国家标准 GB/T35288一2017 信息安全技术电子认证服务机构从业人员岗位技能规范 Informationseeuritytechnology Speeifieationonthejobskillsofcertifieateauthority empl0yeeS 2017-12-29发布 2018-07-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/35288一2017 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位;北京天威诚信电子商务服务有限公司,北京天诚安信科技股份有限公司、电子信息产业发展研究院本标准主要起草人;唐志红、刘旭、刘权、白波,刘艳丽,许蕾、王亚静、陈韶光、金露
GB/35288一2017 信息安全技术电子认证服务机构从业人员岗位技能规范范围本标准规定了电子认证服务机构的岗位划分及从业人员岗位技能要求本标准适用于提供电子认证服务的机构规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T250562010信息安全技术证书认证系统密码及其相关安全技术规范 GB/T25069一2010信息安全技术术语 GB/T28447一2012信息安全技术电子认证服务机构运营管理规范术语和定义 GB/T25069一2010中界定的以及下列术语和定义适用于本文件 3.1 数字证书digitalcertifieate 由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、,有效期以及一些扩展信息的数字文件 3.2 电子签名 electronicsignature 数据电文中以电子形式所含、,所附用于识别签名人身份并表明签名人认可其中内容的数据 3.3 电子认证electroniccertifieation 采用电子技术检验用户真实性的操作 3.4 电子认证服务eleetroniecertifieationserviee 为电子签名相关各方提供真实性、可靠性验证的活动 3.5 电子认证服务机构certifriceationauthority 负责创建、分发证书并在必要时提供验证以证实用户身份的机构 3.6 电子认证服务质量最 electroniccertificatioservicequality 电子认证服务过程和结果满足明确的、隐含的要求所呈现的特征
GB/T35288一2017 3.7 订户sbseriber 从电子认证服务机构接收证书的实体 3.8 电子认证业务规则certifieationpractieesstatemment(CPs) 电子认证服务机构在提供电子认证服务时,在责任范围、作业操作规范、信息安全保障措施等方面所遵循的业务规则 3.9 可信雇员trustedemployee 根据CPS规定,对正式雇员及非正式雇员进行背景调查,调查结果符合如下要求的人员;没有伪造 S 教育、工作经历,没有违法犯罪记录,工作中没有严重的不诚实行为的缩略语下列缩略语适用于本文件认证机构(CertificeationAuthority) CA C 证书策略(CertifieatePoiey 认证业务规则(CertificationPracticeStatement 懒证书撤销列表(CertificateRevocationList) 频繁提及的问题(FrequentlyAskedQuestions) 密钥管理中心(KeyManagemmentCenter DAP 轻量级目录访问协议(LightweightD)irectoryAccessProtocol) KI 公钥基础设施(PublieKeyInfrastructure) R 注册机构(RegistrationAuthority) USBKEY采用USB接口的证书存储介质(UniversalSerialBusKEY) 5 电子认证服务岗位划分 5.1岗位划分电子认证服务岗位指依据GB/T25056一2010中对机构运营安全和系统安全管理要求,设置的能够支撑开展电子认证服务的相关岗位电子认证服务岗位划分成四类;安全管理类岗位、运行维护类岗位、客户服务类岗位、专业技术类岗位岗位划分如图1所示电子认证服务机构设置机构岗位时,不限于本标准规定的范围电子认证服务机构组织架构图可参考附录A
