6.1　安全管理類崗位

6.1　安全管理類崗位

6.1.1　安全策略管理組織負責人崗位

6.1.1.1　設置目的

協調電子認證服務機構內部的運營管理人員、客戶服務人員、服務管理人員等，組建安全策略管理組織，并進行CPS管理、監督執行，評估機構運營風險，應對突發情況管理。依法對CPS進行管理和監督執行。

6.1.1.2　崗位職責

該崗位屬于關鍵崗位，其主要職責如下：
——組建公司安全策略管理組織，并領導該組織工作；
——負責定期組織制定和維護公司CPS，并監督執行；

6.1.1.3　安全管理要求

該崗位應是可信雇員，與其他崗位不可兼任，應設置備用人員，避免由于人員異動而影響電子認證服務機構運營。

6.1.1.4　崗位技能要求

崗位技能要求如下：
——具有五年以上電子認證行業或相關行業高級管理工作經驗；
——應能理解電子認證服務機構、證書訂戶、證書依賴方權利和責任的規定；
——能夠正確理解電子認證方面的法規、規章和行業政策；
——能夠正確理解本機構的CPS；
——掌握電子認證事故應急救援和預案程序；
——能夠制定信息安全管理方針和策略；

6.1.2　財務管理崗位

6.1.2.1　設置目的

對機構的財務進行綜合管理和風險評估，依法對電子認證服務機構的財務進行管理和風險評估，降低財務風險和機構運營風險。

6.1.2.2　崗位職責

該崗位屬于關鍵崗位，其主要職責如下：
——財務制度的建立、更新和監督執行；
——組織編制機構年度綜合財務預算和控制標準；

6.1.2.3　安全管理要求

該崗位應是可信雇員，與其他崗位不可兼任，應設置備用人員，避免由于人員異動而影響電子認證服務機構運營。

6.1.2.4　崗位技能要求

崗位技能要求如下：
——會計、財務相關專業；
——三年以上財務相關工作經驗；
——能夠依照國家財務會計法規條例辦理會計事務；
——應獨立進行全盤帳務處理，合并報表和機構賬務；
——能夠按照稅務流程進行稅務業務辦理；

6.1.3　可信雇員管理崗位

6.1.3.1　設置目的

依據可信雇員策略對機構各關鍵崗位、重要崗位、一般崗位人員進行安全管理的崗位，包括建立可信雇員管理制度、流程和規范，進行背景調查、入職、培訓、上崗、轉崗、離職等管理。

6.1.3.2　崗位職責

該崗位屬于關鍵崗位，其主要職責如下：
——建立可信雇員策略，包括崗位可信雇員要求、背景調查內容和程序；
——在正式聘任員工授權接觸公司重要資料前，證明其可信性，并簽署員工保密協議；
——建立每個工作崗位的工作范圍及其責任，并確定關鍵崗位、重要崗位、一般崗位等不同職位的可信要求；
——建立可信雇員培訓制度及檔案管理制度；
——建立可信雇員異動管理制度，可信雇員離職后應立即刪除其接觸公司資料的權限；

6.1.3.3　安全管理要求

該崗位應是可信雇員，與其他崗位不可兼任，應設置備用人員，避免由于人員異動而影響電子認證服務機構運營。

6.1.3.4　崗位技能要求

崗位技能要求如下：
——人力資源、勞動經濟等相關管理類專業；
——兩年以上人事管理工作經驗；
——能夠依據國家有關勞動、社保、可信雇員的政策法規進行人事管理；
——能夠協助領導進行人員的管理；
——能夠理解可信雇員管理的要求；

6.1.4　安全經理崗位

6.1.4.1　設置目的

對本機構運營場地安全、人員安全、信息系統安全、通信系統安全、及重要IT資產安全進行日常監控和審計。

6.1.4.2　崗位職責

該崗位屬于關鍵崗位，其主要職責如下：
——制定運營場地安全策略，包括物理訪問控制、電腦終端的安全接觸、電力空調等設備的安全使用；
——制定人員安全策略，包括定義接觸電子認證系統的各類安全角色和崗位、職責分割原則和權限控制機制。定期檢查物理訪問權限和邏輯訪問權限的設置情況，并對物理訪問記錄和系統操作日志進行審計；
——對電子認證系統各類安全事件進行分級，建立各類安全事件報告、跟進策略及處理機制的應急響應計劃，并定期測試、評估和更新此計劃的內容；
——制定通信安全管理策略、變更申請和批準流程，保證通信系統的可靠性，預防通信系統泄露信息，防止非授權使用通信系統；
——監控各類介質包括光盤、硬盤、軟盤、移動存儲介質以及磁帶等，防止被盜、毀壞、被修改、信息泄露未授權訪問等情況發生；
——制定風險管理策略，對涉及運營的各類風險進行分析、評估和分級，并提供解決方法；
——對記錄認證機構涉及運營條件和環境、密鑰和證書生命周期管理的日志和事件進行監控和審計；
——定期對相關人員開展安全培訓；

