- Tổ chức xây dựng luật/chính sách: Bộ thông tin và truyền thông (inistry of Infomatioin and Comunication - MIC) có nhiệm vụ: Làm Luật/Chính sách có liên quan hệ thống bảo vệ thông tin; Thông báo các chỉ dẫn và các chuẩn liên quan kiểm định; Thiết lập các chính sách liên quan kiểm định; Các chuẩn kiểm định về nhà phát triển hệ thống bảo vệ thông tin.
- Cơ quan cấp chứng nhận: Cục Tình báo quốc gia - NIS có nhiệm vụ: Chuẩn bị báo cáo kết quả, cấp chứng nhận và phát hành chứng chỉ; Giám sát kiểm định của bộ phận được ủy quyền kiểm định; Giải quyết tranh chấp giữa bên đệ đơn và bên kiểm định; Tạo các chính sách liên quan đến thỏa thuận công nhận lẫn nhau; Thiết lập và thực thi tiến trình cấp chứng nhận Công khai sản phẩm cấp chứng nhận; Đưa ra quản lý đối với sản phẩm chứng nhận; Đăng ký và quản lý các PP được chứng nhận.
- Cơ quan kiểm định: Cơ quan An toàn thông tin và Internet Hàn Quốc (Korea Information Security Agency - KISA) có nhiệm vụ: Hợp đồng kiểm định và thực hiện kiểm định: Đưa ra chuẩn kiểm định, hướng dẫn kiểm định, phát triển và công bố các chỉ dẫn chuẩn kiểm định; Đưa ra phương pháp luận kiểm định, công nghệ và các tài liệu liên quan đến kiểm định; Nghiên cứu và hoạt động liên quan đến thỏa thuận công nhận lẫn nhau; Thiết lập các quy định và thực hiện quá trình kiểm định.
Cơ cấu tổ chức của KISA:
Quy trình kiểm định sản phẩm
1. Giai đoạn 1: chuẩn bị kiểm định
Yêu cầu kiểm định: Nhà phát triển khi có nhu cầu kiểm định sẽ liên hệ nhà bảo trợ để được hướng dẫn đơn xin kiểm định sản phẩm và các thủ tục, hồ sơ như xây dựng PP, ST, các tài liệu về TOE...
Hoàn thành hồ sơ giao nộp để xin kiểm định: Nhà bảo trợ cần chuẩn bị dữ liệu và các điều kiện cần thiết để tạo môi trường và kịch bản kiểm định sản phẩm. Sau khi hoàn thành các công việc chuẩn bị, nhà bảo trợ viết đơn xin kiểm định và giao nộp hai bản hồ sơ sản phẩm để xin kiểm định. Nhà bảo trợ và nhà phát triển cung cấp các thiết bị phục vụ cho việc kiểm định sản phẩm khi có yêu cầu của trung tâm kiểm định.
Sau khi hoàn thành hồ sơ xin kiểm định, nhà bảo trợ nộp hồ sơ xin kiểm định tới KISA. Nếu hồ sơ chưa hợp lệ KISA sẽ trả lại nhà bảo trợ. Khi hồ sơ hợp lệ KISA sẽ chấp thuận đơn xin kiểm định của nhà bảo trợ.
Đệ trình hồ sơ xin kiểm định cho cơ quan cấp chứng nhận: KISA đệ trình hợp đồng kiểm định tới cơ quan cấp chứng nhận NIS. NIS sẽ tiến hành xem xét và phê chuẩn hợp đồng kiểm định.
+ Ký hợp đồng kiểm định: Nếu sự thỏa thuận đạt được giữa 3 bên: Nhà bảo trợ, KISA và NIS thì hợp đồng sẽ được ký kết. KISA sẽ thực hiện kiểm định sản phẩm.
2. Giai đoạn 2: thực hiện kiểm định:
Nhà bảo trợ sẽ cùng KISA tổ chức các cuộc họp nhằm giải thích, làm rõ hồ sơ xin kiểm định, thuyết minh chức năng của sản phẩm.
Thành lập đội kiểm định: KISA cử ra các nhóm kiểm định từ các đội kiểm định. KISA xây dựng dự kiến kế hoạch kiểm định sản phẩm và sau đó đệ trình lên NIS. NIS cùng với nhà bảo trợ và KISA thông qua kế hoạch kiểm định cuối cùng. Sau đó NIS sẽ thành lập một đội giám sát quá trình kiểm định.