GB/35288一2017 运行维护类客户服务类专业技术类安全管理类安全策略管理组织物理环境维护岗位业务咨询服务岗位产品研发岗位负责人岗位网络维护岗位财务管理岗位业务办理服务岗位项目实施岗位可信雇员管理岗位系统维护岗位鉴证服务岗位安全经理岗位数据库管理岗位技术支持服务岗位客户档案管理岗仪运营审计岗位法律事务岗位密钥管理岗位客户培训岗位服务质量管理岗位电子认证服务机构从业人员岗位划分图 5.2岗位职责 5.2.1安全管理类岗位安全管理类岗位是提供安全、稳定、高质量的电子认证服务而进行的安全管理财务管理、可信雇员管理、运营管理、密钥管理、服务质量管理等相关安全管理岗位主要职责有: a 负责制定、发布、废止、批准,实施电子认证服务机构总体信息安全策略、安全管理制度,并监督、检查安全运营和生产活动监督管理财务运营状况,进行风险评估,并按照主管部门要求上报财务数据信息; b 制定可信雇员管理策略并监督执行,并按照主管部门要求上报可信雇员数据信息; c d 组织进行安全运营审计,发布审计报告; e 对机构的人员安全,场地安全等进行监控和审计; 维护证书私钥的生命周期及其物理安全和逻辑安全,确保所创建私钥和证书的完整性和可审 f 计性等 g 对业务办理、业务咨询等工作进行全流程质量跟踪及管理 5.2.2运行维护类岗位运行维护类岗位是对机构物理环境、网络系统、电子认证系统[包括数字证书(本标准中也简称为 “证书”)认证系统、密钥管理系统]和数据库系统等进行日常维护,保障电子认证服务业务连续稳定运行主要职责有 a 负责机电、门禁监控设备、消防设备等机电设备的管理及维护; 负责本机构网络的正常管理及维护; b 负责对电子认证系统进行维护,协调和监督电子认证系统和运营物理环境等基础设施正常运行; d 保障数据库系统正常运作
GB/T35288一2017 5.2.3客户服务类岗位客户服务类岗位是指面向证书服务申请人提供受理、鉴证、证书制作、证书分发以及提供相关技术支持、售后服务的岗位其主要职责有: 为客户提供业务咨询; a 负责证书业务办理; b c 对证书订户身份真实性、过程真实性进行鉴证,并对客户资料进行正确保管 d 解决订户在证书使用过程中的各种技术问题和电子认证系统故障提供的技术支持服务; 为客户提供电子认证服务培训; e 负责提供电子认证服务相关法律解读、咨询 5.2.4专业技术类岗位专业技术类岗位是指为保障订户不同需求而设置的产品、系统等技术研发、项目实施岗位其职责主要有负责电子认证服务产品、系统、集成接口等的开发工作 a b)负责为客户提供现场系统安装、部署、调试、测试以及上线运行工作 5.3岗位重要性划分 5.3.1划分依据依据国家法律法规及GB/T25056一2010和GB/T28447一2012的要求,对不同的岗位进行了重要性的划分,分为关键岗位,重要岗位和一般岗位3类其中关键岗位9个,重要岗位8个,一般岗位 3个不同岗位有不同的重要性要求如表1所示表1岗位重要性层次划分岗位类别关键岗位重要岗位 -般岗位安全策略管理组织负责人岗位财务管理岗位运营审计岗位安全管理类岗位可信雇员管理岗位服务质量管理岗位安全经理岗位密钥管理岗位系统维护岗位物理环境维护岗位运行维护类岗位数据库维护岗位网络维护岗位业务办理服务岗位鉴证服务岗位业务咨询服务岗位客户服务类岗位技术支持服务岗位客户档案管理岗位客户培训岗位法律事务岗位项目实施岗位产品研发岗位专业技术类岗位注:表中的“一”表示本标准不作规定表1中,关键岗位和重要岗位是需设置的一般岗位根据机构业务发展需要设置其中,关键岗位和重要岗位中,每个岗位不少于1人业务办理岗不少于2人,系统维护岗不少于2人,物理环境岗不少于3人,鉴证岗不少于2人其他岗位人员数量可根据机构业务发展需要设置
GB/35288一2017 5.3.2关键岗位法律法规、标准规范明确规定的提供电子认证服务的岗位 5.3.3重要岗位对电子认证服务水平有重大影响的岗位,该岗位在主管部门对机构的监管中有重要参考意义,是需设置的 5.3.4 一般岗位当需要时,电子认证服务机构设置的岗位 5.4岗位从业人员管理共性要求 5.4.1背景调查对经历犯罪记录、信用记录进行调查应将调查结果形成报告并归档,并应对调查报告保密背景调查应为周期性调查,宜以每3年为周期对全体雇员进行背景调查通过调查的员工人职时除了签署劳动合同,还应签署保密协议以及其他相关协议 5.4.2安全培训确定每个关键岗位、重要岗位和一般岗位的培训要求和流程、再培训的周期和流程培训要求如下 a 关键岗位 -应进行1个月的培训,培训的范围应与人员对应的职责相关电子认证服务机构应明确再培训周期和流程 b 重要岗位应进行1周2周的培训,培训的范围应与人员对应的职责相关电子认证服务机构应明确再培训周期和流程 -般岗位应进行2天3天的与安全相关的培训 5.4.3职责分割职责分割指根据知识分割、双重控制、最小权限的原则,限制某些岗位由同一组人员兼任的安全要求涉及职责分割的岗位主要有安全策略管理组织负责人岗位、财务管理岗位、,可信雇员管理岗位、安全经理岗位、密钥管理岗位、服务质量管理岗位、物理环境维护岗位网络维护岗位,鉴证服务岗位 5.4.4人员离职和转岗当发生人员离职或转岗时,应进行妥善的业务交接和权限的调整,并与其签订保密协议保证电子认证服务机构运营安全和资产不受影响 5.4.5人员异动所谓人员异动是指由于不可预测的事件导致员工不能履行职责或员工不辞而别电子认证服务机构应设置人员异动管理策略,要求关键岗位需设置备用人员,避免由于人员异动发生而影响电子认证服务机构运营
