公鑰基礎(chǔ)設(shè)施系統(tǒng)運(yùn)行維護(hù)管理規(guī)定

公鑰基礎(chǔ)設(shè)施系統(tǒng)運(yùn)行維護(hù)管理規(guī)定1范圍本標(biāo)準(zhǔn)規(guī)定了XX公司（以下簡稱“公司”）公鑰基礎(chǔ)設(shè)施系統(tǒng)運(yùn)行維護(hù)中的管理職責(zé)、內(nèi)容與方法、報(bào)告和記錄管理、檢查與考核內(nèi)容。本標(biāo)準(zhǔn)適用于公司本部及所屬各單位公鑰基礎(chǔ)設(shè)施系統(tǒng)運(yùn)行維護(hù)管理工作。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，鼓勵(lì)用最新版本,但是否采用最新版本由公司標(biāo)準(zhǔn)化委員會研究決定；凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。3術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1公鑰基礎(chǔ)設(shè)施系統(tǒng)XX公司公鑰基礎(chǔ)設(shè)施系統(tǒng)（以下簡稱PKI系統(tǒng)），是為XX公司從事相關(guān)業(yè)務(wù)工作的個(gè)人與單位創(chuàng)建、分配和管理數(shù)字身份證書的系統(tǒng)，是XX公司安全體系的重要組成部分。PKI系統(tǒng)由CA（認(rèn)證中心）、RA（注冊中心）及KMC（密鑰管理中心）組成，提供數(shù)字證書制作、身份認(rèn)證、訪問控制和安全審計(jì)等安全服務(wù)。3.2認(rèn)證中心（CA）在PKI系統(tǒng)中處于主導(dǎo)地位，享有最高的安全級別。它負(fù)責(zé)對其它系統(tǒng)提出的請求給出應(yīng)答，簽發(fā)證書及撤消證書，管理中央數(shù)據(jù)庫和管理主用戶等。3.3注冊中心（RA）PKI系統(tǒng)的審核機(jī)構(gòu)，負(fù)責(zé)申請的審核、管理等，是RA管理員對一般用戶進(jìn)行管理的前端界面。3.4密鑰管理中心（KMC）PKI系統(tǒng)的主要擴(kuò)展系統(tǒng)，負(fù)責(zé)生成加/解密密鑰、托管解密密鑰、恢復(fù)解密密鑰和對密鑰歷史的管理。4職能與職責(zé)4.1職能與分工4.1.1信息通信分公司是本單位PKI系統(tǒng)運(yùn)行維護(hù)部門。4.1.2XX公司信息部是本單位PKI系統(tǒng)運(yùn)行維護(hù)管理的監(jiān)督部門。4.1.3XX公司使用PKI系統(tǒng)的單位或部門為使用部門4.2系統(tǒng)運(yùn)維部門職責(zé)與權(quán)限系統(tǒng)運(yùn)維部門負(fù)責(zé)制定、實(shí)施本單位PKI系統(tǒng)運(yùn)行維護(hù)操作規(guī)范，負(fù)責(zé)證書發(fā)放及撤消。4.3信息管理部門職責(zé)與權(quán)限信息管理部門負(fù)責(zé)本單位PKI系統(tǒng)證書發(fā)放策略制定、審批、監(jiān)督審計(jì)。4.4使用部門職責(zé)與權(quán)限使用部門須遵守、執(zhí)行PKI數(shù)字證書使用管理規(guī)定。5管理內(nèi)容與方法5.1運(yùn)行管理5.1.1PKI系統(tǒng)應(yīng)實(shí)行7×24小時(shí)運(yùn)行，系統(tǒng)運(yùn)維部門應(yīng)做好日常巡視，每天檢查網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、密碼機(jī)、機(jī)柜等硬件運(yùn)行情況，在重要時(shí)期應(yīng)安排人員進(jìn)行值班，以確保PKI系統(tǒng)的正常運(yùn)行。