 电子认证服务岗位设置与职能
15.1 安全管理类岗位
电子认证服务机构须设置安全策略委员会。
安全策略委员会通过电子认证机构跨部门的执行层、业务管理层和行政管理层等不同部门管理人员协同完成认证机构整体的运营管理、风险控制和发展战略。
主要职责有:
1)负责制定、发布、废止、批准、实施CA机构总体信息安全策略、安全管理制度,并监督、检查安全运营和生产活动;
2)监督管理财务运营状况,进行风险评估,并按照工业和信息化部主管部门要求上报财务数据信息;
3)制定可信雇员管理策略并监督执行,并按照工业和信息化部主管部门要求上报可信雇员数据信息;
4)组织进行安全运营审计,发布审计报告;
安全策略委员会主任岗位
1)岗位定义
协调CA机构内部的运营管理人员、客户服务人员、服务管理人员,组建安全策略委员会,并进行CPS管理、监督执行,评估机构运营风险,应对突发情况等领导工作岗位。
2)设置目的
依法对CPS-电子认证业务规则进行管理和监督执行,该岗位是关键岗位;
3)岗位职责
安全策略委员会主任主要岗位职责有下面三个方面:
1——根据国家《中华人民共和国电子签名法》和《电子认证服务管理办法》相关法规和电子认证服务机构章程,组建公司安全策略委员会,并领导该委员会工作;
2——负责定期组织制定公司CPS(电子认证业务规则),并监督严格执行;
3——有效控制公司运营风险,保证电子认证服务质量和业务连续性;
4——根据主管部门监管要求,报送CA机构运营相关数据信息:
数字证书颁发统计、风险管理预案等CA机构管理相关信息。
财务管理岗位
1)岗位定义
财务管理岗位是指对机构的财务进行综合管理和风险评估的管理岗位。
2)设置目的
依法对CA机构的财务进行管理和风险评估,降低财务风险和机构运营风险,该岗位是关键岗位。
3)岗位职责
财务管理员主要职责有:
5——财务制度建立、更新和监督执行;
6——按照工业和信息化部主管部门管理要求,如实提供但不限于下列情况:
1)注册资金情况(如有变化);
2)股东情况(如有变化);
3)现金余额(当前情况);
4)资产负债情况。
7——组织编制机构年度综合财务预算和控制标准,编制财务报告,对机构的财务保障能力进行正确评估。
可信人员管理岗位
1)岗位定义
可信人员管理岗位是指对机构各关键岗位、重要岗位、补充岗位可信人员进行管理的岗位,包括背景调查、入职、培训、上岗、转岗、离职等管理,包括可信人员管理制度建立、流程、规范。
2)设置目的
可信人员管理岗位设置目的是依据《电子认证服务管理办法》和《电子认证服务机构年检指引》加强对可信人员管理。
本岗位属于关键岗位。
3)岗位职责(保留执行部分)
8——建立可信人员策略,包括岗位可信人员要求、背景调查内容和程序;
9——在正式聘任员工授权接触公司重要资料前,证明其可信性,并签署员工保密协议;
10——建立每个工作岗位的工作范围及其责任,并确定关键岗位、重要岗位、补充岗位等不同职位的可信要求;
11——建立可信人员培训制度及培训档案管理;
12——建立可信人员异动管理制度、可信人员离职后应立即删除其接触公司资料的权限;
13——建立可信雇员清单及所有职员清单;
根据主管部门监管要求,如实上报关键岗位可信人员信息、变更信息、数量信息等。
安全管理岗位
1)岗位定义
安全管理岗位是指对本机构运营场地安全、人员安全、信息系统安全、通信系统安全、及重要IT资产安全进行日常监控和审计。
2)设置目的
监督生产系统、密钥管理、物理场地、设备、电力和网络基础设施的安全运作,对员工可信的控制等,规避主要风险。
本岗位属于关键岗位。
3)岗位职责
14——制定运营场地安全策略,包括物理访问控制、电脑终端的安全接触、电力空调等设备的安全使用等;
15——制定人员安全策略,包括定义接触电子认证系统的各类安全角色和岗位、职责分割原则、和权限控制机制;定期检查物理访问权限和逻辑访问权限的设置情况,并对物理访问记录、和系统操作日志进行审计;
16——对信息系统各类安全事件进行分级,建立各类安全事件报告、跟进策略及处理机制的应急响应计划,并定期测试及评估和更新此计划的内容;
17——制定通信安全管理策略、变更申请和批准流程,保证通信系统的可靠性,预防通信系统泄露信息,防止非授权使用通信系统;
18——监控各类介质包括光盘、硬盘、软盘、移动存储介质以及磁带等,防止被盗、毁坏、被修改、信息泄露未授权访问等情况发生;
19——制定风险管理策略,对涉及运营的各类风险进行分析、评估、和分级,并提供解决方法;