GB/T35288一2017 6 电子认证服务岗位技能要求 6.1安全管理类岗位 6.1.1安全策略管理组织负责人岗位 6.1.1.1 设置目的协调电子认证服务机构内部的运营管理人员、客户服务人员、服务管理人员等,组建安全策略管理组织,并进行CPS管理、监督执行,评估机构运营风险,应对突发情况管理依法对CPS进行管理和监督执行 6.1.1.2岗位职责该岗位属于关键岗位,其主要职责如下 -组建公司安全策略管理组织,并领导该组织工作; -负责定期组织制定和维护公司CPS,并监督执行有效控制公司运营风险,保证电子认证服务质量和业务连续性 6.1.1.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任,应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.1.1.4岗位技能要求岗位技能要求如下具有5年以上电子认证行业或相关行业高级管理工作经验应能理解电子认证服务机构、证书订户、证书依赖方权利和责任的规定能够正确理解电子认证方面的法规、规章和行业政策能够正确理解本机构的CPs; 掌握电子认证事故应急救教援和预案程序; 能够制定信息安全管理方针和策略; 能够正确采用风险管理的方法进行信息安全管理计划,实施、评审检查和改进 6.1.2财务管理岗位 6.1.2.1设置目的对机构的财务进行综合管理和风险评估,依法对电子认证服务机构的财务进行管理和风险评估,降低财务风险和机构运营风险 6.1.2.2岗位职责该岗位属于关键岗位,其主要职责如下财务制度的建立,更新和监督执行; -组织编制机构年度综合财务预算和控制标准; -编制财务报告,对机构的财务保障能力进行正确评估
GB/35288一2017 6.1.2.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任,应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.1.2.4岗位技能要求岗位技能要求如下会计,财务相关专业; -3年以上财务相关工作经验 -能够依照国家财务会计法规条例办理会计事务; 应独立进行全盘账务处理,合并报表和机构账务能够按照税务流程进行税务业务办理; 能够及时准确地对电子认证服务机构风险评估,降低财务风险和机构运营风险 6.1.3可信雇员管理岗位 6.1.3.1 设置目的依据可信雇员策略对机构各关键岗位,重要岗位、一般岗位人员进行安全管理的岗位,包括建立可信雇员管理制度.流程和规范,进行背景调查、人眼.培训、上岗.转岗、离眼等管理 6.1.3.2岗位职责该岗位属于关键岗位,其主要职责如下建立可信雇员策略,包括岗位可信雇员要求、,背景调查内容和程序; 在正式聘任员工授权接触公司重要资料前,证明其可信性,并签署员工保密协议建立每个工作岗位的工作范围及其责任,并确定关键岗位、重要岗位、一般岗位等不同职位的可信要求; 建立可信雇员培训制度及档案管理制度; 建立可信雇员异动管理制度,可信雇员离职后应立即删除其接触公司资料的权限建立可信雇员清单及所有雇员清单 6.1.3.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任,应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.1.3.4岗位技能要求岗位技能要求如下人力资源、劳动经济等相关管理类专业 -两年以上人事管理工作经验 -能够依据国家有关劳动、社保、可信雇员的政策法规进行人事管理; -能够协助领导进行人员的管理; 能够理解可信雇员管理的要求; 具有良好的沟通表达能力
GB/T35288一2017 6.1.4安全经理岗位 6.1.4.1 设置目的对本机构运营场地安全、人员安全、信息系统安全,通信系统安全,及重要IT资产安全进行日常监控和审计 6.1.4.2岗位职责该岗位属于关键岗位,其主要职责如下制定运营场地安全策略,包括物理访问控制电脑终端的安全接触,电力空调等设备的安全使用一制定人员安全策略,包括定义接触电子认证系统的各类安全角色和岗位,职责分割原则和权限控制机制定期检查物理访问权限和逻辑访问权限的设置情况,并对物理访问记录和系统操作日志进行审计; -对电子认证系统各类安全事件进行分级,建立各类安全事件报告、跟进策略及处理机制的应急响应计划,并定期测试、评估和更新此计划的内容制定通信安全管理策略、变更申请和批准流程,保证通信系统的可靠性,预防通信系统泄露信息,防止非授权使用通信系统监控各类介质包括光盘、硬盘、教盘、移动存储介质以及磁带等,防止被盗、毁坏,被修改、信息泄露未授权访问等情况发生; 制定风险管理策略,对涉及运营的各类风险进行分析,评估和分级,并提供解决方法对记录认证机构涉及运营条件和环境、密钥和证书生命周期管理的日志和事件进行监控和审计定期对相关人员开展安全培训对当前的安全策略和管理程序进行风险评估,并上报安全策略管理组织 6.1.4.