6.1.4.3　安全管理要求

該崗位應是可信雇員，與其他崗位不可兼任，應設置備用人員，避免由于人員異動而影響電子認證服務機構運營。

6.1.4.4　崗位技能要求

崗位技能要求如下：
——具有信息安全相關認證資質；
——具有兩年以上場地維護經驗；
——具有兩年以上機房安全管理工作經驗；
——熟悉ISO27001管理體系、電子簽名法、國家相關運營管理法規、標準等安全相關規范；
——能夠正確運用計算機網絡、信息系統、PKI/CA知識實現信息安全管理；
——能夠對電子認證服務安全隱患排查及事故防范；
——能夠對電子認證事故進行應急救援與預案程序；
——能夠對電子認證事故進行統計，編制相關報告制度；
——能夠對機房運營安全制定相應的策略；

6.1.5　運營審計崗位

6.1.5.1　設置目的

定期對電子認證系統進行安全審計，負責對涉及系統安全的事件、各類管理和操作人員的行為進行審計和監督，確保遵從法律和法規，降低運營風險，提高服務質量，保證運營的可持續性。

6.1.5.2　崗位職責

該崗位屬于重要崗位，依據包括電子認證服務機構發布和制定的所有與運營相關的安全策略、證書策略、電子認證業務規則等，以及國家法律法規和行業相關標準，對以下內容進行審計，并根據審計結果撰寫審計報告和改進意見：
——檢查法律和法規方面的符合性，運營是否符合安全策略、證書策略、認證業務規則等；
——評估服務能力和運營安全性，是否在人力資源、運營管理、技術、安全管理、財務等方面存在風險；

6.1.5.3　安全管理要求

該崗位應是可信雇員，與其他崗位不可兼任。

6.1.5.4　崗位技能要求

崗位技能要求如下：
——具有兩年以上運營審計相關工作經驗；
——了解運營業務的各項制度、流程和系統；
——能夠對涉及系統安全等事件進行審計；

6.1.6　密鑰管理崗位

6.1.6.1　設置目的

負責對電子認證私鑰和證書的生命周期進行維護，及相關密碼設備進行管理和操作。維護電子認證私鑰的物理安全和邏輯安全，確保所創建私鑰和證書的完整性和可審計性等。

6.1.6.2　崗位職責

該崗位屬于關鍵崗位，其主要職責如下：
——為電子認證服務機構及客戶創建并維護電子認證密鑰對和證書；
——建立密碼硬件設備的采購、使用、測試、維修、保管、報廢等管理制度，維護所有密鑰相關設備的安全可靠；
——協助電子認證私鑰的恢復工作；
——建立當電子認證私鑰可信性受威脅時的應變計劃；

6.1.6.3　安全管理要求

該崗位應是可信雇員，該崗位人員包含密鑰管理員和分管者兩種。密鑰管理員具有電子認證私鑰的操作權限，而分管者持有電子認證私鑰的密鑰分割或密鑰共享，這兩類人員對電子認證私鑰的激活、恢復實現了雙重控制；應設置備用人員，避免由于人員異動而影響電子認證服務機構運營。

6.1.6.4　崗位技能要求

崗位技能要求如下：
——具有計算機網絡安全、信息安全技術等相關專業知識；
——能夠遵照國家的各項安全技術規范和標準對密鑰進行管理；
——能夠正確使用本機構的加密設備；

6.1.7　服務質量管理崗位

6.1.7.1　設置目的

監督提供電子認證服務的各崗位職責和作業規范的執行，并進行客戶滿意度調查的崗位。其設置目的是提高電子認證服務質量。

6.1.7.2　崗位職責

該崗位屬于重要崗位。
——應根據業務咨詢服務崗位的職責規范進行質量跟蹤和管理；
——應根據業務辦理服務崗位的職責規范進行質量跟蹤和管理；
——應根據鑒證服務崗位的職責規范進行質量跟蹤和管理；
——應根據技術支持服務崗位的職責規范進行質量跟蹤和管理；
——應進行定期或不定期進行用戶滿意度調查；

6.1.7.3　安全管理要求

該崗位應是可信雇員，與其他崗位不可兼任。

6.1.7.4　崗位技能要求

崗位技能要求如下：
——具有基本的PKI/CA知識、數字證書應用知識和計算機網絡知識；
——能夠貫徹執行機構質量體系規范；