设为首页|收藏本站|
开启左侧

[问答] 欧盟收集平安认证框架评析

[复制链接]
 
欧盟收集平安认证框架是指,在欧盟及其成员国范围内建立的关于ICT产物、ICT办事和ICT流程的收集平安水平的同一的认证框架。
该框架首要由欧盟《收集平安法案》(即《欧洲议会和欧盟理事会2019/881号关于ENISA(欧盟收集平安局)以及信息和通讯技术收集平安认证并废除(欧盟)第526/2013号条例(收集平安法案)的条例》停止规定,该法案增强了ENISA欧盟收集平安机构,并建立了收集平安认证框架(以下简称“框架”)。
认证工具

那末需方法会全部认证框架,我们首先方法会认证工具。欧盟《收集平安法案》的认证工具为ICT产物、ICT办事、ICT流程。我们对ICT这个概念,并不陌生,ICT(Information and Communication Technology),即信息通讯范畴技术。我们可以将ICT拆解为IT(即“通讯技术”)+CT(即“信息技术”),通讯技术偏重信息传布技术,信息技术偏重信息的编码息争码。欧盟层面关于ICT的界说可详见《欧盟收集平安法案》,该法案第二条就ICT相关概念界说以下:

  • ICT产物,是指收集或信息系统的一个元素或一组元素。
  • ICT办事,是指完全或首要包括经过收集和信息系统传输、存储、检索或处置信息的办事。
  • ICT流程,是指为设想、开辟、托付或保护ICT产物或ICT办事而停止的一系列活动。

认证框架主体及职责

除ICT办事、产物、流程制造商或供给商之外,欧盟收集平安认证框架触及到的首要主体包括欧盟委员会、ENISA、ECCG收集平安认证小组。除此之外,还包括成员国、好处相关方等。
欧盟委员会

在认证架构中,欧盟委员会的首要职责制定和公布同盟转开工作计划,该计划肯定了未来欧洲收集平安认证的计谋重点,也包括了一份能归入欧洲收集平安认证计划的ICT产物、办事和流程的清单。此外欧盟委员会还负责监视和支持ENISA的相关工作。
欧盟收集平安机构ENISA

ENISA负责履行本条例规定的使命,以实现全部同盟高度配合的收集平安,包括积极支持成员国、同盟机构、机关、处事处和机构改良收集平安。为同盟机构、机关、处事处和机构以及其他相关的同盟好处相关者供给收集平安方面的倡议和专业常识。在履利用命时,ENISA应自力行事,同时避免与成员国的活动反复,并斟酌到成员国现有的专业常识。
(一)ENISA欧盟收集平安机构的使命
《收集平安法案》规定了ENISA的七项重要使命。ENISA作为全部欧盟层面的收集平安专家中心支持辅佐欧盟层面和国家层面构建收集平安才能。比如,供给倡议和专业常识、促进收集平安认证框架的建立和保护、提升欧盟范围内的收集平安认识等。
(二)ENISA欧盟收集平安机构的职责
《收集平安法案》不但从宏观的角度规定了ENISA作为欧盟收集平安庇护中心的职位和使命,也经过第5条到第12条规定了ENISA的职责。ENISA的首要职责可用围绕“辅佐”、“支持”、“构造”、“报告”展开,首要包括以下几方面职责内容:

  • 辅佐制定和检查收集平安范畴的政策和法令
  • 辅佐收集平安才能的扶植(如收集威胁和事务的应对才能、收集平安练习才能等)
  • 支持信息同享
  • 支持营业合作
  • 支持大范围跨境事务或危机的合作反应
  • 构造收集平安练习
  • 编写欧盟收集技术状态深度报告
除此之外,ENISA还应对新兴技术停止分析和评价、供给欧盟成员国和百姓的平安教育、介入平安研讨和创新等方面工作。
欧盟收集平安认证小组ECCG