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任,应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.1.4.4岗位技能要求岗位技能要求如下: 具有信息安全相关认证资质; 具有两年以上场地维护经验; 具有两年以上机房安全管理工作经验; 熟悉ISO27001管理体系、电子签名法、国家相关运营管理法规、标准等安全相关规范; -能够正确运用计算机网络、信息系统、PKI/CA知识实现信息安全管理; 能够对电子认证服务安全隐患排查及事故防范 -能够对电子认证事故进行应急救援与预案程序; -能够对电子认证事故进行统计,编制相关报告制度; 能够对机房运营安全制定相应的策略能够指导相关人员进行安全培训
GB/35288一2017 6.1.5运营审计岗位 6.1.5.1设置目的定期对电子认证系统进行安全审计,负责对涉及系统安全的事件、各类管理和操作人员的行为进行审计和监督,确保遵从法律和法规,降低运营风险,提高服务质量,保证运营的可持续性 6.1.5.2岗位职责该岗位属于重要岗位,依据包括电子认证服务机构发布和制定的所有与运营相关的安全策略、证书策略、电子认证业务规则等,以及国家法律法规和行业相关标准,对以下内容进行审计,并根据审计结果撰写审计报告和改进意见检查法律和法规方面的符合性,运营是否符合安全策略,证书策略、认证业务规则等评估服务能力和运营安全性,是否在人力资源、运营管理、技术,安全管理、财务等方面存在风险; -向安全策略管理组织提交审计报告 6.1.5.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任 6.1.5.4岗位技能要求岗位技能要求如下具有两年以上运营审计相关工作经验; 了解运营业务的各项制度、流程和系统; 能够对涉及系统安全等事件进行审计; 能够对服务和运营风险进行正确评估 6.1.6密钥管理岗位 6.1.6.1设置目的负责对电子认证私钥和证书的生命周期进行维护,及相关密码设备进行管理和操作维护电子认证私钥的物理安全和逻辑安全,确保所创建私钥和证书的完整性和可审计性等 6.1.6.2岗位职责该岗位属于关键岗位,其主要职责如下为电子认证服务机构及客户创建并维护电子认证密钥对和证书; 建立密码硬件设备的采购、使用、测试、维修、保管、报废等管理制度，维护所有密钥相关设备的安全可靠; 协助电子认证私钥的恢复工作; 建立当电子认证私钥可信性受威胁时的应变计划制定用户加密密钥查询和恢复管理策略和流程,配合获得授权的国家机构以规定的方式进行密钥查询和恢复 6.1.6.3安全管理要求该岗位应是可信雇员,该岗位人员包含密钥管理员和分管者两种密钥管理员具有电子认证私钥
GB/T35288一2017 的操作权限,而分管者持有电子认证私钥的密钥分割或密钥共享,这两类人员对电子认证私钥的激活、恢复实现了双重控制;应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.1.6.4岗位技能要求岗位技能要求如下具有计算机网络安全、信息安全技术等相关专业知识能够遵照国家的各项安全技术规范和标准对密钥进行管理能够正确使用本机构的加密设备具有一定的应急处理能力,能够对突发事件进行及时处理 6.1.7服务质量管理岗位设置目的 6.1.7.1 监督提供电子认证服务的各岗位职责和作业规范的执行,并进行客户满意度调查的岗位其设置目的是提高电子认证服务质量. 6.1.7.2岗位职责该岗位属于重要岗位应根据业务咨询服务岗位的职责规范进行质量跟踪和管理应根据业务办理服务岗位的职责规范进行质量跟踪和管理应根据鉴证服务岗位的职责规范进行质量跟踪和管理; 应根据技术支持服务岗位的职责规范进行质量跟踪和管理; 应进行定期或不定期进行用户满意度调查; 能够及时处理客户投诉 6.1.7.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任 6.1.7.4岗位技能要求岗位技能要求如下具有基本的PKI/cA知识、数字证书应用知识和计算机网络知识 -能够贯彻执行机构质量体系规范 -具有良好的写作能力和口头表达能力 6.2运行维护类岗位 6.2.1物理环境维护岗位 6.2.1.1 设置目的对本机构运营场地的门禁监控、照明、电力、空调消防、综合布线、静电防护,防雷,防灾等各项基础设施进行日常监控与维护保障运营场地、机电基础设施正常工作 6.2.1.2岗位职责该岗位属于重要岗位,其主要职责如下 10