20——对记录认证机构涉及运营条件和环境、密钥和证书生命周期管理的日志和事件进行监控和审计;
21——定期对相关人员开展安全培训;
22——对当前的安全策略和管理程序进行风险评估,并上报安全策略委员会。
运营审计岗位
1)岗位定义
定期对运营系统进行安全审计,包括:
人员审计,物理安全审计,通信安全审计,操作安全审计,和系统安全审计。
2)设置目的
负责对涉及系统安全的事件、各类管理和操作人员的行为进行审计和监督,确保遵从法律和法规,降低运营风险,提供服务质量,保证经营的可持续性。
本岗位属于重要岗位。
3)岗位职责
依据包括CA机构发布和制定的所有与运营相关的安全策略、证书策略、电子认证业务规则等,以及国家法律法规和行业相关标准,对以下内容进行审计,并根据审计结果撰写审计报告和改进意见:
23——检查法律和法规方面的符合性,运营是否符合安全策略、证书策略、认证业务规则等;
24——评估服务能力和运营安全性,是否在人力资源、运营管理、技术、安全管理、财务等方面存在风险;
25——向安全策略委员会提交审计报告。
密钥管理岗位
1)岗位定义
负责对电子认证密钥对和证书的生命周期进行维护,及相关密码设备进行管理和操作。
2)设置目的
维护电子认证密钥对的物理和逻辑安全,确保所创建密钥对和证书的完整性和可审计性等。
本岗位属于关键岗位。
3)岗位职责
26——为电子认证机构及客户创建并维护电子认证密钥对和证书;
27——建立密码硬件设备的采购、使用、测试、维修、保管、报废等管理制度,维护所有密钥相关设备的安全可靠;
28——协助电子认证密钥对的恢复工作;
29——建立当电子认证密钥对可信性受威胁时的应变计划。
30——制定用户加密密钥查询和恢复管理策略和流程,配合获得授权的国家机构以规定的方式进行密钥查询和恢复。
服务质量管理岗位
1)岗位定义
电子认证服务质量管理岗位是指监督提供电子认证服务的各岗位职责和作业规范的执行,并进行客户满意度调查的岗位。
2)设置目的
电子认证服务质量管理岗位设置目的是提高电子认证服务质量。
本岗位属于重要岗位。
3)岗位职责
31——应根据业务咨询服务岗位的职责规范进行质量跟踪和管理;
32——应根据业务办理服务岗位的职责规范进行质量跟踪和管理;
33——应根据鉴别验证服务岗位的职责规范进行质量跟踪和管理;
34——应根据技术支持服务岗位的职责规范进行质量跟踪和管理;
35——应进行定期或不定期进行用户满意度调查;
36——处理客户投诉。
15.2 运行维护类岗位
电子认证运行维护类岗位是指负责电子认证服务机构信息系统、网络系统、物理环境、密钥管理的日常维护,保证电子认证服务可靠性和业务连续性的服务岗位。
电子认证运行维护类岗位包括有安全管理岗位、运维管理岗位、密钥管理岗位、物理环境安全管理岗位、网络安全管理岗位、系统维护管理岗位、数据库管理岗位和运营审计岗位。
运维管理岗位
1)岗位定义
负责对生产系统进行维护,协调和监督生产系统、密钥管理、和运营物理环境等基础设施正常运行。
2)设置目的
维护运营系统的完整性。
本岗位属于重要岗位。
3)岗位职责
37——制定运维策略和流程,负责生产系统初始化和维护,以及安全设备、网络设备的正确配置;
38——定义系统逻辑访问控制的角色和相应的权限;
39——分析入侵检测系统的日志和问题,及时响应安全事件、调整安全策略;
40——建立并维护生产系统功能相一致的测试系统;
41——建立系统升级、变更的审批策略和控制流程,制定新信息系统升级和新的版本验收标准,在投入生产系统正式使用前应作兼容性测试、功能性测试、安全性测试;
42——维护生产系统日志的完整性;
43——编制和维护运营场地资产清单,对重要IT资产的保管、使用、维护、报废、销毁进行监控;
物理环境安全管理岗位
1)岗位定义
对本机构运营场地的门禁监控、照明、电力、空调、消防、综合布线、静电防护、防雷、防灾等各项基础设施进行日常监控与维护。
2)设置目的
保障运营场地、机电基础设施正常工作。
本岗位属于重要岗位。
3)岗位职责
44——负责机电、门禁监控设备、消防设备的管理及维护;
45——根据访问控制策略,制定访问控制管理制度,管理本机构人员的物理访问权限,以及外来人员的访问控制;
46——编写和更新各项应急预案;
47——场地工程建设和改造维护。
网络安全管理岗位
1)岗位定义
对本机构内外网络进行维护管理。
2)设置目的
制定网络安全策略,保障本机构网络的正常服务和IT设备的正常工作。