5.1.2系統(tǒng)運(yùn)維部門應(yīng)定期對PKI系統(tǒng)內(nèi)的CA、RA、KMC、目錄系統(tǒng)、數(shù)據(jù)庫等軟件模塊運(yùn)行情況進(jìn)行巡檢，做好數(shù)據(jù)備份，如有異常情況，能及時(shí)通過有效技術(shù)手段和措施恢復(fù)系統(tǒng)運(yùn)行。5.2維護(hù)管理5.2.1PKI系統(tǒng)與其它業(yè)務(wù)系統(tǒng)的結(jié)合，應(yīng)由業(yè)務(wù)系統(tǒng)的管理部門提出申請，經(jīng)信息管理部門許可，由業(yè)務(wù)系統(tǒng)的開發(fā)商、運(yùn)維商及PKI系統(tǒng)管理員制定可操作的實(shí)施方案，并測試通過后，方可結(jié)合使用。5.2.2PKI系統(tǒng)后臺維護(hù)由PKI系統(tǒng)管理員專人負(fù)責(zé)，任何人未經(jīng)許可不得擅自操作設(shè)備。5.2.3對PKI/CA身份認(rèn)證系統(tǒng)的配置進(jìn)行修改或者軟件升級等操作，須履行信息工作票手續(xù)并得到系統(tǒng)運(yùn)維部門領(lǐng)導(dǎo)同意后方可進(jìn)行，嚴(yán)禁隨意操作。5.3操作管理5.3.1超級管理員負(fù)責(zé)管理操作員、審計(jì)員和司法取證員，并授權(quán)其進(jìn)行數(shù)字證書的申請、領(lǐng)取、使用、更新、停用、撤銷和掛失等工作，超級管理員可由PKI系統(tǒng)管理員兼任。5.3.2操作員主要負(fù)責(zé)在注冊中心（RA）進(jìn)行數(shù)字證書申請、更新、注銷等信息的錄入、復(fù)核和證書發(fā)放，操作記錄須妥善保管；不得擅自制作任何形式的數(shù)字證書；對離職人員、遺失或被盜的數(shù)字證書，應(yīng)及時(shí)注銷該用戶數(shù)字證書。5.3.3審計(jì)員通過各個(gè)系統(tǒng)模塊的審計(jì)查詢功能，動態(tài)掌握各個(gè)系統(tǒng)的業(yè)務(wù)運(yùn)行情況；審計(jì)身份認(rèn)證系統(tǒng)證書發(fā)放情況，并將結(jié)果上報(bào)超級管理員；審計(jì)業(yè)務(wù)操作日志，對審計(jì)出的異常結(jié)果，調(diào)查相關(guān)責(zé)任人。5.3.4司法取證員負(fù)責(zé)在發(fā)生司法取證的情況下，對相關(guān)的密鑰進(jìn)行提取工作；至少兩位司法取證員在場，才能進(jìn)行司法取證工作；司法取證員其中的一名可由審計(jì)員兼任。5.4使用管理5.4.1使用人員應(yīng)妥善保管數(shù)字證書及其介質(zhì)，避免個(gè)人信息泄露。5.4.2使用人員應(yīng)定期修改數(shù)字證書的PIN碼，保證個(gè)人信息安全。5.4.3使用部門應(yīng)及時(shí)向系統(tǒng)運(yùn)維部門反饋離職人員及數(shù)字證書遺失、被盜信息，避免個(gè)人身份冒用。5.5檢查與考核5.5.1本管理規(guī)定檢查與考核納入信息化水平評價(jià)考核范圍。5.5.2日常巡視應(yīng)在IT集中監(jiān)控系統(tǒng)上進(jìn)行相應(yīng)記錄。5.5.3維護(hù)操作應(yīng)在IT集中監(jiān)控系統(tǒng)上進(jìn)行相應(yīng)記錄。5.5.4數(shù)字證書申請錄入操作應(yīng)記錄《數(shù)字證書申請錄入記錄表》，格式見附錄A；每月底形成《數(shù)字證書申請統(tǒng)計(jì)表》，格式見附錄B。6報(bào)告和記錄6.1Q/HD