电子认证服务机构关键业务岗位设置（会议材料）.pptVIP

五、电子认证服务业关键岗位监督管理 谢 谢！ * * * * * 电子认证服务机构关键业务岗位设置和人员技能规范 工业和信息化部信息安全协调司 2009年11月26日 主要内容 一、CA机构关键岗位管理现状分析 二、法律法规对CA机构关键岗位管理的要求 三、“规范”的目的、意义 四、“规范”的主要内容介绍 五、电子认证服务业关键岗位监督管理 电子认证服务行业发展背景 一、行业规模不断扩大 自2005年《电子签名法》颁布实施以来，我国获准从事电子认证服务的机构已经有30家，分布在全国21个省、自制区、直辖市。 二、法律规章不断完善 《电子认证服务管理办法》（1号令） 《电子认证服务业务承接管理办法》 《电子认证业务规则规范（试行）》 《电子认证服务许可审查流程（暂行）》 《电子认证服务机构监督检查指引（试行）》 …… 电子认证服务行业发展背景 三、数字证书的规模不断扩大 2005年我国数字证书发放量为260万张，2006年累计达到546万张，2007年790万张，2008年累计达到1100万张，至今累计达到1300万张，其中有效证书834万张，占证书总量的64.2%。 四、应用领域更加广泛 广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签约、供应链管理等领域。 一、CA机构关键岗位管理现状分析 管理制度不健全 岗位职责不明晰 人员技能不规范 （1）多数CA均编写了大量的管理制度文档，但是未成体系，而且对关键岗位没有明确的职责划分或技能要求不规范； （2）目前还有CA机构没有建立CPS安全策略委员会，或者即使存在，但也没有对CPS维护相关的职责和权限进行明确划分。 一、CA机构关键岗位管理现状分析 管理制度不健全 岗位职责不明晰 人员岗位、职责、权限等方面的规定不够清晰、管理不规范，如： （1）证书业务办理不规范：证书的申请受理、审核由一人完成；证书办理由机构外部人员或合作伙伴员工完成； （2）根密钥保护不规范： CA密钥的多人控制/备份措施的实施不够彻底，目前还存在有的CA采用3选3策略，并且三张私钥卡由同一人保存； （3）关键岗位职责不清：如有些机构的安全管理员与数据录入、计算机操作以及系统分析员和程序员等岗位混淆。 人员技能不规范 一、CA机构关键岗位管理现状分析 管理制度不健全 岗位职责不明晰 人员技能不规范 CA机构还存在岗位人员不具备很好完成岗位工作的技能，如： 1）CA系统自建立部署和配置运行以来，其CA系统管理员由于不熟悉基本不对其进行配置管理，导致CRL更新不及时，系统备份方案不灵活等； 2）存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备，有的甚至不熟悉防火墙的系统配置，不能及时更新网络拓扑结构图，留下系统安全隐患。 　综上，CA机构的关键岗位管理存在较大的安全隐患！ 二、法律法规对CA机构关键岗位管理的要求 第五条规定：电子认证服务机构应当具备的条件：具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。 第三十五条规定：电子认证服务机构在关键岗位人员变动时应当及时向工业和信息化部报告； 第三十六条规定：电子认证服务机构应当对其从业人员进行岗位培训。 第十七条规定： 提供电子认证服务，应当具有与提供电子认证服务相适应的专业技术人员和管理人员； 《中华人民共和国电子签名法》 《电子认证服务管理办法》 人员控制规定： * 对于充当可信角色或其他重要角色的人员，其需要具备的资格、经历和无过失要求，例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。 * 在招聘充当可信角色或其他重要角色的人员时所需背景审查程序，这些角色可能要求调查其犯罪记录、档案。 * 招聘人员后对每个角色的培训要求和过程。 * 在完成原始培训后对每个角色的再培训周期和过程。 * 在不同角色间的工作轮换周期和顺序 * 对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。 * 对独立签约者而非实体内部人员的控制。 * 在原始培训、再培训和其他过程中提供给员工的文档。 二、法律法规对CA机构关键岗位管理的要求 《电子认证业务规则规范》 三、“规范”的目的、意义 贯彻落实《电子签名法》中“具有与提供电子认证服务相适应的专业技术人员和管理人员”的基本要求，对CA认证机构的与提供电子认证服务直接相关的从业人员包括专业技术人员、运维管理人员、安全管理人员、客户服务人员等的岗位设置、职责明确、技能要求等进行规范，建立一套满足电子认证服务业实际要求的从业人员管理体系，指导电子认证服务机构安全运营和规范服务，促进电子认证服务整体质量水平的提高。 实