T-SCCIA 012-2023 电子认证服务机构运营风险管理指南_第1页
T-SCCIA 012-2023 电子认证服务机构运营风险管理指南_第2页
T-SCCIA 012-2023 电子认证服务机构运营风险管理指南_第3页
T-SCCIA 012-2023 电子认证服务机构运营风险管理指南_第4页
T-SCCIA 012-2023 电子认证服务机构运营风险管理指南_第5页
已阅读5页,还剩16页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

准T/SCCIA

电子认证服务机构运营风险管理指南Guidelines

for

risk

management

of

certificate

authority

operation 深圳市商用密码行业协会 发

012-2023

6.1

.36.2

.3

7.1

.47.2

.4

8.1

.58.2

.58.3

.58.4

.68.5

.7

II

012-2023 本标准按照GB/T

012-2023 IV

012-2023

GB/T

28447-2012

GB/T

31722-2015

GB/T

25056-2018

GB/T

21053-2023

GJB

3.1

certificate

authority

CA

3.2

practice

3.3

digital

certificate

012-20233.4

certificate

revocation

CRL

通常又被称为数字证书黑名单。内容通常还包含

CA

机构的名称、发行日期、下次3.5

online

protocol

business

risk

source

risk

management

CA:

certificate

CPS:

practice

CRL:

certificate

revocation

list

online

certificate

status

protocolUSB

KEY:

serial

key

012-2023

一)构建维护CA运营风险管理框架与体系,建立健全风险管理组织架构,设置符合CA机构自

6.1

6.2

012-2023

7.1

7.2

012-20238.1

a) b) c) d) e)

f)

e) 8.2

及其发生的原因和潜在后果。可以通过建立风险识别清单(见附录A),参照清单进行风险8.3

a)

b)

c)

8-11

012-2023d)

e)

险识别完成后,根据对经营管理活动的影响,用0、1、2、3、4等数值,对风险源的概率等

8.4

012-2023险概率等级,降低风险损失程度和减少风险的发生。如出现证书办理量减少、业绩收入下降

风险处置方式并不是固定选择,也不会相互排斥,CA机构可以根据实际情况进行灵活组合,以达附录A以风险识别清单的常见风险为例,描述电子认证服务机构应对该类风险可采取的8.5

012-2023

a) b) c) d) e) f) g) 中(2)严重(4)高风险(8)高(3)严重(4)高(3)一般(3)高(3)一般(3)高风险(9)高(3)严重(4)高(3)严重(4)高(3)一般(3)高风险(9)高(3)严重(4)高(3)一般(3)高风险(9)高(3)严重(4)高(3)严重(3)高风险(9)

012-2023

高(3)严重(4)高(3)严重(4)CA

高(3)严重(4)低(1)严重(4)中风险(4)低(1)严重(4)中风险(4)低(1)严重(4)中风险(4)证书密钥及激活数据(包括证书

KEY、在线下载证书

高(3)严重(4)

CRL

OCSP中(2)严重(4)高风险(8)低(1)严重(4)中风险(4)中(2)中风险(4)中(2)非常严重(5)中(2)非常严重(5)

012-2023表四(续)10中(2)低(1)低(1)低(1)低(1)密钥生成和使用方式不符合《GM/T

《GB/T25056-2018

信息安全技术

证书认证系统密码及其相关安技术规范》《GB/T

21053-2023

低(1)密钥分发传输时所用的通讯协议不符合《GM/T

25056-2018

《GB/T21053-2023

信息安全技术

公钥基础设施

系统安全技术低(1)未建立严格的密钥对管理流程以有效防止加密密钥的丢失、低(1)低(1)认证服务系统未使用通过国家密码主管部门鉴定并批准使用低(1)

012-2023表四(续)11中(2)严重(4)

CA

CA

CA

密钥的产生、恢复、更新、废除和销毁所用方式不符合《GM/T

相关安全技术规范》《GB/T

25056-2018

证系统密码及其相关安全技术规范》《GB/T

21053-2023

信息安全技术

公钥基础设施

系统安全技术要求》及其他最新低(1)非常严重(5)不符合《GM/T

低(1)非常严重(5)低(1)严重(4)门禁系统未能有效控制每一道门,并准确记录进出每一道门的低(1)严重(4)中(2)严重(4)非法的闯入或非正常手段的开门,不能有效触发报警系统或报中(2)严重(4)中(2)严重(4)未采用高可靠的电源解决方案。不能提供双路市电及柴油发电

中(2)严重(4)

7X24

低(1)一般(3)

低(1)一般(3)

012-2023表四(续)12

低(1)非常严重(5)不符合《GM/T

低(1)非常严重(5)中(2)严重(4)中(2)严重(4)低(1)严重(4)入侵检测或入侵防御探测设备没有正确部署在服务区交换机低(1)严重(4)低(1)严重(4)低(1)严重(4)低(1)严重(4)低(1)严重(4)低(1)严重(4)低(1)严重(4)低(1)严重(4)中(2)严重(4)中(2)严重(4)中(2)严重(4)

012-2023表四(续)13中(2)一般(3)中(2)严重(4)中(2)严重(4)中(2)严重(4)中(2)一般(3)中(2)严重(4)中(2)严重(4)中(2)严重(4)

18

中(2)严重(4)

18

低(1)严重(4)

18

低(1)严重(4)

18

低(1)严重(4)

18

低(1)严重(4)

18

低(1)严重(4)

18

低(1)严重(4)低(1)一般(3)低(1)一般(3)

012-2023表四(续)14低(1)严重(4)低(1)低(1)低(1)一般(3)低(1)严重(4)低(1)一般(3)中(2)一般(3)中(2)一般(3)

012-2023表四(续)15

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论