设为首页|收藏本站|
发帖
登录 注册
西兔生活网 欧洲华人圈 欧洲华人生活 欧盟网络安全认证框架评析
回复 发帖
返回列表 发新帖
开启左侧

[问答] 欧盟网络安全认证框架评析

[复制链接]
88130 0
玉米大棒 发表于 2021-11-25 11:06:16 | 只看该作者 打印 上一主题 下一主题
 
欧盟网络安全认证框架是指,在欧盟及其成员国范围内建立的关于ICT产品、ICT服务和ICT流程的网络安全水平的统一的认证框架。
该框架主要由欧盟《网络安全法案》(即《欧洲议会和欧盟理事会2019/881号关于ENISA(欧盟网络安全局)以及信息和通信技术网络安全认证并废止(欧盟)第526/2013号条例(网络安全法案)的条例》进行规定,该法案加强了ENISA欧盟网络安全机构,并建立了网络安全认证框架(以下简称“框架”)。
认证对象

那么需要了解整个认证框架,我们首先要了解认证对象。欧盟《网络安全法案》的认证对象为ICT产品、ICT服务、ICT流程。我们对ICT这个概念,并不陌生,ICT(Information and Communication Technology),即信息通信领域技术。我们可以将ICT拆解为IT(即“通信技术”)+CT(即“信息技术”),通信技术侧重信息传播技术,信息技术侧重信息的编码和解码。欧盟层面关于ICT的定义可详见《欧盟网络安全法案》,该法案第二条就ICT相关概念定义如下:

  • ICT产品,是指网络或信息系统的一个元素或一组元素。
  • ICT服务,是指完全或主要包括通过网络和信息系统传输、存储、检索或处理信息的服务。
  • ICT流程,是指为设计、开发、交付或维护ICT产品或ICT服务而进行的一系列活动。

认证框架主体及职责

除ICT服务、产品、流程制造商或供应商之外,欧盟网络安全认证框架涉及到的主要主体包括欧盟委员会、ENISA、ECCG网络安全认证小组。除此之外,还包括成员国、利益相关方等。
欧盟委员会

在认证架构中,欧盟委员会的主要职责制定和公布联盟滚动工作方案,该方案确定了未来欧洲网络安全认证的战略重点,也包含了一份能纳入欧洲网络安全认证计划的ICT产品、服务和流程的清单。此外欧盟委员会还负责监督和支持ENISA的相关工作。
欧盟网络安全机构ENISA

ENISA负责执行本条例规定的任务,以实现整个联盟高度共同的网络安全,包括积极支持成员国、联盟机构、机关、办事处和机构改善网络安全。为联盟机构、机关、办事处和机构以及其他相关的联盟利益相关者提供网络安全方面的建议和专业知识。在执行任务时,ENISA应独立行事,同时避免与成员国的活动重复,并考虑到成员国现有的专业知识。
(一)ENISA欧盟网络安全机构的任务
《网络安全法案》规定了ENISA的七项重要任务。ENISA作为整个欧盟层面的网络安全专家中心支持协助欧盟层面和国家层面构建网络安全能力。比如,提供建议和专业知识、促进网络安全认证框架的建立和维护、提升欧盟范围内的网络安全意识等。
(二)ENISA欧盟网络安全机构的职责
《网络安全法案》不仅从宏观的角度规定了ENISA作为欧盟网络安全保护中心的地位和任务,也通过第5条到第12条规定了ENISA的职责。ENISA的主要职责可用围绕“协助”、“支持”、“组织”、“报告”展开,主要包含以下几方面职责内容:

  • 协助制定和审查网络安全领域的政策和法律
  • 协助网络安全能力的建设(如网络威胁和事件的应对能力、网络安全演习能力等)
  • 支持信息共享
  • 支持业务合作
  • 支持大规模跨境事件或危机的合作反应
  • 组织网络安全演习
  • 编写欧盟网络技术状况深度报告
除此之外,ENISA还应对新兴技术进行分析和评估、提供欧盟成员国和公民的安全教育、参与安全研究和创新等方面工作。
欧盟网络安全认证小组ECCG