ECCG欧盟收集平安认证小组该当由国家收集平安认证机构的代表或其他相关国家机构的代表组成。ECCG欧盟收集平安认证小组的一个成员不应代表两个以上的成员国。好处相关方和相关第三方可被约请列席ECCG欧盟收集平安认证小组的会议并介入其工作。ECCG欧盟收集平安认证小组的首要职责:
(a)为委员会的工作供给倡议和辅佐,以确保本题目标分歧实施和利用,出格是关于同盟转开工作计划、收集平安认证政策题目、政策方式的调和以及欧洲收集平安认证计划的预备。
(b)在预备候选计划方面向ENISA供给辅佐、倡议和合作。
(c)对ENISA预备的候选计划提出定见。
(d)要求ENISA预备候选计划。
(e)经过给委员会的关于保护和检查现有欧洲收集平安认证计划的定见。
(f)检查收集平安认证范畴的相关成长,并交换有关收集平安认证计划的信息和杰出做法。
(g)经过才能扶植和信息交换,出格是经过建立与收集平安认证题目有关的有用信息交换方式,促进国家收集平安认证机构在本题目下的合作;
(h)按照欧洲收集平安认证计划中建立的法则,支持实施同业评价机制。
(i)促进欧洲收集平安认证计划与国际公认的标准相分歧,包括检查现有的欧洲收集平安认证计划,并酌情向ENISA提出倡议,与相关国际标准化构造合作,以处理现有国际公认标准的不敷或差异。
在ENISA的辅佐下,委员会应主持ECCG,委员会应为ECCG供给一个秘书处
及格评定机构
及格评定机构应满足以下要求:
1.及格评定机构应按照国家法令建立,并具有法人资历。
2.及格评定机构应是自力于其评定的构造或ICT产物、ICT办事或ICT流程的第三方机构。
3.假如一个机构属于代表介入设想、制造、供给、组装、利用或保护其评价的ICT产物、ICT办事或ICT流程的企业的贸易协会或专业结合会,只要能证实其自力性和没有任何好处抵触,便可以被视为及格评定机构。
4.及格评定机构、其最高治理层和负责履行及格评定使命的职员,不得是被评定的ICT产物、ICT办事或ICT流程的设想者、制造商、供给商、安装者、采办者、一切者、利用者或保护者,或上述任何一方的授权代表。该禁令不应解除利用及格评定机构运作所需的ICT产物,或为小我目标利用这些ICT产物。
5.及格评定机构、其最高治理层和负责履行及格评定使命的职员不得间接介入被评定的ICT产物、ICT办事或ICT流程的设想、制造或建造、营销、安装、利用或保护,也不得代表处置这些活动的各方。及格评定机构、其最高治理层和负责履行及格评定使命的职员,不得处置任何能够与他们在及格评定活动中的自力判定或完整性相抵触的活动。这一禁令应出格适用于征询办事。
6.假如合适性评价机构由公共实体或机构具有或经营,则应确保国家收集平安认证机构与合适性评价机构之间的自力性和没有任何好处抵触,并应记录在案。
7.及格评定机构应确保其子公司和分包商的活动不影响其及格评定活动的保密性、客观性或公道性。
8.及格评定机构及其工作职员应以最高水平的职业操守和特定范畴的需要技术才能展开及格评定活动,不应遭到能够影响其判定或及格评定活动成果的一切压力和引诱,包括财政性质的压力和引诱,出格是与这些活动成果有好处关系的小我或团体。
9.及格评定机构应能完本钱条例规定的一切及格评定使命,不管这些使命是由及格评定机构自己完成,还是代表它并由它负责完成。任何分包给内部职员或征询内部职员的行为都应妥帖记录,不应触及任何中介机构,并应签定书面协议,其中包括保密和好处抵触。有关的及格评定机构应对所履行的使命负全数义务。
10.在任何时辰,对于每一个及格评定法式和每一品种型、种别或子种此外ICT产物、ICT办事或ICT流程,及格评定机构都应具有需要的条件。
(a)具有技术常识和充足及适当经历的工作职员,以履行及格评价使命。
(b)停止及格评定所根据的法式说明,以确保这些法式的通明度和复制的能够性。它应制定适当的政策和法式,以区分它作为按照第61条告诉的机构所履行的使命和它的其他活动。
(c) 展开活动的法式,适当斟酌到企业的范围、其经营的部分、其结构、有关的ICT产物、ICT办事或ICT进程的技术复杂水平以及生产进程的大范围或系列性。
11.及格评定机构应具有需要的手段,以适当的方式履行与及格评定活动有关的技术和行政使命,并应能利用一切需要的装备和设备。
12.负责展开及格评定活动的职员应具有以下条件。
(a)受过杰出的技术和职业培训,涵盖一切及格评定活动。
(b)对他们所停止的及格评定的要求有使人满足的领会,并有充足的权利来停止这些评定。
(c)对适用的要求和测试标准有适当的常识和了解。
(d) 有才能起草证书、记录和报告,以证实已停止了及格评价。
13.应保证及格评定机构、其高层治理职员、负责展开及格评定活动的职员以及任何分包商的公道性。
14.最高治理层和负责停止及格评定活动的职员的报答不应取决于所停止的及格评定的数目或这些评定的成果。
15.及格评定机构应采办义务保险,除非义务由成员国按照其国家法令承当,或成员国自己间接负责及格评定工作。
16.及格评定机构及其工作职员、委员会、子公司、分包商和任何关联机构或及格评定机构的内部机构的工作职员,对于按照本条例或按照使本条例生效的国家法令的任何规定履行及格评定使命时获得的一切信息,应连结机密性并遵照职业奥秘,除非这些人所遵照的欧盟或成员公法令要求表露,以及与展开其活动的成员国的主管部分有关。常识产权应遭到庇护。及格评定机构应就本点的要求制定文件化的法式。
17.除第16点外,本附件的要求不应解除及格评定机构与申请认证或正在斟酌能否申请认证的人之间交换技术信息和律例指导。
18.及格评定机构应依照一套分歧、公允和公道的条目和条件运作,在免费方面斟酌到中小企业的好处。
19.及格评定机构应合适按照(EC)No 765/2008号律例调和的相关标准的要求,对处置ICT产物、ICT办事或ICT流程认证的及格评定机构停止认证。
20.及格评定机构应确保用于及格评定的测试尝试室合适按照(EC)No 765/2008号律例调和的有关标准的要求,以认可处置测试的尝试室。

