《电子认证服务机构关键业务岗位设置和人员技能规范.ppt》由会员分享,可在线阅读,更多相关《电子认证服务机构关键业务岗位设置和人员技能规范.ppt(33页珍藏版)》请在三一办公上搜索。
1、,电子认证服务机构关键业务岗位设置和人员技能规范,工业和信息化部信息安全协调司,2009年11月26日,主要内容,一、CA机构关键岗位管理现状分析二、法律法规对CA机构关键岗位管理的要求三、“规范”的目的、意义四、“规范”的主要内容介绍五、电子认证服务业关键岗位监督管理,电子认证服务行业发展背景,一、行业规模不断扩大 自2005年电子签名法颁布实施以来,我国获准从事电子认证服务的机构已经有30家,分布在全国21个省、自制区、直辖市。,二、法律规章不断完善电子认证服务管理办法(1号令)电子认证服务业务承接管理办法电子认证业务规则规范(试行)电子认证服务许可审查流程(暂行)电子认证服务机构监督检查
2、指引(试行),电子认证服务行业发展背景,三、数字证书的规模不断扩大 2005年我国数字证书发放量为260万张,2006年累计达到546万张,2007年790万张,2008年累计达到1100万张,至今累计达到1300万张,其中有效证书834万张,占证书总量的64.2%。,四、应用领域更加广泛广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签约、供应链管理等领域。,一、CA机构关键岗位管理现状分析,管理制度不健全,岗位职责不明晰,人员技能不规范,(1)多数CA均编写了大量的管理制度文档,但是未成体系,而且对关键岗位没有明确的职责划分或技能要求不规范;(2)目前还有CA机
3、构没有建立CPS安全策略委员会,或者即使存在,但也没有对CPS维护相关的职责和权限进行明确划分。,一、CA机构关键岗位管理现状分析,管理制度不健全,岗位职责不明晰,人员岗位、职责、权限等方面的规定不够清晰、管理不规范,如:(1)证书业务办理不规范:证书的申请受理、审核由一人完成;证书办理由机构外部人员或合作伙伴员工完成;(2)根密钥保护不规范:CA密钥的多人控制/备份措施的实施不够彻底,目前还存在有的CA采用3选3策略,并且三张私钥卡由同一人保存;(3)关键岗位职责不清:如有些机构的安全管理员与数据录入、计算机操作以及系统分析员和程序员等岗位混淆。,人员技能不规范,一、CA机构关键岗位管理现状
4、分析,管理制度不健全,岗位职责不明晰,人员技能不规范,CA机构还存在岗位人员不具备很好完成岗位工作的技能,如:1)CA系统自建立部署和配置运行以来,其CA系统管理员由于不熟悉基本不对其进行配置管理,导致CRL更新不及时,系统备份方案不灵活等;2)存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备,有的甚至不熟悉防火墙的系统配置,不能及时更新网络拓扑结构图,留下系统安全隐患。,综上,CA机构的关键岗位管理存在较大的安全隐患!,二、法律法规对CA机构关键岗位管理的要求,第五条规定:电子认证服务机构应当具备的条件:具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员
5、、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。第三十五条规定:电子认证服务机构在关键岗位人员变动时应当及时向工业和信息化部报告;第三十六条规定:电子认证服务机构应当对其从业人员进行岗位培训。,第十七条规定:提供电子认证服务,应当具有与提供电子认证服务相适应的专业技术人员和管理人员;,中华人民共和国电子签名法,电子认证服务管理办法,人员控制规定:*对于充当可信角色或其他重要角色的人员,其需要具备的资格、经历和无过失要求,例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。*在招聘充当可信角色或其他重要角色的人员时所需背景审查程序,这些角色可能要求
6、调查其犯罪记录、档案。*招聘人员后对每个角色的培训要求和过程。*在完成原始培训后对每个角色的再培训周期和过程。*在不同角色间的工作轮换周期和顺序*对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。*对独立签约者而非实体内部人员的控制。*在原始培训、再培训和其他过程中提供给员工的文档。,二、法律法规对CA机构关键岗位管理的要求,电子认证业务规则规范,三、“规范”的目的、意义,贯彻落实电子签名法中“具有与提供电子认证服务相适应的专业技术人员和管理人员”的基本要求,对CA认证机构的与提供电子认证服务直接相关的从业人员包括专业技术人员、运维管理人员、安全管理人员、客户服务人员等的岗