ECCG欧盟网络安全认证小组应当由国家网络安全认证机构的代表或其他相关国家机构的代表组成。ECCG欧盟网络安全认证小组的一个成员不应代表两个以上的成员国。利益相关方和相关第三方可被邀请出席ECCG欧盟网络安全认证小组的会议并参与其工作。ECCG欧盟网络安全认证小组的主要职责:
(a)为委员会的工作提供建议和协助,以确保本标题的一致实施和应用,特别是关于联盟滚动工作方案、网络安全认证政策问题、政策方法的协调以及欧洲网络安全认证计划的准备。
(b)在准备候选计划方面向ENISA提供协助、建议和合作。
(c)对ENISA准备的候选计划提出意见。
(d)要求ENISA准备候选计划。
(e)通过给委员会的关于维护和审查现有欧洲网络安全认证计划的意见。
(f)审查网络安全认证领域的相关发展,并交流有关网络安全认证计划的信息和良好做法。
(g)通过能力建设和信息交流,特别是通过建立与网络安全认证问题有关的有效信息交流方法,促进国家网络安全认证机构在本标题下的合作;
(h)根据欧洲网络安全认证计划中确立的规则,支持实施同行评估机制。
(i)促进欧洲网络安全认证计划与国际公认的标准相一致,包括审查现有的欧洲网络安全认证计划,并酌情向ENISA提出建议,与相关国际标准化组织合作,以解决现有国际公认标准的不足或差距。
在ENISA的协助下,委员会应主持ECCG,委员会应为ECCG提供一个秘书处
合格评定机构
合格评定机构应满足以下要求:
1.合格评定机构应根据国家法律建立,并具有法人资格。
2.合格评定机构应是独立于其评定的组织或ICT产品、ICT服务或ICT流程的第三方机构。
3.如果一个机构属于代表参与设计、制造、提供、组装、使用或维护其评估的ICT产品、ICT服务或ICT流程的企业的商业协会或专业联合会,只要能证明其独立性和没有任何利益冲突,就可以被视为合格评定机构。
4.合格评定机构、其最高管理层和负责执行合格评定任务的人员,不得是被评定的ICT产品、ICT服务或ICT流程的设计者、制造商、供应商、安装者、购买者、所有者、使用者或维护者,或上述任何一方的授权代表。该禁令不应排除使用合格评定机构运作所需的ICT产品,或为个人目的使用这些ICT产品。
5.合格评定机构、其最高管理层和负责执行合格评定任务的人员不得直接参与被评定的ICT产品、ICT服务或ICT流程的设计、制造或建造、营销、安装、使用或维护,也不得代表从事这些活动的各方。合格评定机构、其最高管理层和负责执行合格评定任务的人员,不得从事任何可能与他们在合格评定活动中的独立判断或完整性相冲突的活动。这一禁令应特别适用于咨询服务。
6.如果符合性评估机构由公共实体或机构拥有或经营,则应确保国家网络安全认证机构与符合性评估机构之间的独立性和没有任何利益冲突,并应记录在案。
7.合格评定机构应确保其子公司和分包商的活动不影响其合格评定活动的保密性、客观性或公正性。
8.合格评定机构及其工作人员应以最高程度的职业操守和特定领域的必要技术能力开展合格评定活动,不应受到可能影响其判断或合格评定活动结果的所有压力和诱惑,包括财务性质的压力和诱惑,特别是与这些活动结果有利益关系的个人或团体。
9.合格评定机构应能完成本条例规定的所有合格评定任务,无论这些任务是由合格评定机构自己完成,还是代表它并由它负责完成。任何分包给外部人员或咨询外部人员的行为都应妥善记录,不应涉及任何中介机构,并应签订书面协议,其中包括保密和利益冲突。有关的合格评定机构应对所执行的任务负全部责任。
10.在任何时候,对于每一个合格评定程序和每一种类型、类别或子类别的ICT产品、ICT服务或ICT流程,合格评定机构都应拥有必要的条件。
(a)具有技术知识和足够及适当经验的工作人员,以执行合格评估任务。
(b)进行合格评定所依据的程序说明,以确保这些程序的透明度和复制的可能性。它应制定适当的政策和程序,以区分它作为根据第61条通知的机构所执行的任务和它的其他活动。
(c) 开展活动的程序,适当考虑到企业的规模、其经营的部门、其结构、有关的ICT产品、ICT服务或ICT过程的技术复杂程度以及生产过程的大规模或系列性。
11.合格评定机构应具备必要的手段,以适当的方式执行与合格评定活动有关的技术和行政任务,并应能使用所有必要的设备和设施。
12.负责开展合格评定活动的人员应具备以下条件。
(a)受过良好的技术和职业培训,涵盖所有合格评定活动。
(b)对他们所进行的合格评定的要求有令人满意的了解,并有足够的权力来进行这些评定。
(c)对适用的要求和测试标准有适当的知识和理解。
(d) 有能力起草证书、记录和报告,以证明已进行了合格评估。
13.应保证合格评定机构、其高层管理人员、负责开展合格评定活动的人员以及任何分包商的公正性。
14.最高管理层和负责进行合格评定活动的人员的报酬不应取决于所进行的合格评定的数量或这些评定的结果。
15.合格评定机构应购买责任保险,除非责任由成员国根据其国家法律承担,或成员国本身直接负责合格评定工作。
16.合格评定机构及其工作人员、委员会、子公司、分包商和任何关联机构或合格评定机构的外部机构的工作人员,对于根据本条例或根据使本条例生效的国家法律的任何规定执行合格评定任务时获得的所有信息,应保持机密性并遵守职业秘密,除非这些人所遵守的欧盟或成员国法律要求披露,以及与开展其活动的成员国的主管部门有关。知识产权应受到保护。合格评定机构应就本点的要求制定文件化的程序。
17.除第16点外,本附件的要求不应排除合格评定机构与申请认证或正在考虑是否申请认证的人之间交流技术信息和法规指导。
18.合格评定机构应按照一套一致、公平和合理的条款和条件运作,在收费方面考虑到中小企业的利益。
19.合格评定机构应符合根据(EC)No 765/2008号法规协调的相关标准的要求,对从事ICT产品、ICT服务或ICT流程认证的合格评定机构进行认证。
20.合格评定机构应确保用于合格评定的测试实验室符合根据(EC)No 765/2008号法规协调的有关标准的要求,以认可从事测试的实验室。

