电子认证服务机构关键业务岗位设置和人员技能规范_[全文]
电子认证服务管理办法版
电子认证服务管理办法最新版电子认证服务管理办法(最新版)电子认证服务管理办法(最新版)第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)企业法人营业执照副本及复印件。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
电子认证服务管理办法(征求意见稿)
电子认证服务管理办法(修订征求意见稿)第一章总则第一条为了加强对电子认证服务活动的管理,规范电子认证服务行为,保障电子签名的可靠性,根据《中华人民共和国电子签名法》,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性证明的活动。
从事电子认证服务的机构应当遵循客观独立、公正公开、诚实信用的原则开展认证业务。
第三条在中华人民共和国境内设立电子认证服务机构,提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务活动实施监督管理。
各省、自治区、直辖市工业和信息化主管部门根据工业和信息化部的委托,承担本行政区域内电子认证服务活动的监督管理。
第二章电子认证服务许可第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合岗位技能规范要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的软件系统和硬件设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)电子认证服务许可申请。
(二)电子认证服务工作人员证明。
(三)资金证明(工商营业执照复印件,经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明(房屋产权证明或租赁合同)。
(五)国家有关认证检测机构出具的软件系统、硬件设备、物理环境符合国家有关安全标准的证明文件。
(六)国家密码管理机构同意使用密码的证明文件。
(七)认证业务发展计划。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
电子认证服务机构从业人员岗位技能规范
GB/T ××××—××××电子认证服务机构从业人员岗位技能规范(试行)2010年10月GB/T ××××—××××目录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 数字证书 digital certificate (1)3.2 电子签名 electronic signature (1)3.3 电子认证服务 electronic certification service (1)3.4 电子认证服务机构electronic certification service authority (1)3.5 电子认证服务质量 electronic certification service quality (1)3.6 订户 subscriber (1)3.7 电子认证业务规则 Certification Practices Statement (CPS) (2)4 电子认证服务岗位总体说明 (3)4.1 服务岗位划分 (3)4.2 服务岗位重要性划分 (3)4.3 从业人员 (3)4.4 从业人员技能描述 (3)4.5 岗位安全性要求 (4)5 电子认证服务岗位设置与职能 (4)5.1 安全管理类岗位 (4)5.2 运行维护类岗位 (8)5.3 客户服务类岗位 (11)5.4 专业技术类岗位 (13)6 电子认证服务从业人员技能要求 (14)6.1 从业人员基本要求 (14)6.2 安全管理类岗位从业人员基本要求 (15)6.3 运行维护类岗位从业人员基本要求 (16)6.4 客户服务类岗位从业人员基本要求 (17)6.5 服务技术类岗位从业人员基本要求 (18)7 岗位安全要求 (18)7.1 岗位重要性 (18)7.2 职责分割 (18)7.3 多重控制 (19)7.4 从业人员安全管理要求 (20)电子认证服务机构从业人员岗位技能规范1 范围本规范规定了电子认证服务机构的从业人员岗位技能要求,内容包括:电子认证服务机构岗位设置与职能描述、电子认证服务从业人员界定、从业人员技能基本要求、关键岗位技能要求、安全要求和监督管理措施等。
电子认证管理办法
中华人民共和国工业和信息化部令第1号《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,现予公布,自2009年3月31日起施行。
原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。
部长李毅中二〇〇九年二月二十八日电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
电子认证业务规则规范
电子认证业务规则规范导言:随着互联网的快速发展,电子商务交易的兴起,个人信息的保护和交易安全问题愈发凸显。
为了确保电子交易的真实性、完整性和可靠性,电子认证技术应运而生。
本文旨在探讨电子认证业务规则规范的重要性及其应遵循的原则与措施。
一、电子认证的定义与背景电子认证是指通过密码学技术和数字证书,对电子文件、数据或行为进行验证和确认的过程。
其目的是为了确保电子交易的安全性和合法性,同时打击电子欺诈和伪造行为。
电子认证技术通常包括数字证书、数字签名、时间戳等,这些技术可以确保电子文档的真实性、完整性和不可否认性。