本岗位属于重要岗位。
3)岗位职责
48——负责因特网的正常使用,网站发布;
49——正确配置防火墙,测试防火墙策略的有效性,保护CA内部网络域,防止未授权的访问;
50——正确配置生产系统和办公系统;
51——对必须提供的服务(如HTTP、FTP等)进行正确配置,停止不需要提供的服务进程,关闭不需要使用的端口;使用路由控制和安全通道保护外部远程电脑访问;
52——建立检测和防护控制来防止病毒和恶意软件,并能提供适当的报警信息;
系统维护管理岗位
1)岗位定义
对本机构办公系统、生产系统进行维护的人员。
2)设置目的
保障本机构办公系统、生产系统的正常运作。
本岗位属于重要岗位。
3)岗位职责
53——硬件故障的排查及维修等;
54——定期检查系统及网络的稳定性、安全性及容量是否符合服务水平;
55——建立监控流程,确保记录并报告发现的或怀疑的、对系统或服务有威胁的安全缺陷;
56——建立并执行系统故障报告、处理流程。
数据库管理岗位
1)岗位定义
维护本机构数据库系统。
2)设置目的
保障本机构数据库系统的正常运作。
本岗位属于重要岗位。
3)岗位职责
57——对数据库的运行状态,日志文件,备份情况,数据库的空间使用情况,系统资源的使用情况进行检查,发现并解决问题;
58——对数据库对象的空间扩展情况,数据的增长情况进行监控,对数据库做健康检查,对数据库对象的状态做检查;
59——对表和索引等进行分析,检查表空间碎片,进行数据库性能调整;
CA系统管理岗位
1)岗位定义
对本机构电子认证服务系统进行管理。
2)设置目的
保障电子认证服务系统的正常运转。
本岗位属于关键岗位。
3)岗位职责
60——负责监控电子认证服务系统的操作系统、备份系统的软硬件的正常运行,即时发现并排查故障;
61——加载系统根密钥、CA证书、CRL,更新CRL,配置系统,分配权限等;
62——评估并上报对系统的安全性有影响的改动;
15.3 客户服务类岗位
客户服务人员为客户提供全面、及时、有效的服务,保证客户使用电子认证服务过程中出现的任何问题都能及时得到响应和解决。
业务咨询服务岗位
1)岗位定义
指向用户提供电子认证服务业务介绍、业务办理流程、证书应用和电子认证服务相关法律法规的解读。
2)设置目的
针对服务订户在业务办理前、业务办理中的各种需求,以及证书应用过程中的各种使用需求提供咨询服务。
该岗位属于重要岗位。
3)岗位职责
63——对证书业务的咨询应告知用户相应服务流程;
64——对证书应用业务的咨询应提供相应的宣传手册;
65——对电子签名法相关法律条文的咨询应能明确解答;
66——应明确告知明确申请者和电子认证服务提供者的责任与义务。
业务办理服务岗位
1)岗位定义
指针对证书订户提供包括证书申请、证书更新、密钥更新、证书变更、证书吊销和挂起、证书状态查询、密钥生成、备份和恢复等在内的各种服务。
2)设置目的
为订户提供证书申请、证书更新、密钥更新、证书吊销和证书挂起在内的电子认证服务相关的业务办理服务。
该岗位属于重要岗位。
3)岗位职责
业务办理服务应包括七个环节:
证书申请、证书更新、证书密钥更新、证书变更、正式吊销和挂起、证书状态查询、密钥的生成、备份和恢复,具体内容参见《电子认证服务机构服务质量规范》。
鉴别验证服务岗位
1)岗位定义
在电子认证服务机构在业务办理过程中,对证书订户的身份真实性、过程真实性进行鉴别和验证,以及对证书订户资料进行规范管理的服务。
2)设置目的
确认客户身份的真实性;确认客户证书服务请求的真实性;确保证书签发给正确的实体。
该岗位属于关键岗位。
3)岗位职责
鉴别验证服务包括证书鉴别服务、验证服务和资料归档,即:
67——对证书申请者的身份和其他属性进行鉴别;通过对用户提交的资质文件进行认证,以确认企业的真实身份,同时对客户提交的申请信息进行确认;
68——对申请办理证书业务的人员进行身份关联验证和行为验证;
69——对鉴别验证资料进行收集、备案、归档和查询;
技术支持服务岗位
1)岗位定义
指电子认证服务机构在提供电子认证服务是提供相关的技术支持,包括有数字证书管理、数字证书使用、证书存储介质硬件设备使用、电子认证软件系统使用、电子认证服务支撑平台使用以及各类数字证书应用(如,证书登录、证书加密、数字签名和安全邮件等)等。
2)设置目的
为解决订户在证书使用过程中的各种技术问题和电子认证系统故障提供的技术支持服务。
该岗位属于重要岗位。
3)岗位职责