7、位设置、职责明确、技能要求等进行规范,建立一套满足电子认证服务业实际要求的从业人员管理体系,指导电子认证服务机构安全运营和规范服务,促进电子认证服务整体质量水平的提高。,实施“规范”的主要目的,三、“规范”的目的、意义,实施“规范”的意义,贯彻落实了电子签名法和相关法律法规,满足了对专业技术人员和管理人员的基本法律法规要求;有效管理了电子认证服务业从业人员,推动了电子认证服务机构的规范化安全运营;促进了电子认证服务质量的提高,推动了电子认证服务业健康、有序、规范发展。,四、“规范”的主要内容介绍,(一)电子认证服务人员划分(二)电子认证服务人员基本要求(三)电子认证服务机构十二个关键岗位(四)
8、关键岗位的职责及基本技能要求(五)认证服务业从业人员监督管理,(一)电子认证服务人员划分,专业技术人员,安全管理人员,运营管理人员,客户服务人员,电子认证服务机构,(一)电子认证服务人员划分,专业技术人员,安全管理人员,运营管理人员,客户服务人员,电子认证服务机构,电子认证专业技术人员是指对电子认证服务系统(CA系统)进行研究、管理、应用开发,保障电子认证服务系统稳定运行和应用实施的人员。,(一)电子认证服务人员划分,专业技术人员,安全管理人员,运营管理人员,客户服务人员,电子认证服务机构,电子认证运营管理人员是指对信息系统、网络系统、物理环境进行日常维护,保障电子认证服务业务连续性的人员。,
9、(一)电子认证服务人员划分,专业技术人员,安全管理人员,运营管理人员,客户服务人员,电子认证服务机构,电子认证安全管理人员是指电子认证服务机构安全策略委员会成员,以及安全经理、密钥管理人员、物理环境安全管理人员等。,(一)电子认证服务人员划分,专业技术人员,安全管理人员,运营管理人员,客户服务人员,电子认证服务机构,电子认证客户服务人员是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发等服务的人员。,(二)电子认证服务人员基本要求,电子认证服务对从业人员提出的基本要求,具有较强的法律意识,熟悉电子签名法等法律法规;具有较强的保密意识,对接触的资料、档案、文件等保密;具有较强的安全意识,
10、对密钥、网络、服务等的安全性时刻牢记;具有良好的个人信用记录;,(三)电子认证服务机构十二个关键岗位,电子认证服务机构从业人员,专业技术人员,运营管理人员,安全管理人员,客户服务人员,CA系统管理人员,CA系统运营管理人员,网络安全管理员,系统维护管理员,核心机房管理员,安全策略委员会主任,安全经理,密钥管理人员,物理环境安全管理人员,鉴证人员,客户服务负责人,客户档案管理员,(四)关键岗位的职责及基本技能要求,基本技能要求,1、CA系统管理员,主要职责:负责对密钥管理、生产系统以及运营场地、电力、设备等基础设施运行进行监督,规避主要风险。,专业技术类,熟悉电子认证方面的法律、法规和规章;掌握
11、国内各项安全规范和标准;具有网络信息或系统安全的相关知识;具有3年以上运营维护和管理的工作经验;具有良好的风险管理能力,对于安全体系有着较深刻的认识,容易从评估风险的角度发现潜在的隐患或漏洞,并能提供有效的办法来规避风险。具有良好的质量导向能力,信息收集能力,计划执行能力,组织协调能力,决策能力。,(四)关键岗位的职责及基本技能要求,基本技能要求,1、CA系统运营管理人员,主要职责:负责协调、监督生产系统,维护密钥管理,保证场地、设备、电力和网络基础设施的安全运行,对员工可信的控制等。,运营管理类,熟悉电子认证方面的法律、法规和规章;掌握国内安全相关规范和标准;具有网络信息、系统安全知识;具有
12、2年以上运营维护和管理工作的经验;具有风险管理能力,对于安全体系有着较深的认识,容易从评估风险的角度发现潜在的隐患或漏洞,并能提供有效的办法来规避风险。具有良好的质量导向能力,信息收集能力,计划执行能力,组织协调能力,决策能力。,(四)关键岗位的职责及基本技能要求,基本技能要求,2、网络安全管理员,主要职责:负责维护电子认证机构计算机相关的电子设备、操作系统、数据中心的应用进程及网站建设,保证硬件和软件的正常进行,即时发现并排查故障。,运营管理类,熟悉电子认证方面的法律、法规和规章;具有全面的计算机专业知识,以太网络管理及系统管理经验;熟悉各种操作系统、数据库;熟悉各种网络安全策略;具有1年以