二、电子认证业务规则的重要性1. 保护个人隐私和信息安全电子认证业务规则的制定可以确保用户的个人隐私和敏感信息不被滥用和泄露。
通过严格的身份验证、合规审核和数据加密等措施,可以有效防止个人信息被盗用、冒用或篡改。
2. 提升电子交易的可信度与合法性电子认证业务规则的执行可以强化电子交易的可信度与合法性,减少虚假交易、欺诈行为和合同纠纷的发生。
通过对参与方身份的认证、交易行为的可追溯性以及文件的签名和时间戳等措施,可以确保交易的真实、有效,并为法律追责提供有效证据。
3. 促进经济发展和数字化转型电子认证业务规则的规范可以促进电子商务的发展和数字化转型。
通过确保电子交易的可靠性和安全性,有助于增加企业和个人的信任度,提升市场活力,促进互联网经济的繁荣。
三、电子认证业务规则的原则与措施1. 身份验证原则在进行电子认证时,必须验证参与方的身份信息,确保其真实性和合法性。
可以采用实名认证、机构验证、人脸识别等方式进行身份验证,对于用户提供的信息进行严格审核和核实。
2. 数据保护原则电子认证过程中产生的个人数据应受到严格的保护,不得被滥用、篡改或泄露。
相关机构和业务提供者应制定有效的数据保护措施,如数据加密、安全传输、访问权限控制等,确保用户数据的安全性与隐私权。
3. 可追溯与可证明原则电子认证系统应具备可追溯和可证明的特性,即可追踪到交易双方的身份和行为,并能提供可信的证据。
电子认证服务机构关键业务岗位设置和人员技能规范
三、“规范”的目的、意义
实施“规范”的意义
贯彻落实了《电子签名法》和相关法律法规,满足了对专业 技术人员和管理人员的基本法律法规要求; 有效管理了电子认证服务业从业人员,推动了电子认证服务 机构的规范化安全运营; 促进了电子认证服务质量的提高,推动了电子认证服务业健 康、有序、规范发展。
四、“规范”的主要内容介绍
一、CA机构关键岗位管理现状分析
管理制度 不健全
岗位职责 不明晰
人员技能 不规范
CA机构还存在岗位人员不具备很好完成岗位工 作的技能,如: 1)CA系统自建立部署和配置运行以来,其CA 系统管理员由于不熟悉基本不对其进行配置管理, 导致CRL更新不及时,系统备份方案不灵活等;
2)存在操作员对于系统不熟悉不能熟练地配置 和操作各种安全防护设备和备份设备,有的甚至 不熟悉防火墙的系统配置,不能及时更新网络拓 扑结构图,留下系统安全隐患。
一、CA机构关键岗位管理现状分析
管理制度 不健全
岗位职责 不明晰
人员技能 不规范
人员岗位、职责、权限等方面的规定不够清晰、管 理不规范,如: (1)证书业务办理不规范:证书的申请受理、审 核由一人完成;证书办理由机构外部人员或合作伙 伴员工完成; (2)根密钥保护不规范: CA密钥的多人控制/备 份措施的实施不够彻底,目前还存在有的CA采用3 选3策略,并且三张私钥卡由同一人保存; (3)关键岗位职责不清:如有些机构的安全管理 员与数据录入、计算机操作以及系统分析员和程序 员等岗位混淆。
电子认证客户服务人员是指面向证书申请人提供受理、鉴别、 验证、证书制作、证书分发等服务的人员。
(二)电子认证服务人员基本要求
电子认证服务对从业人员提出的基本要求
具有较强的法律意识,熟悉《电子签名法》等法律法规; 具有较强的保密意识,对接触的资料、档案、文件等保密; 具有较强的安全意识,对密钥、网络、服务等的安全性时 刻牢记; 具有良好的个人信用记录;
电子认证服务管理办法
电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
第八条工业和信息化部对决定受理的申请材料进行实质审查。
090310_工信部1号令_电子认证服务管理办法
电子认证服务管理办法第一章 总 则第一条 为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条 本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条 中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章 电子认证服务机构第五条 电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条 申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条 工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
电子认证管理办法
中华人民共和国工业和信息化部令第1号《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,现予公布,自2009年3月31日起施行。
原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。
部长李毅中二〇〇九年二月二十八日电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
电子政务电子认证服务管理办法
电子政务电子认证服务管理办法文章属性•【制定机关】国家密码管理局•【公布日期】2024.09.04•【文号】国家密码管理局令第4号•【施行日期】2024.11.01•【效力等级】部门规章•【时效性】尚未生效•【主题分类】机关工作正文国家密码管理局令第4号《电子政务电子认证服务管理办法》已经2024年8月26日国家密码管理局局务会议审议通过,现予公布,自2024年11月1日起施行。
