XXX系统密码人员管理制度.docxVIP

XXX信息系统安全管理制度V1.0

PAGE4

XXX系统密码人员管理制度

根据XXX系统的具体情况和相应的政策法规，制定如下密码系统人员管理制度：

人员岗位划分：

信息系统人员岗位划分有系统负责人、安全主管、密钥管理员、密码审计员、密码设备操作人员。

信息系统中关键岗位人员不能存在兼任情况，关键岗位包括密钥管理员、密码审计员、密码操作员。（注：兼任指同一个人不能任同一个信息系统的密钥管理员、密码审计员、密码操作员）

关键岗位建立多人共管机制，实现相互监督相互制衡。（注：每个岗位至少两人共管）

不同岗位应划分不同的权限，做到权限和责任挂钩。（注：密钥管理员不应有密码审计员、密码操作员的权限；密码审计员不应有密码管理员、密码操作员的权限；密码操作员不应有密钥管理员、密码审计员的权限）

密码机、USBkey、签名验签系统登录账号、证书签发系统登录账号、业务管理系统登录账号等不能多人共用。测评点：相关设备与系统管理和使用账号不得多人共用（三-四级要求）

测评点：相关设备与系统管理和使用账号不得多人共用（三-四级要求）

岗位职责测评点：密码应用岗位职责（二-四级要求）

测评点：密码应用岗位职责（二-四级要求）

密钥管理员职责：

根据密钥管理规则管理信息系统中的密钥

信息系统若出现密钥泄露则追查密钥管理员

做好密钥管理记录

密码审计员职责：

审计密码系统中密钥的产生、存储、导入导出、使