当前位置:安全行业动态 → 正文

欧盟将建立ICT产品和服务网络安全认证机制

责任编辑:editor007 作者:徐程锦 |来源:企业网D1Net  2017-10-24 17:29:47 本文摘自:人民邮电报

工业和信息化部国际经济技术合作中心 徐程锦

欧盟委员会于10月4日公布了关于“修改ENISA授权立法和建立信息通信技术产品和服务网络安全认证制度”的立法草案。该法案自称“网络安全法”(Cybersecurity Act)。

欧盟网络安全法的实质是欧盟网络和信息安全局(ENISA)的授权法,为2004年成立的ENISA赋予新职能,将其改建为欧盟的“网络安全局”,负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一的网络安全产品和服务市场,以及研发和创新等工作。根据该法授权,ENISA的一项重要任务就是建立欧盟层面的信息通信技术产品和服务(ICT产品和服务)网络安全认证制度。

目前,欧盟没有欧盟层面统一的ICT产品和服务网络安全认证制度,主要依靠各成员国自行组织认证。有的成员国有相关认证制度,有的成员国没有,并且认证所依据的技术标准也不完全统一,企业同一件产品或服务在不同国家需要重复认证。此次欧盟建立ICT产品和服务网络安全认证制度,一方面是为了提高欧盟域内的网络安全水平,另一方面也是为了建立统一市场,实现“一次认证,全域通行”,取代各成员国现有的认证体系。

欧盟网络安全法草案并未规定ICT产品和服务网络安全认证制度的具体细节,而是建立了一个框架性制度,规定了认证制度要实现的目标和应包含的要素,并授权ENISA具体负责建立认证制度。

关于认证制度的核心条款是草案第45条至第47条。第45条规定了认证制度要实现的7项安全目标,主要是保障数据的保密性、完整性、可获得性。第46条将认证结果分为3个等级,分别是基本(basic)、坚实(substantial)、高级(high)。第47条规定了认证制度应包含的要素,分别为:(a)涵盖的ICT产品和服务类型;(b)通过认证应满足的网络安全标准细节;(c)安全等级;(d)具体的认证评估方法;(e)申请人为获得认证需提供的信息;(f)标志的使用规范;(g)持续合规的要求;(h)维持、扩展或缩小认证范围的条件;(i)获认证的ICT产品或服务不符合规定的处理方法;(j)之前未发现的网络安全漏洞的处理方法;(k)合格评定机构保留记录的义务;(l)确认成员国针对同类ICT产品或服务实施网络安全认证的规范;(m)认证证书的内容。

欧盟网络安全法草案有三点内容值得注意。其一,根据立法草案内容看,似乎欧盟不会公布一份集中统一的需进行网络安全认证的ICT产品和服务清单,而是要求ENISA根据实际需要或建议,就某一类ICT产品和服务逐次、分别建立网络安全认证制度。ENISA每完成一类ICT产品和服务的网络安全认证制度设计,就提交给欧盟委员会,由欧盟委员会通过立法予以实施。其二,一旦欧盟层面就某一类ICT产品和服务建立了网络安全认证制度,欧盟成员国国内针对该类产品和服务的同类认证即终止实施。结合上述第一点,未来可能出现这种情况,即ENISA已经建立认证制度的ICT产品和服务需要去欧盟层面获得认证,而ENISA尚未建立认证制度的ICT产品和服务需要去成员国国内获得认证。其三,草案称ICT产品和服务网络安全认证制度属于“自愿,除非欧盟法律另有规定”。换言之,欧盟网络安全法并未强制所有ICT产品和服务必须进行网络安全认证,但“欧盟法律另有规定”具体指哪些规定尚不清楚。

此外,欧盟网络安全法草案还创设了一个“欧盟网络安全认证小组”,由各成员国的认证监督机构组成,负责协助欧盟委员会和ENISA做好网络安全认证工作,提供咨询意见和建议。

欧盟层面建立统一的ICT产品和服务网络安全认证制度是一个值得关注的趋势,可能对我国对欧出口ICT产品和服务产生潜在的重大影响。首先,今年以来,欧盟有对投资欧洲先进技术和ICT领域的外来资本加严审查的趋势,这种加严的态度是否会向外来产品和服务扩展仍有待观察。其次,欧盟没有明确指出将针对哪些ICT产品和服务建立网络安全认证制度,未来还可能出现有些产品和服务需要获得欧盟认证,有些产品和服务需要获得成员国认证的情况,在制度上造成了不稳定和不可预期性。再次,该制度也有可能为我国企业带来好处,即一次性获得在欧盟全域有效的认证结果,降低企业逐个国家获取认证的经营成本。