Yêu cầu bổ sung thông tin: Các nhóm kiểm định tiến hành kiểm định hồ sơ sản phẩm, nếu có yêu cầu bố sung các tài liệu còn thiếu trong khi kiểm định thì đề nghị nhà bảo trợ cung cấp. Khi cần, nhà phát triển có thể giải quyết các vấn đề phát sinh trong quá trình kiểm định, đồng thời có thể cung cấp thêm thông tin và các tài liệu có liên quan trong khi kiểm định. Các công việc đó trước khi thực hiện đều được cả 3 bên thống nhất, ra quyết định và có văn bản kèm theo. Khi nhà phát triển không đáp ứng các yêu cầu của KISA thì NIS sẽ ra quyết định dừng việc kiểm định.
Tiến hành kiểm định: Nhóm kiểm định thực hiện kiểm định theo kế hoạch đã được phê chuẩn. Sau khi kiểm định xong sẽ viết báo cáo kỹ thuật kiểm định. Nhóm giám sát độc lập hoàn toàn với nhóm kiểm định trong việc giám sát và sẽ viết báo cáo giám sát sau khi kiểm định xong.
3. Giai đoạn 3 - cấp chứng nhận:
Khi kiểm định xong, KISA sẽ xem xét kết quả kiểm định. Nếu kết quả kiểm định không đạt theo mức yêu cầu của nhà bảo trợ thì KISA sẽ cùng với NIS thống nhất và ra quyết định dừng việc cấp chứng nhận cho sản phẩm. Đồng thời gửi lại báo cáo kỹ thuật kiểm định, hồ sơ gốc, sản phẩm và tài liệu có liên quan tới nhà bảo trợ.
Nếu kết quả kiểm định đạt được mức yêu cầu kiểm định của nhà bảo trợ thì KISA sẽ gửi báo cáo kỹ thuật cùng bản sao sản phẩm và các tài liệu có liên quan lên NIS. Đồng thời nhóm giám sát cũng sẽ gửi báo cáo giám sát lên NIS. NIS sẽ xem xét báo cáo giám sát, báo cáo kỹ thuật kiểm định và cấp chứng nhận cho sản phẩm khi sản phẩm đạt mức đặt ra.
03:52 | 24/06/2016
Trong lĩnh vực công nghệ thông tin, nhu cầu sử dụng các cơ chế mật mã để bảo vệ thông tin liên tục gia tăng. Tính an toàn và tin cậy của các cơ chế như vậy phụ thuộc trực tiếp vào các môđun mật mã, trong đó các cơ chế này được thực thi. Trước yêu cầu này, Tiêu chuẩn Quốc gia Việt Nam TCVN 11295:2016 ISO/IEC 19790:2012 “Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho môđun mật mã” đã được công bố theo đề nghị của Ban Cơ yếu Chính phủ. Tiêu chuẩn này đã bước đầu đáp ứng cho công tác tiêu chuẩn, kiểm định, đánh giá trong lĩnh vực mật mã. Bài viết dưới đây sẽ phân tích một số vấn đề liên quan đến việc triển khai tiêu chuẩn mới này.
04:00 | 06/06/2014
CC-IS là các yêu cầu chứng nhận cần tuân thủ bắt buộc đối với các sản phẩm an toàn thông tin cho thị trường mua sắm cho cơ quan chính phủ của Trung Quốc. Các sản phẩm an toàn thông tin không thuộc lĩnh vực mua sắm cho cơ quan chính phủ thì áp dụng tự nguyện. Cơ quan chỉ định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực hiện chứng nhận CC-IS bao gồm 08 mục sản phẩm và được mở rộng thành 13 loại sản phẩm cụ thể.
05:00 | 06/12/2013
Mô hình đánh giá ATTT của Đức có tên gọi BSI 7149, được điều hành bởi Cơ quan an toàn thông tin liên bang BSI (Bundesamt für Sicherheit in der Informationstechnik - Tiếng Anh: Federal Office for Information Security). BSI 7149 phân ra làm 2 nhánh rõ ràng cho 2 lĩnh vực là sản phẩm dùng cho khu vực chính phủ và sản phẩm dùng cho kinh tế - xã hội.
06:00 | 07/07/2011
Đảm bảo an toàn hệ thống thông tin là vấn đề mang tính hệ thống, được giải quyết một cách đồng bộ theo các hướng điều chỉnh luật pháp, tổ chức quản lý và sử dụng các phương tiện công nghệ thông tin (CNTT).