13、上计算机相关工作经验。,(四)关键岗位的职责及基本技能要求,基本技能要求,3、系统维护管理员,主要职责:负责因特网的正常使用,网站发布及更改防火墙配置,硬件故障的排查及维修等。,运营管理类,熟悉电子认证方面的法律、法规和规章;具有全面的计算机专业知识,以太网络管理及系统管理经验;熟悉各种操作系统、数据库;熟悉各种网络安全政策。,(四)关键岗位的职责及基本技能要求,基本技能要求,4、核心机房管理员,主要职责:负责监控计算机中心的操作系统、数据库、备份系统的运行。,运营管理类,熟悉电子认证方面的法律、法规和规章;具有全面的计算机专业知识,以太网络管理及系统管理经验;熟悉各种操作系统、数据库;熟悉各
14、种网络安全政策;具有2年及以上计算机相关工作经验;,(四)关键岗位的职责及基本技能要求,基本技能要求,1、安全策略委员会主任,主要职责:负责领导安全策略委员会,制定本机构的电子认证业务声明并监督执行,有效控制本机构运营风险,保证电子认证服务质量和业务的连续性。,安全管理类,熟悉电子认证方面的法规、规章和行业政策;了解国家相关安全规范和标准;熟悉本机构的电子认证业务规则;熟悉电子认证事故应急救援与预案程序;对本机构电子认证运营工作有较全面的认识;无重大行政处罚和犯罪记录;具有学士以上学位;具有5年以上电子认证行业或相关行业高级管理工作经验。,(四)关键岗位的职责及基本技能要求,基本技能要求,2、
15、安全经理,主要职责:负责本机构场地安全、日常安全管理、审计工作,定期检查门禁系统运行状况,定期对物理场地进行安全评估,并对安全事件提出可行性解决方案。,安全管理类,熟悉电子认证方面的法规、规章和行业政策;了解国家相关安全规范和标准;熟悉电子认证服务安全隐患排查与事故防范措施;熟悉电子认证事故应急救援与预案程序;熟悉电子认证事故统计、报告制度;精通机房运营安全;具有场地维护经验;具有机房安全管理工作经验;具有良好的关注细节能力、自控能力,敬业负责。,(四)关键岗位的职责及基本技能要求,基本技能要求,3、密钥管理人员,主要职责:负责为电子认证机构及客户创建并维护电子认证密钥对和证书,保存和维护所有
16、密钥相关物品和文档,贯彻电子认证密钥对的物理和逻辑安全,确保密钥生成规程的完整性和可审计性等。,安全管理类,熟悉电子认证方面的法律、法规和规章;掌握国家的各项安全技术规范和标准;掌握加密技术、PKI技术以及电子认证服务流程;熟悉本机构加密厂商的加密设备;具有计算机相关专业知识;具有良好的关注细节能力、分析判断能力、信息收集能力和表达能力。,(四)关键岗位的职责及基本技能要求,基本技能要求,4、物理环境安全管理人员,主要职责:负责机电、门禁监控设备、消防设备的管理及维护,各项应急预案编写及更新,工程建设和改造维护等。,安全管理类,熟悉电子认证方面的法律、法规和规章;掌握国家的各项安全技术规范和标
17、准;具有机电专业知识,熟知机电管理流程;具有火灾、水灾防护等基本安全知识;具有5年以上机电、安全等工作经验;具有良好的关注细节能力、分析判断能力、信息收集能力和表达能力。,(四)关键岗位的职责及基本技能要求,基本技能要求,1、鉴证人员,主要职责:负责快速、无差错的实施证书鉴证服务,解决客户关于证书申请及使用方面的问题,妥善保管管理员证书的安全等。,客户服务类,熟悉电子认证方面的法律、法规和规章;了解PKI和证书应用的基本知识;熟悉身份证、各种企业资质证明的真伪辨别方法;掌握各类鉴证流程和鉴证计划;良好的沟通能力、分析判断能力、团队协作能力、解决问题能力和计划执行能力。,(四)关键岗位的职责及基
18、本技能要求,基本技能要求,2、客户服务负责人,主要职责:负责管理客户服务中心工作,服务并维护现有的客户,辅导普通客服人员,改进服务流程等。,客户服务类,熟悉电子认证方面的法律、法规和规章;对电子认证证书体系及应用有深刻认识,理解证书服务的本质内容;了解PKI及电子认证的基本原理;掌握证书鉴证流程;具有1年以上信息技术行业工作经验;具有1年以上客户服务管理经验;良好的决策能力、客户导向、团队激励、组织协调能力和解决问题能力。,(四)关键岗位的职责及基本技能要求,基本技能要求,3、客户档案管理员,主要职责:负责建立和维护客户档案资料,管理客户档案借阅工作等。,客户服务类,熟悉电子认证方面的法律、法规和规章;了解PKI和证书应用基本知识;具有档案管理知识和技巧;具有较强的保密意识;具有良好的沟通能力、分析判断能力、团队协作能力和计划执行能力。,五、电子认证服务业关键岗位监督管理,谢 谢!,
