随着数字化进程的不断推进,政府、企业、高校、医院等持续进行信息化升级,业务应用系统发展十分迅速,内部的系统数和用户数不断增加。例如,中大型企业往往会面向几十万甚至几百万用户、上百种角色和权限,以及上百种应用系统。然而各业务系统的身份信息管理工作相对滞后,无法满足发展的长期需求。
国务院印发的《国务院关于加强数字政府建设的指导意见》中明确指出:要完善身份认证体系,强化安全可信的信息技术应用创新,全面夯实数字政府建设根基,加强数字政府建设。当下,长期以来用户信息冗余分散、应用系统运行独立、身份不统一、老旧软件性能瓶颈、风控和审计缺失等问题突出,“各自为政、条块分割、烟囱林立、信息孤岛”等身份管理问题亟待解决。
数据安全认证
实施程序和认证标准
在应用程序安全认证的实践中,《移动互联 应用程序(App)安全认证实施规则》规定的主要认证环节分为三部分:技术验证+现场核查+获证后监督。对于 络服务或数据产品,数据安全认证的一般实施程序可以从以下几个方面展开:
01
受理
02
技术验证
通过实验室检测和现场核查等方式进行。检测机构按照技术验证规范实施技术验证,并出具技术验证 告
04
认证决定
05
颁发认证证书
对于有形 络产品的认证程序略有不同,需要线下随机抽取样本进行客观评定
对于数据安全的认证标准,除了包括具有强制力的国家法律规范,还应包括国家推荐性标准、行业标准、国际通用标准、认证机构制定的标准等。此外,数据安全认证机构可以结合数字产业实际,建立健全自己的认证标准体系,弥补标准空白、滞后或提高标准,以引导数据安全保障。
在数据安全认证的时间跨度上,既应对互联 企业过去合理期间内的守法合规情况进行审查,也应对认证当时的组织机构设置、人员配备、隐私政策、技术措施等数据安全保障制度作出评估。一旦经过全面评估认定符合认证标准,就应当作出认证决定,及时颁发认证证书。对于认证标志的使用期限,《通用数据保护条例》规定认证的有效期最长为3年。如果相关要求继续满足,在相同条件下可以续期。对于中国数据安全认证的有效期,需要区分不同的认证领域与事项,结合数字科技易变的特点,根据具体情况合理确立认证标志的有效期。另外,应推动建立健全数据安全认证国际互认体系,促进数字经济更好地在海外发展。
应确立完善的认证程序和结果异议机制。如果数据安全认证机构违反认证规则规定的程序,随意增加、减少、遗漏认证程序,认证申请人可以要求重新认证,并可以向相关部门举 投诉。即使认证程序合法,但认证结果也可能不够客观、公正,所以公开透明的认证异议处理机制十分必要。如果对认证决定有异议,应当允许认证申请人提出申诉。认证机构应及时公正处理申请人对认证程序和决定的异议,并书面告知其最终处理结果。
协会总结
数字认证的统一认证管理系统已深度应用于“互联 + 政务”业务,为“数字政府”推进数字化共性应用集约建设提供技术支撑,通过统一的帐 管理,实行分级授权管理,提供“各职其责、杜绝越权”的资源保护机制,为“数字政府”一体化集约化数字基础设施建设、共性应用支撑能力提升及数字化全面发展添砖加瓦。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!