局长刘东方2024年9月4日电子政务电子认证服务管理办法第一章总则第一条为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,保障电子政务安全可靠,维护有关各方合法权益,根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规,制定本办法。
第二条在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。
第三条本办法所称电子政务电子认证服务,是指采用商用密码技术为政务活动提供电子签名认证服务,保证电子签名的真实性和可靠性的活动。
第四条从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。
第五条国家密码管理局对全国电子政务电子认证服务活动实施监督管理。
县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。
第二章资质认定第六条取得电子政务电子认证服务机构资质,应当符合下列条件:(一)具有企业法人或者事业单位法人资格;(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金;(三)具有与从事电子政务电子认证服务活动及其使用密码相适应的运营场所;(四)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;(五)具有30名以上与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员;(六)具有为政务活动提供长期电子政务电子认证服务的能力,包括持续保持财务状况良好、运营资金充足、设备设施稳定运行、专业人员队伍稳定,没有重大违法记录或者不良信用记录等;(七)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。
电子认证服务机构运营管理规范(国标)
电子认证服务机构运营管理规范(国标)2010年8月目次1 范围 (3)2 规范性引用文件 (3)3 术语和定义 (4)3.1 电子认证服务机构 certification authority (4)3.2 证书策略 certificate policy (4)3.3 电子认证业务规则 certification practice statement (4)3.4 证书撤销列表 certificate revocation list (4)3.5 自主访问控制 discretionary access control (4)3.6 数字证书 digital certificate (4)3.7 公钥基础设施 public key infrastructure (4)3.8 注册机构 registration authority (5)3.9 秘密分担 secret sharing (5)4缩略语 (5)5运营系统 (5)5.1 认证系统 (5)5.2 运营网络 (5)5.3 密码设备 (5)5.4 系统安全 (6)5.5 系统冗余与备份 (7)6运营场地与设施 (8)6.1 运营场地 (8)6.2 运营区域划分及要求 (8)6.3 安全监控系统 (9)6.4 环境保护与控制设施 (10)6.5 支撑设施 (10)6.6 RA场地安全 (11)7职能与角色 (11)7.1 必需的部门职能 (11)7.2 必须的岗位角色 (11)8认证业务管理 (12)8.1 业务规范和协议 (12)8.2 用户证书生命周期管理 (12)8.3 用户证书密钥管理 (14)8.4 CA密钥和证书管理 (15)8.5 客户隐私保护 (16)8.6 RA管理 (17)9安全管理 (17)9.1 安全策略与规划 (17)9.2 安全组织 (17)9.3 场地访问安全管理 (18)9.4 场地监控安全管理 (18)9.5 系统运维安全管理 (18)9.6 人员安全管理 (19)9.7 密码设备安全管理 (19)9.8 文档安全管理 (20)9.9 介质安全管理 (20)9.10 安全实施与监督 (21)10业务连续性控制 (21)10.1 概要 (21)10.2 业务连续性计划 (21)10.3 应急处理 (21)10.4 灾难恢复 (23)10.5 灾备中心 (23)11记录与审计 (23)11.1 记录保存 (24)11.2 记录的查阅 (24)11.3 记录归档 (24)11.4 记录销毁 (24)11.5 审计 (24)参考文献 (26)电子认证服务机构运营管理规范1 范围本标准规定了电子认证服务机构在运营管理方面的规范性要求。
电子认证服务机构从业人员岗位技能规范
电子认证服务机构从业人员岗位技能规范(试行)2010年10月目录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 数字证书 digital certificate (1)3.2 电子签名 electronic signature (1)3.3 电子认证服务 electronic certification service (1)3.4 电子认证服务机构electronic certification service authority (1)3.5 电子认证服务质量 electronic certification service quality (1)3.6 订户 subscriber (1)3.7 电子认证业务规则 Certification Practices Statement (CPS) (2)4 电子认证服务岗位总体说明 (3)4.1 服务岗位划分 (3)4.2 服务岗位重要性划分 (3)4.3 