电子认证服务机构关键业务岗位设置和人员技能规范_[全文]
电子认证服务管理办法版
电子认证服务管理办法最新版电子认证服务管理办法(最新版)电子认证服务管理办法(最新版)第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)企业法人营业执照副本及复印件。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
电子认证服务管理办法(征求意见稿)
电子认证服务管理办法(修订征求意见稿)第一章总则第一条为了加强对电子认证服务活动的管理,规范电子认证服务行为,保障电子签名的可靠性,根据《中华人民共和国电子签名法》,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性证明的活动。
从事电子认证服务的机构应当遵循客观独立、公正公开、诚实信用的原则开展认证业务。
第三条在中华人民共和国境内设立电子认证服务机构,提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务活动实施监督管理。
各省、自治区、直辖市工业和信息化主管部门根据工业和信息化部的委托,承担本行政区域内电子认证服务活动的监督管理。
第二章电子认证服务许可第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合岗位技能规范要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的软件系统和硬件设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)电子认证服务许可申请。
(二)电子认证服务工作人员证明。
(三)资金证明(工商营业执照复印件,经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明(房屋产权证明或租赁合同)。
(五)国家有关认证检测机构出具的软件系统、硬件设备、物理环境符合国家有关安全标准的证明文件。
(六)国家密码管理机构同意使用密码的证明文件。
(七)认证业务发展计划。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
电子认证服务机构从业人员岗位技能规范
GB/T ××××—××××电子认证服务机构从业人员岗位技能规范(试行)2010年10月GB/T ××××—××××目录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 数字证书 digital certificate (1)3.2 电子签名 electronic signature (1)3.3 电子认证服务 electronic certification service (1)3.4 电子认证服务机构electronic certification service authority (1)3.5 电子认证服务质量 electronic certification service quality (1)3.6 订户 subscriber (1)3.7 电子认证业务规则 Certification Practices Statement (CPS) (2)4 电子认证服务岗位总体说明 (3)4.1 服务岗位划分 (3)4.2 服务岗位重要性划分 (3)4.3 从业人员 (3)4.4 从业人员技能描述 (3)4.5 岗位安全性要求 (4)5 电子认证服务岗位设置与职能 (4)5.1 安全管理类岗位 (4)5.2 运行维护类岗位 (8)5.3 客户服务类岗位 (11)5.4 专业技术类岗位 (13)6 电子认证服务从业人员技能要求 (14)6.1 从业人员基本要求 (14)6.2 安全管理类岗位从业人员基本要求 (15)6.3 运行维护类岗位从业人员基本要求 (16)6.4 客户服务类岗位从业人员基本要求 (17)6.5 服务技术类岗位从业人员基本要求 (18)7 岗位安全要求 (18)7.1 岗位重要性 (18)7.2 职责分割 (18)7.3 多重控制 (19)7.4 从业人员安全管理要求 (20)电子认证服务机构从业人员岗位技能规范1 范围本规范规定了电子认证服务机构的从业人员岗位技能要求,内容包括:电子认证服务机构岗位设置与职能描述、电子认证服务从业人员界定、从业人员技能基本要求、关键岗位技能要求、安全要求和监督管理措施等。
电子认证管理办法
中华人民共和国工业和信息化部令第1号《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,现予公布,自2009年3月31日起施行。
原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。
部长李毅中二〇〇九年二月二十八日电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
电子认证业务规则规范
电子认证业务规则规范导言:随着互联网的快速发展,电子商务交易的兴起,个人信息的保护和交易安全问题愈发凸显。
为了确保电子交易的真实性、完整性和可靠性,电子认证技术应运而生。
本文旨在探讨电子认证业务规则规范的重要性及其应遵循的原则与措施。
一、电子认证的定义与背景电子认证是指通过密码学技术和数字证书,对电子文件、数据或行为进行验证和确认的过程。
其目的是为了确保电子交易的安全性和合法性,同时打击电子欺诈和伪造行为。