主要解决证书使用问题和认证服务系统故障两大方面问题;明确对一般事件、严重事件、重大事件的处理流程和响应时间,以最大程度不影响客户使用为准则;形式上采用电话支持、远程协助支持、现场支持等。
客户档案管理岗位
1)岗位定义
保管本机构客户的提交资料、证书使用情况等相关文件的人员。
2)设置目的
对客户资料进行妥善保管。
本岗位属于重要岗位。
3)岗位职责
负责建立和维护客户档案资料,管理客户档案借阅工作等。
客户培训岗位
1)岗位定义
客户培训岗位是指为了客户更好的理解电子签名和相关法律法规环境,向其提供PKI技术、法律以及相关电子认证服务培训的岗位。
2)设置目的
客户培训岗位设置目的主要是通过提供相关培训,提高电子签名人的应用水平。
本岗位属于补充岗位。
3)岗位职责
70——提供PKI/CA相关技术培训;
71——提供《电子签名法》等法律法规培训;
72——提供与客户相关的电子认证服务培训。
法律事务岗位
1)岗位定义
法律事务岗位是指CA机构中提供法律相关解读、咨询的岗位。
2)设置目的
法律事务岗位设置目的是贯彻《电子签名法》,依法提供电子认证服务。
本岗位属于补充岗位。
3)岗位职责
73——提供电子认证服务法律合规性保障;
74——向客户讲解分析《电子签名法》等法律法规;
75——向客户提供法律咨询和司法援助;
15.4 专业技术类岗位
产品研发岗位
1)岗位定义
产品研发岗位是指根据市场需要研究开发电子认证服务相关软硬件产品的岗位;
2)设置目的
产品研发岗位设置目的是顺应客户需要,完善电子认证服务的产品线,提高电子认证服务的层次和水平。
本岗位属于补充岗位。
3)岗位职责
76——电子认证服务产品、系统的研发;
77——电子认证服务产品、系统维护和升级;
78——支撑项目实施岗位人员完成实施任务。
项目实施岗位
1)岗位定义
项目实施岗位是指为完成客户电子认证项目,提供客户现场系统安装、部署、调试、测试以及上线运行的岗位。
2)设置目的
项目实施岗位设置目的是降低电子签名技术难点,为电子签名人提供完整的技术支持和服务,也将会提供客户满意度。
本岗位属于重要岗位;
3)岗位职责
79——调配机构资源,完成客户项目实施;
80——现场进行系统安装、部署和测试;
81——根据客户个性需要,进行现场系统配置和修改;
82——解决项目实施中的突发问题;
83——提供相关的系统培训。
16 电子认证服务从业人员技能要求
16.1 从业人员基本要求
电子认证服务从业人员基本要求如下:
84——具有较强的法律意识,熟悉《电子签名法》、《电子认证服务管理办法》等法律法规;
85——具有较强的保密意识,掌握接触的资料、档案、文件等的制度、流程;
86——具有较强的安全意识,掌握密钥、网络、服务等的管理制度和流程。
;
87——具有良好的个人信用记录;
16.2 安全管理类岗位从业人员基本要求
安全策略委员会负责人员
88——五年以上相同和相关行业高级管理岗位工作经验;
89——熟悉《中华人民共和国电子签名法》和《电子认证服务管理办法》相关法律法规;
90——对电子认证运营工作有较全面的认识;
91——精通信息安全管理体系,并有丰富的管理实践经验;
财务管理岗位从业人员
92——会计、财务相关专业
93——三年以上财务相关实务工作经验
94——熟悉国家财务会计法规条例
95——能够独立进行全盘帐务处理,合并报表和集团公司账务经验,熟悉税务流程
可信人员管理岗位从业人员
96——人力资源、劳动经济等相关管理类专业
97——熟悉国家有关劳动、社保、人事的政策法规
98——熟悉《电子签名法》等法律法规基本要求
99——较强沟通能力、分析判断能力和员工关系管理能力
安全管理岗位从业人员
100——精通计算机相关专业知识、PKI/CA安全专业知识;
101——具有信息安全相关认证资质;
102——熟悉电子认证服务安全隐患排查与事故防范措施;
103——熟悉电子认证事故应急救援与预案程序;
104——熟悉电子认证事故统计、报告制度;
105——精通机房运营安全;
106——具有场地维护经验;
107——具有机房安全管理工作经验;
108——具有良好的质量导向能力,信息收集能力,计划执行能力,组织协调能力,决策能力。
运营审计岗位从业人员
109——熟悉公司质量体系规范;
110
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子 认证 服务机构 从业人员 岗位 技能 规范