从业人员 (3)4.4 从业人员技能描述 (3)4.5 岗位安全性要求 (4)5 电子认证服务岗位设置与职能 (4)5.1 安全管理类岗位 (4)5.2 运行维护类岗位 (8)5.3 客户服务类岗位 (11)5.4 专业技术类岗位 (13)6 电子认证服务从业人员技能要求 (14)6.1 从业人员基本要求 (14)6.2 安全管理类岗位从业人员基本要求 (15)6.3 运行维护类岗位从业人员基本要求 (16)6.4 客户服务类岗位从业人员基本要求 (17)6.5 服务技术类岗位从业人员基本要求 (18)7 岗位安全要求 (18)7.1 岗位重要性 (18)7.2 职责分割 (18)7.3 多重控制 (20)7.4 从业人员安全管理要求 (20)电子认证服务机构从业人员岗位技能规范1 范围本规范规定了电子认证服务机构的从业人员岗位技能要求,内容包括:电子认证服务机构岗位设置与职能描述、电子认证服务从业人员界定、从业人员技能基本要求、关键岗位技能要求、安全要求和监督管理措施等。
电子政务电子认证服务管理办法
电子政务电子认证服务管理办法(试行)第一章总则第一条为了规范电子政务电子认证服务活动,依据(中华人民共和国电子签名法)、(商用密码管理条例)和国务院有关文件,制定本办法。
第二条本办法所称电子政务电子认证服务(以下简称认证服务),是指电子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。
电子政务电子认证服务包括面向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务。
第三条电子政务电子认证服务活动的电子认证基础设施、电子认证服务机构、电子认证服务应用等的管理,适用本办法。
第四条国家密码管理局负责全国电子政务电子认证服务活动的监督管理工作。
各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称省部密码管理部门)按照国家密码管理局的统一要求,负责本地区本部门电子政务电子认证服务活动的监督管理工作。
第二章基础设施第五条电子政务电子认证基础设施基于密码技术,由实现数字证书签发、注册审核和查询服务等功能的软硬件产品和系统组成。
认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。
第六条用于认证服务活动的电子政务电子认证基础设施应当具备以下条件:(一)符合电子政务电子认证体系建设总体规划布局要求;(二)采用国家密码管理局认定的商用密码产品;(三)由具有商用密码产品生产资质的单位承建;(四)符合(证书认证系统密码及其相关安全技术规范)等标准规范要求;(五)采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务;(六)支持电子政务电子认证源点的管理;(七)通过国家密码管理局安全性审查。
第七条省、自治区、直辖市密码管理部门确定的本地区电子政务电子认证基础设施,应当报经国家密码管理局批准。
第八条电子认证服务机构跨区域建设注册审核系统,应当经所服务的省、自治区、直辖市密码管理里部门批准第九条中央和国家机关有关部委原则上不再建设延伸到省、自治区、直辖市的电子认证基础设施。
电子认证服务管理办法全文
电子认证服务管理办法全文电子认证服务管理办法(全文)第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)企业法人营业执照副本及复印件。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
第八条工业和信息化部对决定受理的申请材料进行实质审查。
工业和信息化部电信设备认证中心服务规范
工业和信息化部电信设备认证中心服务规范
1.仪表大方,举止文明。
着装整洁大方,坐立姿势端正,办公环境整
洁有条理。
2.文明用语,礼貌交流。
交流时应使用礼貌用语,不得使用伤害感情、
激化矛盾、损害形象的语言。
3.态度热情,服务周到。
坚决杜绝脸难看、事难办、冷、硬、横、推。
4.严格考勤,作风严谨。
严格按照对外公示的时间办理业务,不在上
班时间从事与工作无关的活动。
5.施行首问负责制、一次告知制。
使服务对象得到迅速、简便、清晰
的服务。
6.施行受理单制度。
申请材料符合接收条件的,出具《材料接受单》;
申请材料不符合规定的,出具《材料补正告知书》;申请材料符合规定的,予以受理并出具《受理通知书》。
7.施行办结时限制。
对进网许可申请,5个工作日内出具审核意见;对
符合进网许可条件的,60日内核发进网许可证(含进网试用批文);
对企业订制的进网许可标志,7个工作日内制作完成。
8.廉洁自律,接受监督。
严格遵守国家及上级主管部门关于廉洁自律
的各项规定,严格杜绝吃拿卡要。
认真对待举报和投诉,对工作人员的违规行为,一经查实,严肃处理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
和人员技能规范
工业和信息化部信息安全协调司
主要内容
一、CA机构关键岗位管理现状分析
二、法律法规对CA机构关键岗位管理的要求
三、“规范”的目的、意义
四、“规范”的主要内容介绍
五、电子认证服务业关键岗位监督管理
电子认证服务行业发展背景
一、行业规模不断扩大
自2005年《电子签名法》颁布实施以来,我国获准从事电子认证服务的机构已经有30家,分布在全国21个省、自制区、直辖市。
实施“规范”的主要目的
三、“规范”的目的、意义
实施“规范”的意义
贯彻落实了《电子签名法》和相关法律法规,满足了对专业技术人员和管理人员的基本法律法规要求;