电子认证技术通常包括数字证书、数字签名、时间戳等,这些技术可以确保电子文档的真实性、完整性和不可否认性。
二、电子认证业务规则的重要性1. 保护个人隐私和信息安全电子认证业务规则的制定可以确保用户的个人隐私和敏感信息不被滥用和泄露。
通过严格的身份验证、合规审核和数据加密等措施,可以有效防止个人信息被盗用、冒用或篡改。
2. 提升电子交易的可信度与合法性电子认证业务规则的执行可以强化电子交易的可信度与合法性,减少虚假交易、欺诈行为和合同纠纷的发生。
通过对参与方身份的认证、交易行为的可追溯性以及文件的签名和时间戳等措施,可以确保交易的真实、有效,并为法律追责提供有效证据。
3. 促进经济发展和数字化转型电子认证业务规则的规范可以促进电子商务的发展和数字化转型。
通过确保电子交易的可靠性和安全性,有助于增加企业和个人的信任度,提升市场活力,促进互联网经济的繁荣。
三、电子认证业务规则的原则与措施1. 身份验证原则在进行电子认证时,必须验证参与方的身份信息,确保其真实性和合法性。
可以采用实名认证、机构验证、人脸识别等方式进行身份验证,对于用户提供的信息进行严格审核和核实。
2. 数据保护原则电子认证过程中产生的个人数据应受到严格的保护,不得被滥用、篡改或泄露。
相关机构和业务提供者应制定有效的数据保护措施,如数据加密、安全传输、访问权限控制等,确保用户数据的安全性与隐私权。
3. 可追溯与可证明原则电子认证系统应具备可追溯和可证明的特性,即可追踪到交易双方的身份和行为,并能提供可信的证据。
电子认证服务机构关键业务岗位设置和人员技能规范
三、“规范”的目的、意义
实施“规范”的意义
贯彻落实了《电子签名法》和相关法律法规,满足了对专业 技术人员和管理人员的基本法律法规要求; 有效管理了电子认证服务业从业人员,推动了电子认证服务 机构的规范化安全运营; 促进了电子认证服务质量的提高,推动了电子认证服务业健 康、有序、规范发展。
四、“规范”的主要内容介绍
一、CA机构关键岗位管理现状分析
管理制度 不健全
岗位职责 不明晰
人员技能 不规范
CA机构还存在岗位人员不具备很好完成岗位工 作的技能,如: 1)CA系统自建立部署和配置运行以来,其CA 系统管理员由于不熟悉基本不对其进行配置管理, 导致CRL更新不及时,系统备份方案不灵活等;
2)存在操作员对于系统不熟悉不能熟练地配置 和操作各种安全防护设备和备份设备,有的甚至 不熟悉防火墙的系统配置,不能及时更新网络拓 扑结构图,留下系统安全隐患。
一、CA机构关键岗位管理现状分析
管理制度 不健全
岗位职责 不明晰
人员技能 不规范
人员岗位、职责、权限等方面的规定不够清晰、管 理不规范,如: (1)证书业务办理不规范:证书的申请受理、审 核由一人完成;证书办理由机构外部人员或合作伙 伴员工完成; (2)根密钥保护不规范: CA密钥的多人控制/备 份措施的实施不够彻底,目前还存在有的CA采用3 选3策略,并且三张私钥卡由同一人保存; (3)关键岗位职责不清:如有些机构的安全管理 员与数据录入、计算机操作以及系统分析员和程序 员等岗位混淆。
电子认证客户服务人员是指面向证书申请人提供受理、鉴别、 验证、证书制作、证书分发等服务的人员。
(二)电子认证服务人员基本要求
电子认证服务对从业人员提出的基本要求
具有较强的法律意识,熟悉《电子签名法》等法律法规; 具有较强的保密意识,对接触的资料、档案、文件等保密; 具有较强的安全意识,对密钥、网络、服务等的安全性时 刻牢记; 具有良好的个人信用记录;
电子认证服务管理办法
电子认证服务管理办法第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章电子认证服务机构第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
第八条工业和信息化部对决定受理的申请材料进行实质审查。
090310_工信部1号令_电子认证服务管理办法
电子认证服务管理办法第一章 总 则第一条 为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条 本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条 中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章 电子认证服务机构第五条 电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。
从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条 申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条 工业和信息化部对提交的申请材料进行形式审查。
申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
和人员技能规范
工业和信息化部信息安全协调司
主要内容
一、CA机构关键岗位管理现状分析
二、法律法规对CA机构关键岗位管理的要求
三、“规范”的目的、意义
四、“规范”的主要内容介绍
五、电子认证服务业关键岗位监督管理
电子认证服务行业发展背景
一、行业规模不断扩大
自2005年《电子签名法》颁布实施以来,我国获准从事电子认证服务的机构已经有30家,分布在全国21个省、自制区、直辖市。
实施“规范”的主要目的
三、“规范”的目的、意义
实施“规范”的意义
贯彻落实了《电子签名法》和相关法律法规,满足了对专业技术人员和管理人员的基本法律法规要求;
