新《密码法》聚焦信息安全,上上签安全资质领跑电子签名行业
随着数字化程度的加深,引入第三方电子签名服务成为中国企业降本增效的重要手段。近日,全国人大常委会表决通过我国首部密码法的消息传出,一举将数据加密、信息安全等问题推到了聚光灯下。
那么,第三方电子签名平台需要具备哪些资质?对企业而言,又该如何判断服务商的安全技术实力?针对这些问题,权威智库机构“艾媒咨询”发布《2019中国电子签名安全专题研究报告》,逐一详解电子签名行业的各项安全资质,并对主流电子签名厂商进行了安全评判。评判结果显示,上上签电子签约平台在信息安全、隐私保护、风控、容灾、云服务能力等维度均保持领先,综合安全建设能力位居行业第一。
聚焦信息安全,新《密码法》松绑商用密码制度
云计算等信息产业的蓬勃发展,让公众对信息安全问题再度聚焦。据新华社消息:十三届全国人大常委会第十四次会议在10月26日下午表决通过了新的《中华人民共和国密码法》,将于2020年1月1日起施行,引发了社会广泛讨论。
新《密码法》的核心精神是“制度松绑”。密码分为核心密码、普通密码和商用密码。在我国1999年发布的行政法规《商用密码管理条例》中,商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理。而在新出炉的《密码法》中,国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
中国互联网协会法治工作委员会专家指出,密码法的重大突破之一,就是给商用密码行业“制度松绑”。它令行业从固态僵化的全环节许可管理制度,一举改革为促进导向、标准牵引、特类规管的法治模式,使全行业迎来久违的春日甘霖,进入到“黄金时代”。全国人大常委会法制工作委员会发言人也表示,密码法立法主要是按照“放管服”改革要求,削减行政许可,放宽市场准入,进一步激发市场主体的活力和创造力。
艾媒揭秘电子签名六大安全资质,上上签安全领先
对电子签名行业而言,制度松绑并不意味着安全标准可以随之降低。恰恰相反,企业在选择第三方电子签名服务商时,更需要擦亮双眼,仔细甄别服务商所具备的相关安全资质是否有的放矢,和是否足够权威。
在近日发布的《2019中国电子签名安全专题研究报告》中,艾媒分析师以上上签电子签约平台为例,从颁发机构、获取门槛、参考价值等维度入手,详细解读了目前与电子签名服务行业高度相关的六项权威安全资质:
① ISO27001信息安全管理体系认证
ISO27001由英国标准协会(BSI)颁发,是国际上对信息安全风险管理的一项最普适的通用标准,可作为评判企业信息安全管控水准的基础参考指标。拥有ISO27001意味着上上签搭建了一套较为完整的信息安全管理体系,确保在人、流程、技术等方面都有恰当的安全管控。
② 信息系统安全等级保护三级认证
信息系统安全等级保护认证由公安部颁发,是在我国《网络安全法》规定的信息安全等级保护制度下,运营者必须强制开展的合规工作。一般私营企业信息系统最高等级为三级。
③ ISO27018 隐私数据保护认证
ISO27018由英国标准协会(BSI)颁发,是公有云领域的用户个人隐私保护标准。拥有ISO27018代表上上签在提供云服务的同时,建立了合规、透明、公开的隐私政策,并通过对用户个人数据生命周期的管控落实了隐私政策的承诺,确保云服务中的用户个人隐私安全。
④ ISO38505-1 数据治理认证
ISO38505-1同样由英国标准协会(BSI)颁发,是一项高规格的国际数据治理标准认证。目前,上上签是全球范围内首家+电子签名行业内唯一一家拥有此项认证的电子签名服务商。基于ISO38505-1,上上签构建了先进的数据安全保护框架,通过建立业务需求、技术研发、安全管理的协同机制,驱动数据中台(包括数据规范、标准、打标、分级体系)的建设,提升公司的数据安全能力,保障客户数据安全。
⑤ “可信云”服务认证
“可信云”由国家工信部旗下的中国信息通信研究院、数据中心联盟颁发,代表上上签云服务能力中的可靠性、安全性、服务质量均通过了评估体系的认可。
⑥ 云计算服务能力标准符合性三级认证
由工信部旗下中国电子工业标准化技术协会颁发,其评估结果将作为国家政府部门等机构云服务招标的重要参考指标之一。目前,上上签在电子签名行业内独家拥有此认证,意味着上上签的管理、安全、技术等云服务能力达到国家标准(GB/T 36326-2018)的要求。
此外,《2019中国电子签名安全专题研究报告》也再次厘清了电子签名行业对《商用密码产品证书型号》的认知。报告显示,《商用密码产品证书型号》是国家密码局针对硬件密码设备颁发的认证,主要用于银行Ukey等硬件密码设备的资质审查。第三方电子签名平台采用互联网SaaS模式,因此《商用密码产品证书型号》并不在平台本身需要具备的资质范围内。
除了安全资质方面的优势以外,建立安全应急响应中心、采用等保4级的阿里金融云服务器架构等也都进一步放大了上上签在安全层面的领先优势。截至2019年9月,上上签电子签约平台累计签署量达到 63.7亿次,服务超过433万家企业客户。艾媒分析师认为,中国第三方电子签名服务平台整体已进入整合阶段,相关运营资质与监管文件逐步健全和完善,上上签的安全技术壁垒将推动电子签名行业的马太效应再度加剧。