GB/35288一2017 负责机电、门禁监控设备、消防设备等的管理及维护一根据访问控制策略,制定《访问控制管理办法》和《访问控制权限表》,管理本机构人员的物理访问权限以及外来人员的访问控制 -编写和更新各项应急预案; 场地工程建设和改造维护 6.2.1.3安全管理要求该岗位应是可信雇员,与其他岗位不可兼任 6.2.1.4岗位技能要求岗位技能要求如下机电相关专业; 持有电工特种作业操作证; 5 年以上机电、安全等工作经验; 能够正确运用《建筑设计防火规范民用建筑电气设计规范X电子信息系统机房设计规范》等国家的相关安全技术规范和标准; 具有1年以上建筑物、监控、消防方面的工作经验; -能够依据机电管理流程对机电等设备进行管理; 具有火灾,水灾防护等安全知识 6.2.2网络维护岗位 6.2.2.1 设置目的对本机构内外网络进行维护管理,制定网络策略,保障本机构网络的正常服务和IT设备的正常工作 6.2.2.2岗位职责该岗位属于重要岗位,其主要职责如下负责因特网的正常使用,网站发布; 正确配置防火墙,测试防火墙策略的有效性,保护CA内部网络域,防止未授权的访问正确配置电子认证系统和办公系统对提供的服务(如HTTP,F:TP等)进行正确配置,停止不需要提供的服务进程,关闭不需要使用的端口,使用路由控制和安全通道保护外部远程电脑访问建立检测和防护控制来防止病毒和恶意软件,并能提供适当的报警信息 6.2.2.3安全管理要求该岗位应是可信雇员,与其他岗位不能兼任 6.2.2.4岗位技能要求岗位技能要求如下具有信息安全相关认证资质; 具有两年以上计算机网络安全管理经验; -能够正确运用主流操作系统,能够正确配置DNS等常用服务 11
GB/T35288一2017 -能够正确运用计算机专业知识、PKI/CA安全专业知识能够正确运用网络安全策略 6.2.3系统维护岗位 6.2.3.1 设置目的对本机构办公系统、电子认证系统进行维护,协调和监督电子认证系统和运营物理环境等基础设施正常运行,维护电子认证系统的完整性,保障电子认证系统的正常运转 6.2.3.2岗位职责该岗位属于关键岗位,其主要职责如下 -硬件故障的排查及维修等; -定期检查系统及网络的稳定性、安全性及容量是否符合服务水平; -建立监控流程,确保记录并报告发现的或怀疑的、对系统或服务有威胁的安全缺陷 -建立并执行系统故障报告、处理流程监控电子认证系统的操作系统、备份系统的软硬件的正常运行,及时发现并排查故障加载系统根密钥、CA证书、CRL,更新RL,配置系统,分配权限等; -评估并上报对系统的安全性有影响的改动; 制定运维策略和流程,负责电子认证系统初始化和维护,以及安全设备、网络设备的正确配置; -定义系统逻辑访问控制的角色和相应的权限; 分析人侵检测系统的日志和问题,及时响应安全事件、调整安全策略; 建立并维护与电子认证系统功能相一致的测试系统建立系统升级,变更的审批策略和控制流程,制定新信息系统升级和新的版本验收标准,在投人电子认证系统正式使用前应作兼容性测试、功能性测试、安全性测试; 维护电子认证系统日志的完整性编制和维护运营场地资产清单,对重要IT资产的保管,使用、维护,报废、销毁进行监控挖 6.2.3.3安全管理要求该岗位应是可信雇员,可以兼任数据库维护岗位 6.2.3.4岗位技能要求岗位技能要求如下: 具有信息安全相应认证资质; -能够正确运用主流的操作系统、数据库具有计算机相关专业知识,PKI/CA安全专业知识; 具有两年以上运营维护和管理工作经验 -能够根据网络安全政策,保证网络系统安全; 具有风险管理能力,对于安全体系有较深的认识,能够进行风险评估,风险管理,解决系统潜在的隐患或漏洞等风险 6.2.4数据库维护岗位 6.2.4.1 设置目的维护本机构数据库系统,保障本机构数据库系统的正常运作 12