有效管理了电子认证服务业从业人员,推动了电子认证服务机构的规范化安全运营;
促进了电子认证服务质量的提高,推动了电子认证服务业健康、有序、规范发展。
四、“规范”的主要内容介绍
(一)电子认证服务人员划分
(二)电子认证服务人员基本要求
(三)电子认证服务机构十二个关键岗位
(四)关键岗位的职责及基本技能要求
(五)认证服务业从业人员监督管理
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
(一)电子认证服务人员划分
人员技能不规范
CA机构还存在岗位人员不具备很好完成岗位工作的技能,如:
1)CA系统自建立部署和配置运行以来,其CA系统管理员由于不熟悉基本不对其进行配置管理,导致CRL更新不及时,系统备份方案不灵活等;
2)存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备,有的甚至不熟悉防火墙的系统配置,不能及时更新网络拓扑结构图,留下系统安全隐患。
四、应用领域更加广泛
广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签约、供应链管理等领域。
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
人员技能不规范
(1)多数CA均编写了大量的管理制度文档,但是未成体系,而且对关键岗位没有明确的职责划分或技能要求不规范;
二、法律规章不断完善
《电子认证服务管理办法》(1号令)
《电子认证服务业务承接管理办法》
《电子认证业务规则规范(试行)》
《电子认证服务许可审查流程(暂行)》
《电子认证服务机构监督检查指引(试行)》
……
电子认证服务行业发展背景
三、数字证书的规模不断扩大
2005年我国数字证书发放量为260万张,2006年累计达到546万张,2007年790万张,2008年累计达到1100万张,至今累计达到1300万张,其中有效证书834万张,占证书总量的641></a>.2%。
*在招聘充当可信角色或其他重要角色的人员时所需背景审查程序,这些角色可能要求调查其犯罪记录、档案。
*招聘人员后对每个角色的培训要求和过程。
*在完成原始培训后对每个角色的再培训周期和过程。
*在不同角色间的工作轮换周期和顺序
*对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。
*对独立签约者而非实体内部人员的控制。
综上,CA机构的关键岗位管理存在较大的安全隐患!
二、法律法规对CA机构ຫໍສະໝຸດ 键岗位管理的要求第五条规定:电子认证服务机构应当具备的条件:具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
第三十五条规定:电子认证服务机构在关键岗位人员变动时应当及时向工业和信息化部报告;
(2)根密钥保护不规范:CA密钥的多人控制/备份措施的实施不够彻底,目前还存在有的CA采用3选3策略,并且三张私钥卡由同一人保存;
(3)关键岗位职责不清:如有些机构的安全管理员与数据录入、计算机操作以及系统分析员和程序员等岗位混淆。
人员技能不规范
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证安全管理人员是指电子认证服务机构安全策略委员会成员,以及安全经理、密钥管理人员、物理环境安全管理人员等。
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证客户服务人员是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发等服务的人员。
*在原始培训、再培训和其他过程中提供给员工的文档。
二、法律法规对CA机构关键岗位管理的要求
《电子认证业务规则规范》
三、“规范”的目的、意义
贯彻落实《电子签名法》中“具有与提供电子认证服务相适应的专业技术人员和管理人员”的基本要求,对CA认证机构的与提供电子认证服务直接相关的从业人员包括专业技术人员、运维管理人员、安全管理人员、客户服务人员等的岗位设置、职责明确、技能要求等进行规范,建立一套满足电子认证服务业实际要求的从业人员管理体系,指导电子认证服务机构安全运营和规范服务,促进电子认证服务整体质量水平的提高。
(2)目前还有CA机构没有建立CPS安全策略委员会,或者即使存在,但也没有对CPS维护相关的职责和权限进行明确划分。
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
人员岗位、职责、权限等方面的规定不够清晰、管理不规范,如:
(1)证书业务办理不规范:证书的申请受理、审核由一人完成;证书办理由机构外部人员或合作伙伴员工完成;
第三十六条规定:电子认证服务机构应当对其从业人员进行岗位培训。
第十七条规定:提供电子认证服务,应当具有与提供电子认证服务相适应的专业技术人员和管理人员;
《中华人民共和国电子签名法》
《电子认证服务管理办法》
人员控制规定:
*对于充当可信角色或其他重要角色的人员,其需要具备的资格、经历和无过失要求,例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证专业技术人员是指对电子认证服务系统(CA系统)进行研究、管理、应用开发,保障电子认证服务系统稳定运行和应用实施的人员。
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证运营管理人员是指对信息系统、网络系统、物理环境进行日常维护,保障电子认证服务业务连续性的人员。