10.1 人員管理要求

為防止非授權人員操作CA系統，在每一個操作終端上應設有操作員身份鑒別系統，對系統的所有操作都要對有關操作員進行身份鑒別和權限控制。
CA系統的每個操作人員配置有標明個人身份相關信息的證書載體（如智能密碼鑰匙），證書載體具有口令保護機制，以保證私鑰的安全。
操作人員包含以下類型：
a)CA超級管理員；其權限為添加、刪除、修改CA業務管理員帳號。
b)CA業務管理員；其權限為：添加、刪除、修改CA業務操作員帳號。
c)CA業務操作員，其權限為：管理證書模板、配置證書策略，及對系統進行配置，如配置主機加密服務器參數、目錄服務器、CA系統參數、RA系統參數等。添加、刪除、修改RA業務管理員和RA審計員帳號。
d)CA審計管理員；其權限為添加、刪除、修改CA審計員帳號。
e)CA審計員：負責查詢CA系統日志、查詢審計CA操作記錄。
f)RA業務管理員；其權限為：添加、刪除、修改RA業務操作員帳號。
g)RA業務操作員；其權限為：對證書申請的錄入；對證書更新申請、密鑰恢復申請的錄入。審核證書申請、撤銷審核；證書的下載、制作；證書查詢；審核證書更新請求和密鑰恢復請求。錄入和審核工作不能由同一人兼任。
h)RA審計員；負責查詢RA系統日志、查詢審計RA操作記錄。