Mô hình các tổ chức đánh giá về an toàn thông tin của Anh gồm: Cơ quan có thẩm quyền công nhận (United Kingdom Accreditation Service - UKAS), Ủy ban quản lý, Cơ quan có thẩm quyền cấp chứng nhận (CESG).
Quá trình kiểm định an toàn thông tin của Anh (Hình 1) được điều hành bởi Tập đoàn An toàn điện tử viễn thông (Communications Electronics Security Group - CESG) và Bộ Thương mại và Công nghiệp (Deparment of Trade and Industry - DTI).
Hình 1: Mô hình kiểm định an toàn thông tin Anh
Trong mô hình trên, chức năng, nhiệm vụ thực hiện đánh giá an toàn thông tin được phân định như sau:
1. Cơ quan có thẩm quyền công nhận - UKAS: Có thẩm quyền xét và công nhận năng lực của các Trung tâm kiểm định. Chu kỳ giám sát là 6 – 12 tháng và sau 3 – 4 năm sẽ thực hiện việc xem xét lại năng lực của các Trung tâm kiểm định.
2. Ủy ban quản lý: Là cơ quan chịu trách nhiệm và đưa ra chính sách của hệ thống kiểm định và giám sát đối với cơ quan kiểm định/cấp chứng nhận, công bố báo cáo hàng năm và phân xử những tranh chấp xảy ra trong quá trình kiểm định. Ủy ban được thiết lập từ các thành viên của CESG, DTI, Bộ Tài chính và Bộ Quốc phòng.
3. Cơ quan có thẩm quyền cấp chứng nhận – CESG: Là tổ chức thuộc Cơ quan chỉ đạo về truyền thông của chính phủ Anh (Government Communications Headquarters - GCHQ), có thẩm quyền cấp chứng nhận về mức kiểm định của sản phẩm an toàn thông tin thông qua xem xét Báo cáo kỹ thuật kiểm định (ETR) do tổ chức kiểm định đưa ra. CESG có nhiệm vụ:
+ Xem xét lại giấy phép cho cơ quan có thẩm quyền kiểm định dưới sự phê chuẩn của UKAS và xác nhận các công ty giám sát và chấp thuận quy tắc của cơ quan có thẩm quyền kiểm định.
+ Hỗ trợ các công ty liên quan của cơ quan có thẩm quyền kiểm định như bên tư vấn và bên đào tạo kỹ thuật.
+ Đăng ký và quản lý sản phẩm đã được kiểm định/cấp chứng nhận.
+ Tham gia các hoạt động quốc tế về sự công nhận lẫn nhau, cung cấp báo cáo về hội nghị cho ủy ban quản lý.
+ Phát triển và quản lý phương pháp kiểm định của Anh.
4. Tổ chức kiểm định (Commercial Evaluation Facilities - CLEF): là các tổ chức có chức năng kiểm định sản phẩm an toàn thông tin của Anh. CLEF được thành lập bởi cơ quan có thẩm quyền cấp chứng nhận CESG. CESG phê chuẩn báo cáo ETR nhằm chứng nhận cho kết quả kiểm định của CLEF bảo đảm một cách chính xác theo quy trình kiểm định.
Quy trình kiểm định sản phẩm
1. Giai đoạn 1: Chuẩn bị kiểm định
Yêu cầu kiểm định: Bên có nhu cầu kiểm định sẽ liên hệ với nhóm tư vấn của CLEF để được hướng dẫn thủ tục, hồ sơ và đơn xin kiểm định sản phẩm. Nếu bên phát triển sản phẩm không đủ khả năng hoàn thành hồ sơ kiểm định thì nhóm tư vấn kiểm định sẽ hỗ trợ việc hoàn chỉnh hồ sơ kiểm định.
Hoàn thành hồ sơ giao nộp để kiểm định: Bên yêu cầu kiểm định dựa trên ý kiến tư vấn sẽ hoàn thành hồ sơ và nộp đơn, giao nộp sản phẩm và các tài liệu liên quan để đề nghị kiểm định.
CLEF có nhiệm vụ kiểm tra hồ sơ đề nghị kiểm định bao gồm: sản phẩm, tài liệu kỹ thuật đặc tả về sản phẩm, mô tả thi công, tài liệu test, phân tích điểm yếu, các tài liệu hướng dẫn sử dụng. Khi hồ sơ chưa đạt theo quy định, bên đề nghị kiểm định có thể yêu cầu lại nhóm tư vấn hỗ trợ, giúp xem xét, kiểm tra và hoàn chỉnh lại hồ sơ.
Xây dựng hợp đồng: CLEF sẽ xây dựng một hợp đồng kiểm định, trong đó thể hiện thời gian kiểm định, chi phí kiểm định, các điều kiện đảm bảo cho việc kiểm định,... và một số yêu cầu đối với các bên tham gia vào quá trình kiểm định. Hợp đồng này được phê duyệt bởi CESG.
Ký hợp đồng kiểm định: Sau khi thống nhất hợp đồng, cả 3 bên CLEF, CESG và bên xin kiểm định sẽ tiến hành ký hợp đồng kiểm định.
2. Giai đoạn 2: Thực hiện kiểm định
Bên xin kiểm định tổ chức phiên họp nhằm giúp cho CLEF hiểu biết hồ sơ xin kiểm định.
Thành lập đội kiểm định: CLEF thành lập đội kiểm định bao gồm người đứng đầu và những kiểm định viên để kiểm định sản phẩm đã xin kiểm định. CLEF xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên cơ quan cấp chứng nhận.
Thông qua kế hoạch kiểm định: CESG cùng với Bên xin kiểm định và Trung tâm kiểm định thảo luận và thông qua kế hoạch kiểm định cuối cùng. Sau đó CESG sẽ thành lập một đội giám sát quá trình kiểm định và viết báo cáo giám sát gửi về CESG. Khi cần thiết, Bên xin kiểm định có thể cung cấp thêm thông tin và các tài liệu liên quan trong khi kiểm định.
Dừng kiểm định: Khi Bên xin kiểm định không đáp ứng các yêu cầu thì CLEF và CESG có thể thống nhất và ra quyết định dừng việc kiểm định.
Thực hiện kiểm định: Các nhóm kiểm định thực hiện việc kiểm định và viết báo cáo kiểm định kỹ thuật về sản phẩm. Nhóm giám sát sẽ viết báo cáo giám sát. Trong quá trình viết báo cáo, nhóm giám sát có thể yêu cầu nhóm kiểm định làm rõ các quy trình kiểm định và cung cấp thêm tài liệu hỗ trợ.
3. Giai đoạn 3: Cấp chứng nhận hợp chuẩn/ hợp quy cho sản phẩm
Khi kiểm định xong, Tổ chức kiểm định gửi lại Báo cáo kỹ thuật tới Cơ quan có thẩm quyền cấp chứng nhận. Cơ quan này sẽ tổng hợp và gửi báo cáo kiểm định tới Ủy ban quản lý và sau đó tiến hành cấp chứng nhận cho sản phẩm.