GB/35288一2017 6.2.4.2岗位职责该岗位属于关键岗位,其主要职责如下: -对数据库的运行状态,日志文件,备份情况,数据库的空间使用情况,系统资源的使用情况进行检查,发现并解决问题 -对数据库对象的空间扩展情况,数据的增长情况进行监控,对数据库做健康检查,对数据库对象的状态做检查; -对表和索引等进行分析,检查表空间碎片,进行数据库性能调整负责保障数据安全和服务稳定可用 6.2.4.3安全管理要求该岗位应是可信雇员,可以兼任系统维护岗位 6.2.4.4岗位技能要求岗位技能要求如下计算机、数学及相关专业具备两年以上大型数据库管理经验; 能够正确运用主流操作系统和数据库管理工具，能够运用主流的数据库在windows/Linux环境上安装、备份、恢复和调优的能力具有一定的网络存储系统的设计与规划能力具有根据业务发展情况设计系统存储备份灾难恢复方案的能力 6.3客户服务类岗位 6.3.1业务咨询服务岗位 6.3.1.1设置目的向用户提供电子认证服务业务介绍、业务办理流程,证书应用和电子认证服务相关法律法规的解读针对服务订户在业务办理前、业务办理中的各种需求,以及证书应用过程中的各种使用需求提供咨询服务 6.3.1.2岗位职责该岗位属于一般岗位其主要职责如下: 对证书业务的咨询应告知用户相应服务流程对证书应用业务的咨询应提供相应的宣传手册; 对电子签名法相关法律条文的咨询应能明确解答应明确告知申请者和电子认证服务提供者的责任与义务 6.3.1.3安全管理要求该岗位应是可信雇员,可以兼任客户培训岗位 6.3.1.4岗位技能要求岗位技能要求如下能够正确使用通用的办公软件; 13
GB/T35288一2017 具有基本的PKI/CA知识、数字证书应用知识及计算机网络基本知识; -能够正确理解《电子签名法》、《电子认证服务管理办法》等法律法规能够根据电子认证相关产品、系统的原理,确认客户需求,正确操作证书应用,基本问题解答; 良好的语言表达能力,人际交往能力和学习能力具有一定的应急处理能力,能够对突发事件进行及时处理 6.3.2业务办理服务岗位 6.3.2.1设置目的指针对证书订户提供包括证书申请、证书签发、证书更新、密钥更新、证书变更、证书撤销和挂起、证书有效性验证、密钥生成、备份和恢复等在内的各种服务 6.3.2.2岗位职责该岗位属于重要岗位业务办理服务应包括11个环节;证书申请、证书签发、证书更新、证书密钥更新、证书变更、证书撤销和挂起、证书有效性验证、密钥的生成、备份和恢复、证书补办、证书口令解锁 6.3.2.3安全管理要求该岗位应是可信雇员,可以兼任业务咨询岗位和技术支持服务岗位、客户档案管理岗位、客户培训岗位,应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.3.2.4岗位技能要求岗位技能要求如下: 具有基本的PKI/CcA知识及数字证书应用基本知识、计算机网络基本知识; 能够正确理解《电子签名法X电子认证服务管理办法》等法律法规; 能够根据电子认证相关产品、系统的原理,正确操作证书应用,基本问题解答; 具有人际交往能力、团队合作能力、解决问题能力、结果导向意识和成本意识 6.3.3鉴证服务岗位 6.3.3.1设置目的电子认证服务机构在业务办理过程中,对证书订户的身份真实性、过程真实性进行鉴证,以及对证书订户资料进行规范管理的服务确认客户身份的真实性;确认客户证书服务请求的真实性;确保证书签发给正确的实体 6.3.3.2岗位职责该岗位属于关键岗位,其主要职责如下对证书申请者的身份和其他属性进行鉴证;通过对用户提交的资质文件进行认证,以确认证书申请者的真实身份,同时对客户提交的申请信息进行确认对申请办理证书业务的人员进行身份关联鉴证和行为鉴证; 对鉴证资料进行收集、备案、归档和查询 6.3.3.3安全管理要求该岗位应是可信雇员,可以兼任业务办理服务岗位、技术支持服务岗位、客户档案管理岗位、客户培训岗位,与业务咨询服务岗位不可兼任 14
GB/35288一2017 对证书申请的审核批准工作由不同人员完成,实现了对证书签发的双重控制;该岗位应设置备用人员,避免由于人员异动而影响电子认证服务机构运营 6.3.3.4岗位技能要求岗位技能要求如下: 具有基本的PKI/CA知识及数字证书应用基本知识; 具有计算机网络基本知识; 能够正确理解《电子签名法电子认证服务管理办法》等法律法规; 能够根据电子认证相关产品、系统的原理,正确操作证书应用、基本问题解答; 具有基本的法律常识和较强的风险意识; 具有良好的沟通能力,分析判断能力、团队协作能力、解决问题能力和计划执行能力 6.3.4技术支持服务岗位 6.3.4.1设置目的电子认证服务机构在提供电子认证服务时提供相关的技术支持,包括数字证书管理、数字证书使用、证书存储介质硬件设备使用、电子认证系统使用以及各类数字证书应用(如,证书登录,证书加、数字签名和安全邮件等)等为解决订户在证书使用过程中的各种技术问题和电子认证系统故障提供的技术支持服务 6.3.4.2岗位职责该岗位属于重要岗位主要解决证书使用问题和电子认证系统故障两大方面问题;明确对一般事件、,严重事件、重大事件的处理流程和响应时间,以最大程度不影响客户使用为准则;形式上采用电话支持、远程协助支持,现场支持等 6.3.4.3安全管理要求该岗位应是可信雇员,可以兼任业务咨询服务岗位、业务办理服务岗位、鉴证服务岗位、客户档案管理岗位、客户培训岗位 6.3.4.4岗位技能要求岗位技能要求如下具有基本的PK1/CA知识及数字证书应用基本知识: 具有计算机网络基本知识; 能够正确理解《电子签名法电子认证服务管理办法》等法律法规能够根据电子认证相关产品、系统的原理,正确操作证书应用,基本问题解答; 能够使用至少一种通用的开发语言; 能够使用至少两种通用的数据库; 能够使用至少一种web服务器; 能够使用至少一种通用的操作系统; 具有良好的沟通能力具有独立分析问题和解决问题的能力 15