有效管理了电子认证服务业从业人员,推动了电子认证服务机构的规范化安全运营;
促进了电子认证服务质量的提高,推动了电子认证服务业健康、有序、规范发展。
四、“规范”的主要内容介绍
(一)电子认证服务人员划分
(二)电子认证服务人员基本要求
(三)电子认证服务机构十二个关键岗位
(四)关键岗位的职责及基本技能要求
(五)认证服务业从业人员监督管理
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
(一)电子认证服务人员划分
人员技能不规范
CA机构还存在岗位人员不具备很好完成岗位工作的技能,如:
1)CA系统自建立部署和配置运行以来,其CA系统管理员由于不熟悉基本不对其进行配置管理,导致CRL更新不及时,系统备份方案不灵活等;
2)存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备,有的甚至不熟悉防火墙的系统配置,不能及时更新网络拓扑结构图,留下系统安全隐患。
四、应用领域更加广泛
广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签约、供应链管理等领域。
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
人员技能不规范
(1)多数CA均编写了大量的管理制度文档,但是未成体系,而且对关键岗位没有明确的职责划分或技能要求不规范;
二、法律规章不断完善
《电子认证服务管理办法》(1号令)
《电子认证服务业务承接管理办法》
《电子认证业务规则规范(试行)》
《电子认证服务许可审查流程(暂行)》
《电子认证服务机构监督检查指引(试行)》
……
电子认证服务行业发展背景
三、数字证书的规模不断扩大
2005年我国数字证书发放量为260万张,2006年累计达到546万张,2007年790万张,2008年累计达到1100万张,至今累计达到1300万张,其中有效证书834万张,占证书总量的641></a>.2%。
*在招聘充当可信角色或其他重要角色的人员时所需背景审查程序,这些角色可能要求调查其犯罪记录、档案。
*招聘人员后对每个角色的培训要求和过程。
*在完成原始培训后对每个角色的再培训周期和过程。
*在不同角色间的工作轮换周期和顺序
*对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。
*对独立签约者而非实体内部人员的控制。
综上,CA机构的关键岗位管理存在较大的安全隐患!
二、法律法规对CA机构ຫໍສະໝຸດ 键岗位管理的要求第五条规定:电子认证服务机构应当具备的条件:具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
第三十五条规定:电子认证服务机构在关键岗位人员变动时应当及时向工业和信息化部报告;
(2)根密钥保护不规范:CA密钥的多人控制/备份措施的实施不够彻底,目前还存在有的CA采用3选3策略,并且三张私钥卡由同一人保存;
(3)关键岗位职责不清:如有些机构的安全管理员与数据录入、计算机操作以及系统分析员和程序员等岗位混淆。
人员技能不规范
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证安全管理人员是指电子认证服务机构安全策略委员会成员,以及安全经理、密钥管理人员、物理环境安全管理人员等。
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证客户服务人员是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发等服务的人员。
*在原始培训、再培训和其他过程中提供给员工的文档。
二、法律法规对CA机构关键岗位管理的要求
《电子认证业务规则规范》
三、“规范”的目的、意义
贯彻落实《电子签名法》中“具有与提供电子认证服务相适应的专业技术人员和管理人员”的基本要求,对CA认证机构的与提供电子认证服务直接相关的从业人员包括专业技术人员、运维管理人员、安全管理人员、客户服务人员等的岗位设置、职责明确、技能要求等进行规范,建立一套满足电子认证服务业实际要求的从业人员管理体系,指导电子认证服务机构安全运营和规范服务,促进电子认证服务整体质量水平的提高。
(2)目前还有CA机构没有建立CPS安全策略委员会,或者即使存在,但也没有对CPS维护相关的职责和权限进行明确划分。
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
人员岗位、职责、权限等方面的规定不够清晰、管理不规范,如:
(1)证书业务办理不规范:证书的申请受理、审核由一人完成;证书办理由机构外部人员或合作伙伴员工完成;
第三十六条规定:电子认证服务机构应当对其从业人员进行岗位培训。
第十七条规定:提供电子认证服务,应当具有与提供电子认证服务相适应的专业技术人员和管理人员;
《中华人民共和国电子签名法》
《电子认证服务管理办法》
人员控制规定:
*对于充当可信角色或其他重要角色的人员,其需要具备的资格、经历和无过失要求,例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证专业技术人员是指对电子认证服务系统(CA系统)进行研究、管理、应用开发,保障电子认证服务系统稳定运行和应用实施的人员。
(一)电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证运营管理人员是指对信息系统、网络系统、物理环境进行日常维护,保障电子认证服务业务连续性的人员。