欧洲收集平安认证系统

经过建立欧盟平安认证框架,进一步建立数字单一市场。具体来说,经过建立欧洲收集平安认证计划,并证实按照这些计划评价的信息通讯技术产物、办事、流程合适特定的平安要求,以庇护存储或传输或处置的数据的可用性、实在性、完整性或保密性,或由这些产物、办事和流程供给的或经过其获得的功用或办事的全部生命周期。
应欧盟委员会按照《收集平安法》第48.2条提出的要求,ENISA建立了一个特设工作组,以支持欧盟收集平安认证计划的预备工作,作为SOG-IS MRA下现有计划的后续。该计划被命名为EUCC计划(基于通用标准的欧洲候选收集平安认证计划),它基于通用标准、信息技术平安评价的通用方式和响应的标准,别离为ISO/IEC 15408和ISO/IEC 18045,研讨ICT产物的收集平安认证。欧洲认证系统的建立首要分为以下几个步调:
步调一:欧盟委员会肯定同盟转开工作计划,作为未来欧洲收集平安认证计划的计谋重点。转开工作计划中,该当包括可认证的工具清单,即ICT产物、ICT办事和ICT流程。归入相关品类应供给来由证实,以下来由可用以证实:
(a)涵盖特定种此外ICT产物、ICT办事或ICT流程的国家收集平安认证计划的可用性和成长,出格是关于分离的风险。
(b)欧盟或成员国的相关法令或政策。
(c) 市场需求。
(d)收集威胁状态的成长。
(e)要求ECCG预备一个具体的候选计划。
步调二:ENISA在欧盟委员会的要求下,在同盟转开工作计划的根本上预备一个候选计划或现有的欧洲收集平安认证计划。
候选计划该当满足最少实现以下四个方面平安方针:

  • 数据生命周期治理:比如拜候控制、数据处置日志、数据处置的可溯源等治理内容;
  • 营业依靠性和懦弱性治理:比如识别记录、缝隙治理等治理内容;
  • 可用性治理:比如营业持续性、容灾备份等治理内容;
  • 产物、办事、流程设想治理
步调三:欧盟委员会在EUCC计划的根本上,针对欧盟认证计划范围中受益的个体ICT产物、办事、流程制定欧盟收集平安认证计划。

欧盟收集平安认证框架评析 第1张图片

欧洲收集平安认证框架

认证保证品级

认证计划还将收集平安认证水平分别为三个保证品级,别离为根基保证级别、本色性保证级别、高保证级别。三个品级的区分在于认证检查的范围、法式的严酷水和蔼深度。法案第52条明白了各保证级别对应的最低检查范围要求,具体以下:

欧盟收集平安认证框架评析 第2张图片
此外值得留意的是,认证计划可以答应ICT产物、ICT办事或ICT流程的制造商或供给商停止合适性自我评价。停止合适性自我评价的ICT产物、ICT办事或ICT流程风险较低,相当于“根基保证级别”。


上一篇:具有欧盟护照后,孩子若何去别的欧盟成员国念书?
下一篇:美国哀痛的孤独:欧洲的穆斯林化和西方的衰落
 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表找客服手机访问
Copyright © 2016-2021 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋|GMT+8, 2021-11-29 23:59