GB/T35288一2017 6.3.5客户档案管理岗位 6.3.5.1 设置目的保管本机构客户的提交资料、证书使用情况等相关文件 6.3.5.2 岗位职责该岗位属于重要岗位其主要职责是负责建立和维护客户档案资料,管理客户档案借阅工作等 6.3.5.3 安全管理要求该岗位应是可信雇员,可以兼任业务咨询岗位、业务办理服务岗位、鉴证服务岗位、技术支持服务岗位、客户培训岗位,应设置备用人员,避免由于人员异动影响电子认证服务机构运营 6.3.5.4岗位技能要求岗位技能要求如下具有基本的PKI/CA知识及数字证书应用基本知识; 能够正确理解《电子签名法X电子认证服务管理办法》等法律达规; 能够正确操作证书应用,进行基本问题解答; -具有档案管理基础知识和工作经验能够正确操作证书应用、基本问题解答 6.3.6客户培训岗位 6.3.6.1设置目的为了客户更好的理解电子签名和相关法律法规环境,向其提供PKI技术,法律以及相关电子认证服务培训,通过提供相关培训,提高电子签名人的应用水平 6.3.6.2岗位职责该岗位属于一般岗位其主要职责如下提供PKI/CA相关技术培训 -提供《电子签名法》等法律法规培训 -提供与客户相关的电子认证服务培训 6.3.6.3安全管理要求该岗位应是可信雇员,可以兼任业务咨询服务岗位、鉴证服务岗位、技术支持服务岗位、客户档案管理岗位 6.3.6.4岗位技能要求岗位技能要求如下能够正确运用PKI/CA知识、数字证书应用基本知识及计算机网络知识; -能够正确解读电子认证方面的法律法规和规章制度能够正确理解电子认证证书服务体系及相关应用,理解证书服务的本质内容具有两年以上客户培训经验; 具有基本的法律常识; 16
GB/35288一2017 良好的客户导向、组织协调能力和解决问题的能力 6.3.7法律事务岗位 6.3.7.1 设置目的提供法律相关内容的解读、咨询,提供电子认证服务 6.3.7.2岗位职责该岗位属于重要岗位其职责主要有: -提供电子认证服务法律合规性保障; 向客户讲解分析《电子签名法》等法律法规; -向客户提供法律咨询和司法援助负责法律风险防范,构建法律风险防范体系,及时对法律风险进行预警,分析和建议负责对法律纠纷的处理 6.3.7.3安全管理要求该岗位应是可信雇员,可以兼任业务办理服务岗位、业务咨询服务岗位、鉴证服务岗位、技术支持服务岗位、客户档案管理岗位、客户培训岗位 6.3.7.4岗位技能要求岗位技能要求如下法律专业,具有专业律师资格证书; 能够正确理解《电子签名法》等法律法规中对电子认证服务机构、证书订户证书依赖方权利和责任等内容; 能够正确理解电子认证服务机构运营体系; 能够独立起草,修改合同及法律文书能够独立承担纠纷诉讼案件; 能够恰当处理各种社会关系的能力具有良好的语言表达能力和文字表达能力 6.4专业技术类岗位 6.4.1产品研发岗位 6.4.1.1设置目的顺应客户需要,完善电子认证服务的产品线,提高电子认证服务的层次和水平 6.4.1.2岗位职责该岗位属于一般岗位,其主要职责如下电子认证服务产品、系统的研发电子认证服务产品、系统维护和升级支撑项目实施人员完成实施任务 6.4.1.3安全管理要求该岗位应是可信雇员,可以兼任业务咨询岗位、业务办理岗位、技术支持岗位、客户培训岗位 17
GB/T35288一2017 6.4.1.4岗位技能要求岗位技能要求如下 -具有计算机相关专业知识、,PKI/CA安全专业知识具有2年以上技术研发相关经验; 具有1年以上软件项目管理经验 -能够使用至少2种开发语言和相关开发工具; 具有使用通用的开源框架的能力和经验; -能够使用主流的数据库进行设计开发; -能够正确理解国内各项安全规范和标准; 能够正确理解电子认证方面的法律,法规和规章; -能够正确阅读该岗位所需知识的英文文档 6.4.2项目实施岗位 6.4.2.1 设置目的降低电子签名技术难点,为电子签名人提供完整的技术支持和服务也将会提高客户满意度 6.4.2.2岗位职责该岗位属于重要岗位,其主要职责如下调配机构资源,完成客户项目实施现场进行系统安装、部署和测试根据客户不同需求,进行现场系统配置和修改; 解决项目实施中的突发问题提供相关的系统培训 6.4.2.3安全管理要求该岗位应是可信雇员,可以兼任业务咨询服务岗位、业务办理服务岗位、技术支持服务岗位、客户培训岗位 6.4.2.4岗位技能要求岗位技能要求如下: 1年以上软件项目管理经验; -能够正确理解电子认证方面的法律、法规和规章制度具有计算机相关专业知识,PKI/CA安全专业知识; -能够使用至少3种主流的开发语言; 具备数据库基础知识; 具备网络基础知识; -能够使用主流的操作系统 -能够正确阅读该岗位所需知识的英文文档 18
