法國資訊保安ca許可證制度初探
馬民虎
資訊保安認證作為保障資訊網路安全的重要環節,法國非常重視資訊保安ca制度的建設。從2023年起,法國制定了許多有關資訊保安認證的法令,如2023年3月17日《關於密碼裝置和提供服務由許可改為提前申報的決定》(第99—199法令),2023年3月17日《關於密碼裝置和提供服務免除一切手續的決定》(第99—200號法令), 2023年2月24日《關於密碼裝置和提供服務的許可條件》(第98--101號法令),2023年3月13日《關於金鑰管理機構申請許可的資料形式和內容》,2023年2月24日《關於金鑰管理機構的許可條件》(第98--102號法令)
[1]
。這些法令涉及了資訊保安認證的所有環節,內容之詳盡、設計之嚴密,從此我們可以看出法國資訊保安認證的基本法律框架。
一、資訊保安ca許可證的申領與頒發
按照第90--1170號法律,第一總理簽發了《關於金鑰管理機構的許可條件》(第98--102號法令),對資訊保安認證許可證的申請、審核等內容作出了明確的規定。
(一)申請資訊保安認證機構的資格
在法國,資訊保安認證制度實行社會化的監督管理機制。所謂資訊保安認證社會化,是指**機關不介入安全認證的具體活動,資訊保安認證的具體工作由商事組織承擔。所以在法國進行註冊登記的任何機構都可以申請從事資訊保安認證活動的資質。
(二)申請資訊保安認證必須遞交的材料
(1) 申請機構的身份證明材料
****或資本公司必須提供公司名稱、公司所在地位址和**號碼、siret號、公司商業註冊資料以及公司資本分布的材料。
合夥公司必須提供合夥名稱、位址和**號碼、siret號、公司商業註冊資料、合夥人的國籍及身份、公司股份分布情況的材料
[2]。
個人企業必須提供企業名稱、位址和**號碼、企業主的個人身份和國籍、siret號、公司及商業註冊資料。
(2)申請機構的安全策略檔案
安全策略是申請機構從事資訊保安認證活動的基本政策,包括國家有關資訊保安法的強制性規定、機構章程性檔案以及維護資訊保安的方針策略。
(3)申請機構向使用者提供的資訊保安認證合同範本
資訊保安認證機構與使用者之間的關係主要表現為合同關係。由於使用者可以是其他資訊保安認證機構,也可以是企事業單位和個人。所以申請者提供的合同一般包括認證機構合同、單位認證合同和個人認證合同。
(4)申請機構簽名的招標細則
招標細則是申請機構對社會公開承諾的服務範圍與責任。與versign cps不同
[3]
,招標細則重點不是向社會公告申請機構受理證書申請、審核申請材料的合法性、證書簽發、證書接受、證書使用、證書中止、證書期滿等方面的程式及相關法律責任,而是向社會公告申請機構從事資訊保安認證的安全程度。安全程度是資訊保安認證機構所使用裝置保密性、完整性、不可抵賴性的反映,也是其工作人員安全可靠性的體現。安全程度還包括機構終止資訊保安認證活動後將使用者金鑰遞交給官方機構的程式。
(三)申請材料遞交的方式
申請機構必須以**信方式向國家資訊系統安全服務中心遞交許可申請。當然,申請機構也可以直接遞交許可申請。
(四)申請許可證的審核方式
如果申請機構提交的材料符合形式要求,第一總理將根據國家的內外安全狀況,綜合審查申請資訊保安認證機構的具體能力。從接到申請通知之日起4個月內,通過**信函形式向申請機構通知審核結果。如果在該期限內發生通知錯誤的情況,則視為申請人已得到資訊保安認證的許可。
在接到申請1個月內,如果資訊系統安全服務中心沒有要求申請者補充必要的材料,則視為材料形式合格。如果需要補充材料,則4個月期限應從收到完整材料之日起計算。
為我國資訊保安擔憂
最近,由於研究從 usb埠啟動計算機的問題,發現個人計算機 即 windows pc 在保護客戶的私人機密 或機密資訊 方面,非常沒有 面子 對於 windows pc 而言,什麼開機的 口令保護 完全角同虛設,個人計算機等於一台完全 不設防 的計算機,任由人們自由 進出 談何安全?具體情況,在此不...
中國資訊保安技術標準體系框架
本文部分內容來自 中國電子技術標準化研究院 全國信安標委機構設定 序號標準名稱狀態1 資訊科技 安全技術 資訊科技安全性評估準則 gb t 18336 2015 2資訊保安技術 資訊科技產品 方行為安全準則 gb t 32921 2016 3資訊保安技術 資訊系統安全等級保護基本要求 gb t 22...
中國資訊化人才
2006年,我國資訊產業從業人員佔勞動力總數不到1 而美國就業人口中有一半在資訊科技公司或資訊密集型企業工作。報告指出,中國大學和研究機構在未來5年中,每年只能培養4萬名資訊科技或相關專業的畢業生,而十一五期間,規劃需要的此類人才總數要多得多,供需差距巨大。此外,人才外流還會加劇資訊化人才短缺問題。...