欧洲网络安全认证体系

通过建立欧盟安全认证框架,进一步建立数字单一市场。具体来说,通过建立欧洲网络安全认证计划,并证明根据这些计划评估的信息通信技术产品、服务、流程符合特定的安全要求,以保护存储或传输或处理的数据的可用性、真实性、完整性或保密性,或由这些产品、服务和流程提供的或通过其获得的功能或服务的整个生命周期。
应欧盟委员会根据《网络安全法》第48.2条提出的要求,ENISA成立了一个特设工作组,以支持欧盟网络安全认证计划的准备工作,作为SOG-IS MRA下现有计划的后续。该计划被命名为EUCC计划(基于通用标准的欧洲候选网络安全认证计划),它基于通用标准、信息技术安全评估的通用方法和相应的标准,分别为ISO/IEC 15408和ISO/IEC 18045,研究ICT产品的网络安全认证。欧洲认证体系的建立主要分为以下几个步骤:
步骤一:欧盟委员会确定联盟滚动工作方案,作为未来欧洲网络安全认证计划的战略重点。滚动工作方案中,应当包含可认证的对象清单,即ICT产品、ICT服务和ICT流程。纳入相关品类应提供理由证明,以下理由可用以证明:
(a)涵盖特定类别的ICT产品、ICT服务或ICT流程的国家网络安全认证计划的可用性和发展,特别是关于分散的风险。
(b)欧盟或成员国的相关法律或政策。
(c) 市场需求。
(d)网络威胁状况的发展。
(e)要求ECCG准备一个具体的候选方案。
步骤二:ENISA在欧盟委员会的要求下,在联盟滚动工作方案的基础上准备一个候选计划或现有的欧洲网络安全认证计划。
候选方案应当满足至少实现以下四个方面安全目标:

  • 数据生命周期管理:比如访问控制、数据处理日志、数据处理的可溯源等管理内容;
  • 业务依赖性和脆弱性管理:比如识别记录、漏洞管理等管理内容;
  • 可用性管理:比如业务连续性、容灾备份等管理内容;
  • 产品、服务、流程设计管理
步骤三:欧盟委员会在EUCC计划的基础上,针对欧盟认证计划范围中受益的个别ICT产品、服务、流程制定欧盟网络安全认证方案。

欧盟网络安全认证框架评析 第1张图片

欧洲网络安全认证框架

认证保证等级

认证计划还将网络安全认证水平划分为三个保证等级,分别为基本保证级别、实质性保证级别、高保证级别。三个等级的区别在于认证审查的范围、程序的严格程度和深度。法案第52条明确了各保证级别对应的最低审查范围要求,具体如下:

欧盟网络安全认证框架评析 第2张图片
此外值得注意的是,认证计划可以允许ICT产品、ICT服务或ICT流程的制造商或供应商进行符合性自我评估。进行符合性自我评估的ICT产品、ICT服务或ICT流程风险较低,相当于“基本保证级别”。


上一篇:拥有欧盟护照后,孩子如何去其它欧盟成员国读书?
下一篇:美国悲伤的孤独:欧洲的穆斯林化和西方的衰落
标签:欧盟欧洲教育欧盟理事会欧洲议会
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

玉米大棒白金会员

0关注

7粉丝

457帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-4-24 10:34