GB/35288一2017 录附 A 资料性附录某电子认证服务机构组织架构示意图某电子认证服务机构组织架构示意图见图A.1 电子认证服务机构安全策略管理组织安全策略管理组织负责人本经理、财务经安全管理部运营管理部客户服务部技术研发部项目实施部人事管理部财务管理部项目实施业务咨询安全经理研发工程师人事经理财务经理服务专员工程师物理环境细护管理员业务办理运营审计员服务专员网路家全管理员贾密钥管理员系综维护管理员技术支服展管理员服务专员数管理员客户档案管理专页客户培训专员法务专员图A.1 19
GB/T35288一2017 参考文献 [1]GB/T19713一2005信息技术安全技术公钥基础设施在线证书状态协议 [7 GB/19714一2005信息技术安全技术公钥基础设施证书管理协议 [时 GB/T19771一2005信息技术安全技术公钥基础设施PKI组件最小互操作规范 n GB/T202692006 信息安全技术信息系统安全管理要求 [ GB/T202712006 信息安全技术信息系统通用安全技术要求 io GB/T205182006信息安全技术公钥基础设施数字证书格式 [m GB/T209842007 信息安全技术信息安全风险评估规范 [时 GBZ20985一2007信息技术安全技术信息安全事件管理指南 GB/Z209862007 信息安全技术信息安全事件分类分级指南 GB/Z209882007 信息安全技术信息系统灾难恢复规范 i" GB/T210532007 信息安全技术公钥基础设施PK1系统安全等级保护技术要求 " 信息安全技术公钥基础设胞PKI系统安全等级保护评估准则 GB/T21054 2007 [的信息安全技术电子认证服务机构运营管理规范 GB/T284472012 信息安全技术公钥基础设施数字证书策略分类分级规范 GB/T315082015 [I电子认证服务管理办法(T业和信息化部令第 29号 [16]电子签名法(主席令第18号》 [17]电子认证服务密码管理办法[国家密码管理局公告(第17号),2009年] 18]电子政务电子认证服务质量评估要求(国家密码管理局局字489,2009年 [19]电子政务电子认证服务业务规则(国家密码管理局局字488,2010年) 20

信息安全技术电子认证服务机构从业人员岗位技能规范GB/T35288-2017解读

随着数字化时代的到来，电子认证已经成为各行各业普遍采用的身份识别方式。而电子认证服务机构从业人员作为提供电子认证服务的关键角色，其专业素养和技能水平对于保障电子认证的安全和可靠性至关重要。为此，我国推出了GB/T35288-2017《信息安全技术电子认证服务机构从业人员岗位技能规范》，旨在规范电子认证服务机构从业人员的职责和技能要求。

一、从业人员的职责

根据GB/T35288-2017规定，电子认证服务机构从业人员应履行以下职责：

负责安全管理和认证审核工作，确保电子认证服务的安全性和可靠性。
负责技术支持和客户服务工作，解答用户关于电子认证的问题和疑虑。
遵守相关法律法规和行业规范，保护用户隐私和信息安全。
根据需要参与制定或修订电子认证服务机构的管理制度、技术标准和操作规程等。

二、从业人员的技能要求

电子认证服务机构从业人员应具备以下基本技能和素质：

了解电子认证的基本概念、原理和技术体系。
掌握PKI公钥基础设施技术、数字证书规范和证书颁发流程等。
熟练掌握数字证书颁发工具和认证审核工具的使用方法。
具有良好的沟通能力、团队合作精神和服务意识。

此外，根据从业人员的具体岗位和工作内容，还需要掌握相应的专业知识和技能。

三、从业人员的培训

为了提高电子认证服务机构从业人员的专业素质和工作水平，GB/T35288-2017规定了从业人员的培训要求：

应定期组织从业人员进行专业培训和能力提升，包括安全管理、认证审核、技术支持等方面。
应建立从业人员培训档案，记录培训内容、时间、方式和效果等信息。
应对参加培训的从业人员进行考核评估，确保培训效果。

四、总结

GB/T35288-2017《信息安全技术电子认证服务机构从业人员岗位技能规范》为保障电子认证服务的安全和可靠性，规范了从业人员的职责、技能要求和培训等方面。电子认证服务机构应根据规范要求，完善从业人员管理制度和培训计划，提高从业人员的专业素质和工作水平，确保电子认证服务的安全性和可靠性。