电子认证服务机构关键业务岗位设置
和人员技能规范
工业和信息化部信息安全协调司
主要内容
一、CA机构关键岗位管理现状分析
二、法律法规对CA机构关键岗位管理的要求
三、“规范”的目的、意义
四、“规范”的主要内容介绍
五、电子认证服务业关键岗位监督管理
电子认证服务行业发展背景
一、行业规模不断扩大
自2005年《电子签名法》颁布实施以来，我国获准从事电子认证服务的机构已经有30家，分布在全国21个省、自制区、直辖市。
实施“规范”的主要目的
三、“规范”的目的、意义
实施“规范”的意义
贯彻落实了《电子签名法》和相关法律法规，满足了对专业技术人员和管理人员的基本法律法规要求；
有效管理了电子认证服务业从业人员，推动了电子认证服务机构的规范化安全运营；
促进了电子认证服务质量的提高，推动了电子认证服务业健康、有序、规范发展。
四、“规范”的主要内容介绍
（一）电子认证服务人员划分
（二）电子认证服务人员基本要求
（三）电子认证服务机构十二个关键岗位
（四）关键岗位的职责及基本技能要求
（五）认证服务业从业人员监督管理
（一）电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
（一）电子认证服务人员划分
人员技能不规范
CA机构还存在岗位人员不具备很好完成岗位工作的技能，如：
1）CA系统自建立部署和配置运行以来，其CA系统管理员由于不熟悉基本不对其进行配置管理，导致CRL更新不及时，系统备份方案不灵活等；
2）存在操作员对于系统不熟悉不能熟练地配置和操作各种安全防护设备和备份设备，有的甚至不熟悉防火墙的系统配置，不能及时更新网络拓扑结构图，留下系统安全隐患。
四、应用领域更加广泛
广泛应用到电子政务网上报税、报关、报检以及电子商务网络银行、网上招投标、网上签约、供应链管理等领域。
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
人员技能不规范
（1）多数CA均编写了大量的管理制度文档，但是未成体系，而且对关键岗位没有明确的职责划分或技能要求不规范；
二、法律规章不断完善
《电子认证服务管理办法》（1号令）
《电子认证服务业务承接管理办法》
《电子认证业务规则规范（试行）》
《电子认证服务许可审查流程（暂行）》
《电子认证服务机构监督检查指引（试行）》
……
电子认证服务行业发展背景
三、数字证书的规模不断扩大
2005年我国数字证书发放量为260万张，2006年累计达到546万张，2007年790万张，2008年累计达到1100万张，至今累计达到1300万张，其中有效证书834万张，占证书总量的641></a>.2%。
*在招聘充当可信角色或其他重要角色的人员时所需背景审查程序，这些角色可能要求调查其犯罪记录、档案。
*招聘人员后对每个角色的培训要求和过程。
*在完成原始培训后对每个角色的再培训周期和过程。
*在不同角色间的工作轮换周期和顺序
*对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等。
*对独立签约者而非实体内部人员的控制。
综上，CA机构的关键岗位管理存在较大的安全隐患！
二、法律法规对CA机构ຫໍສະໝຸດ 键岗位管理的要求第五条规定：电子认证服务机构应当具备的条件：具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。
第三十五条规定：电子认证服务机构在关键岗位人员变动时应当及时向工业和信息化部报告；
（2）根密钥保护不规范：CA密钥的多人控制/备份措施的实施不够彻底，目前还存在有的CA采用3选3策略，并且三张私钥卡由同一人保存；
（3）关键岗位职责不清：如有些机构的安全管理员与数据录入、计算机操作以及系统分析员和程序员等岗位混淆。
人员技能不规范
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
（一）电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证安全管理人员是指电子认证服务机构安全策略委员会成员，以及安全经理、密钥管理人员、物理环境安全管理人员等。
（一）电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证客户服务人员是指面向证书申请人提供受理、鉴别、验证、证书制作、证书分发等服务的人员。
*在原始培训、再培训和其他过程中提供给员工的文档。
二、法律法规对CA机构关键岗位管理的要求
《电子认证业务规则规范》
三、“规范”的目的、意义
贯彻落实《电子签名法》中“具有与提供电子认证服务相适应的专业技术人员和管理人员”的基本要求，对CA认证机构的与提供电子认证服务直接相关的从业人员包括专业技术人员、运维管理人员、安全管理人员、客户服务人员等的岗位设置、职责明确、技能要求等进行规范，建立一套满足电子认证服务业实际要求的从业人员管理体系，指导电子认证服务机构安全运营和规范服务，促进电子认证服务整体质量水平的提高。
（2）目前还有CA机构没有建立CPS安全策略委员会，或者即使存在，但也没有对CPS维护相关的职责和权限进行明确划分。
一、CA机构关键岗位管理现状分析
管理制度不健全
岗位职责不明晰
人员岗位、职责、权限等方面的规定不够清晰、管理不规范，如：
（1）证书业务办理不规范：证书的申请受理、审核由一人完成；证书办理由机构外部人员或合作伙伴员工完成；
第三十六条规定：电子认证服务机构应当对其从业人员进行岗位培训。
第十七条规定：提供电子认证服务，应当具有与提供电子认证服务相适应的专业技术人员和管理人员；
《中华人民共和国电子签名法》
《电子认证服务管理办法》
人员控制规定：
*对于充当可信角色或其他重要角色的人员，其需要具备的资格、经历和无过失要求，例如对这些职位的候选者所需具备的信任证明、工作经历和官方凭证。
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证专业技术人员是指对电子认证服务系统（CA系统）进行研究、管理、应用开发，保障电子认证服务系统稳定运行和应用实施的人员。
（一）电子认证服务人员划分
专业技术人员
安全管理人员
运营管理人员
客户服务人员
电子认证服务机构
电子认证运营管理人员是指对信息系统、网络系统、物理环境进行日常维护，保障电子认证服务业务连续性的人员。