关键字:ICT认证制度认证机制

本文摘自:人民邮电报

x 欧盟将建立ICT产品和服务网络安全认证机制 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

欧盟将建立ICT产品和服务网络安全认证机制

责任编辑:editor007 作者:徐程锦 |来源:企业网D1Net  2017-10-24 17:29:47 本文摘自:人民邮电报

工业和信息化部国际经济技术合作中心 徐程锦

欧盟委员会于10月4日公布了关于“修改ENISA授权立法和建立信息通信技术产品和服务网络安全认证制度”的立法草案。该法案自称“网络安全法”(Cybersecurity Act)。

欧盟网络安全法的实质是欧盟网络和信息安全局(ENISA)的授权法,为2004年成立的ENISA赋予新职能,将其改建为欧盟的“网络安全局”,负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一的网络安全产品和服务市场,以及研发和创新等工作。根据该法授权,ENISA的一项重要任务就是建立欧盟层面的信息通信技术产品和服务(ICT产品和服务)网络安全认证制度。

目前,欧盟没有欧盟层面统一的ICT产品和服务网络安全认证制度,主要依靠各成员国自行组织认证。有的成员国有相关认证制度,有的成员国没有,并且认证所依据的技术标准也不完全统一,企业同一件产品或服务在不同国家需要重复认证。此次欧盟建立ICT产品和服务网络安全认证制度,一方面是为了提高欧盟域内的网络安全水平,另一方面也是为了建立统一市场,实现“一次认证,全域通行”,取代各成员国现有的认证体系。

欧盟网络安全法草案并未规定ICT产品和服务网络安全认证制度的具体细节,而是建立了一个框架性制度,规定了认证制度要实现的目标和应包含的要素,并授权ENISA具体负责建立认证制度。

关于认证制度的核心条款是草案第45条至第47条。第45条规定了认证制度要实现的7项安全目标,主要是保障数据的保密性、完整性、可获得性。第46条将认证结果分为3个等级,分别是基本(basic)、坚实(substantial)、高级(high)。第47条规定了认证制度应包含的要素,分别为:(a)涵盖的ICT产品和服务类型;(b)通过认证应满足的网络安全标准细节;(c)安全等级;(d)具体的认证评估方法;(e)申请人为获得认证需提供的信息;(f)标志的使用规范;(g)持续合规的要求;(h)维持、扩展或缩小认证范围的条件;(i)获认证的ICT产品或服务不符合规定的处理方法;(j)之前未发现的网络安全漏洞的处理方法;(k)合格评定机构保留记录的义务;(l)确认成员国针对同类ICT产品或服务实施网络安全认证的规范;(m)认证证书的内容。

欧盟网络安全法草案有三点内容值得注意。其一,根据立法草案内容看,似乎欧盟不会公布一份集中统一的需进行网络安全认证的ICT产品和服务清单,而是要求ENISA根据实际需要或建议,就某一类ICT产品和服务逐次、分别建立网络安全认证制度。ENISA每完成一类ICT产品和服务的网络安全认证制度设计,就提交给欧盟委员会,由欧盟委员会通过立法予以实施。其二,一旦欧盟层面就某一类ICT产品和服务建立了网络安全认证制度,欧盟成员国国内针对该类产品和服务的同类认证即终止实施。结合上述第一点,未来可能出现这种情况,即ENISA已经建立认证制度的ICT产品和服务需要去欧盟层面获得认证,而ENISA尚未建立认证制度的ICT产品和服务需要去成员国国内获得认证。其三,草案称ICT产品和服务网络安全认证制度属于“自愿,除非欧盟法律另有规定”。换言之,欧盟网络安全法并未强制所有ICT产品和服务必须进行网络安全认证,但“欧盟法律另有规定”具体指哪些规定尚不清楚。

此外,欧盟网络安全法草案还创设了一个“欧盟网络安全认证小组”,由各成员国的认证监督机构组成,负责协助欧盟委员会和ENISA做好网络安全认证工作,提供咨询意见和建议。

欧盟层面建立统一的ICT产品和服务网络安全认证制度是一个值得关注的趋势,可能对我国对欧出口ICT产品和服务产生潜在的重大影响。首先,今年以来,欧盟有对投资欧洲先进技术和ICT领域的外来资本加严审查的趋势,这种加严的态度是否会向外来产品和服务扩展仍有待观察。其次,欧盟没有明确指出将针对哪些ICT产品和服务建立网络安全认证制度,未来还可能出现有些产品和服务需要获得欧盟认证,有些产品和服务需要获得成员国认证的情况,在制度上造成了不稳定和不可预期性。再次,该制度也有可能为我国企业带来好处,即一次性获得在欧盟全域有效的认证结果,降低企业逐个国家获取认证的经营成本。

关键字:ICT认证制度认证机制

本文摘自:人民邮电报

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^