新《密码法》聚焦信息安全，上上签安全资质领跑电子签名行业

新《密码法》聚焦信息安全，上上签安全资质领跑电子签名行业

推荐 2019-10-30 15:06:37

随着数字化程度的加深，引入第三方电子签名服务成为中国企业降本增效的重要手段。近日，全国人大常委会表决通过我国首部密码法的消息传出，一举将数据加密、信息安全等问题推到了聚光灯下。

那么，第三方电子签名平台需要具备哪些资质?对企业而言，又该如何判断服务商的安全技术实力?针对这些问题，权威智库机构“艾媒咨询”发布《2019中国电子签名安全专题研究报告》，逐一详解电子签名行业的各项安全资质，并对主流电子签名厂商进行了安全评判。评判结果显示，上上签电子签约平台在信息安全、隐私保护、风控、容灾、云服务能力等维度均保持领先，综合安全建设能力位居行业第一。　

聚焦信息安全，新《密码法》松绑商用密码制度

云计算等信息产业的蓬勃发展，让公众对信息安全问题再度聚焦。据新华社消息：十三届全国人大常委会第十四次会议在10月26日下午表决通过了新的《中华人民共和国密码法》，将于2020年1月1日起施行，引发了社会广泛讨论。

新《密码法》的核心精神是“制度松绑”。密码分为核心密码、普通密码和商用密码。在我国1999年发布的行政法规《商用密码管理条例》中，商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理。而在新出炉的《密码法》中，国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。

中国互联网协会法治工作委员会专家指出，密码法的重大突破之一，就是给商用密码行业“制度松绑”。它令行业从固态僵化的全环节许可管理制度，一举改革为促进导向、标准牵引、特类规管的法治模式，使全行业迎来久违的春日甘霖，进入到“黄金时代”。全国人大常委会法制工作委员会发言人也表示，密码法立法主要是按照“放管服”改革要求，削减行政许可，放宽市场准入，进一步激发市场主体的活力和创造力。

艾媒揭秘电子签名六大安全资质，上上签安全领先

对电子签名行业而言，制度松绑并不意味着安全标准可以随之降低。恰恰相反，企业在选择第三方电子签名服务商时，更需要擦亮双眼，仔细甄别服务商所具备的相关安全资质是否有的放矢，和是否足够权威。　　

在近日发布的《2019中国电子签名安全专题研究报告》中，艾媒分析师以上上签电子签约平台为例，从颁发机构、获取门槛、参考价值等维度入手，详细解读了目前与电子签名服务行业高度相关的六项权威安全资质：

① ISO27001信息安全管理体系认证

ISO27001由英国标准协会(BSI)颁发，是国际上对信息安全风险管理的一项最普适的通用标准，可作为评判企业信息安全管控水准的基础参考指标。拥有ISO27001意味着上上签搭建了一套较为完整的信息安全管理体系，确保在人、流程、技术等方面都有恰当的安全管控。

② 信息系统安全等级保护三级认证

信息系统安全等级保护认证由公安部颁发，是在我国《网络安全法》规定的信息安全等级保护制度下，运营者必须强制开展的合规工作。一般私营企业信息系统最高等级为三级。

③ ISO27018 隐私数据保护认证

ISO27018由英国标准协会(BSI)颁发，是公有云领域的用户个人隐私保护标准。拥有ISO27018代表上上签在提供云服务的同时，建立了合规、透明、公开的隐私政策，并通过对用户个人数据生命周期的管控落实了隐私政策的承诺，确保云服务中的用户个人隐私安全。

④ ISO38505-1 数据治理认证

ISO38505-1同样由英国标准协会(BSI)颁发，是一项高规格的国际数据治理标准认证。目前，上上签是全球范围内首家+电子签名行业内唯一一家拥有此项认证的电子签名服务商。基于ISO38505-1，上上签构建了先进的数据安全保护框架，通过建立业务需求、技术研发、安全管理的协同机制，驱动数据中台(包括数据规范、标准、打标、分级体系)的建设，提升公司的数据安全能力，保障客户数据安全。

⑤ “可信云”服务认证

“可信云”由国家工信部旗下的中国信息通信研究院、数据中心联盟颁发，代表上上签云服务能力中的可靠性、安全性、服务质量均通过了评估体系的认可。

⑥ 云计算服务能力标准符合性三级认证