法國資訊保安CA許可證制度初探

法國資訊保安ca許可證制度初探

馬民虎

資訊保安認證作為保障資訊網路安全的重要環節，法國非常重視資訊保安ca制度的建設。從2023年起，法國制定了許多有關資訊保安認證的法令，如2023年3月17日《關於密碼裝置和提供服務由許可改為提前申報的決定》（第99—199法令），2023年3月17日《關於密碼裝置和提供服務免除一切手續的決定》（第99—200號法令）， 2023年2月24日《關於密碼裝置和提供服務的許可條件》（第98--101號法令），2023年3月13日《關於金鑰管理機構申請許可的資料形式和內容》，2023年2月24日《關於金鑰管理機構的許可條件》（第98--102號法令）

[1]

。這些法令涉及了資訊保安認證的所有環節，內容之詳盡、設計之嚴密，從此我們可以看出法國資訊保安認證的基本法律框架。

一、資訊保安ca許可證的申領與頒發

按照第90--1170號法律，第一總理簽發了《關於金鑰管理機構的許可條件》（第98--102號法令），對資訊保安認證許可證的申請、審核等內容作出了明確的規定。

（一）申請資訊保安認證機構的資格

在法國，資訊保安認證制度實行社會化的監督管理機制。所謂資訊保安認證社會化，是指**機關不介入安全認證的具體活動，資訊保安認證的具體工作由商事組織承擔。所以在法國進行註冊登記的任何機構都可以申請從事資訊保安認證活動的資質。

（二）申請資訊保安認證必須遞交的材料

（1）申請機構的身份證明材料

****或資本公司必須提供公司名稱、公司所在地位址和**號碼、siret號、公司商業註冊資料以及公司資本分布的材料。

合夥公司必須提供合夥名稱、位址和**號碼、siret號、公司商業註冊資料、合夥人的國籍及身份、公司股份分布情況的材料

[2]。

個人企業必須提供企業名稱、位址和**號碼、企業主的個人身份和國籍、siret號、公司及商業註冊資料。

（2）申請機構的安全策略檔案

安全策略是申請機構從事資訊保安認證活動的基本政策，包括國家有關資訊保安法的強制性規定、機構章程性檔案以及維護資訊保安的方針策略。

（3）申請機構向使用者提供的資訊保安認證合同範本

資訊保安認證機構與使用者之間的關係主要表現為合同關係。由於使用者可以是其他資訊保安認證機構，也可以是企事業單位和個人。所以申請者提供的合同一般包括認證機構合同、單位認證合同和個人認證合同。

（4）申請機構簽名的招標細則

招標細則是申請機構對社會公開承諾的服務範圍與責任。與versign cps不同

[3]

，招標細則重點不是向社會公告申請機構受理證書申請、審核申請材料的合法性、證書簽發、證書接受、證書使用、證書中止、證書期滿等方面的程式及相關法律責任，而是向社會公告申請機構從事資訊保安認證的安全程度。安全程度是資訊保安認證機構所使用裝置保密性、完整性、不可抵賴性的反映，也是其工作人員安全可靠性的體現。安全程度還包括機構終止資訊保安認證活動後將使用者金鑰遞交給官方機構的程式。

（三）申請材料遞交的方式

申請機構必須以**信方式向國家資訊系統安全服務中心遞交許可申請。當然，申請機構也可以直接遞交許可申請。

（四）申請許可證的審核方式

如果申請機構提交的材料符合形式要求，第一總理將根據國家的內外安全狀況，綜合審查申請資訊保安認證機構的具體能力。從接到申請通知之日起4個月內，通過**信函形式向申請機構通知審核結果。如果在該期限內發生通知錯誤的情況，則視為申請人已得到資訊保安認證的許可。

在接到申請1個月內，如果資訊系統安全服務中心沒有要求申請者補充必要的材料，則視為材料形式合格。如果需要補充材料，則4個月期限應從收到完整材料之日起計算。

法國資訊保安CA許可證制度初探

為我國資訊保安擔憂

中國資訊保安技術標準體系框架

中國資訊化人才

法國資訊保安CA許可證制度初探

為我國資訊保安擔憂

中國資訊保安技術標準體系框架

中國資訊化人才

相關推薦