来自数字身份生态系统不同领域的专家阐明了获得新西兰数字身份服务信任框架(DISTF)认证所需的条件。他们在 3 月 26 日由新西兰数字身份执行董事 Colin Wallis 主持的网络研讨会上分享了自己的想法,期间他们还解释了有关流程的详细信息以及认证带来的好处。
新西兰的 DISTF 是一个法律框架,旨在随着该国寻求扩展其数字身份服务而规范数字身份服务。 DISTF的新规则和认证体系去年十一月。
名为“DISTF 评估者展示”的网络研讨会的目的是为那些考虑 DISTF 认证的人提供一个机会,了解其对小型和大型实体的优势、组织角色、成本和时间框架,以及在认证申请之前评估符合标准的准备过程。
讨论者包括 Middleware Group 的安全顾问、汤姆·诺克利夫;德勤网络、隐私和弹性总监,是经过认可的评估师,马库斯·博塞特;和 Cianaa Technologies 创始人,里兹万·艾哈迈德, 谁都是新西兰数字身份成员。还有新西兰内政部的监管实践经理,迪安·迈尔斯。
前三位演讲者抽出时间介绍了他们的公司,重点介绍了他们在数字身份和网络安全领域的服务和关键项目。他们还提到了他们在新西兰的一些项目以及与他们合作的机构。
Bossert 首先解释了德勤作为咨询服务公司在数字安全评估领域所做的工作。他提到,该公司提供网络战略、转型、数字隐私、信任和企业安全、应用云安全、新兴技术解决方案、威胁检测和响应以及运营安全服务等服务。他还表示,他们在数字身份项目上进行了广泛的工作。
他表示,DISTF 认证流程的评估会考虑多个因素,包括企业安全、云安全、安全和弹性机制以及威胁检测和响应等。该官员还解释说,该公司在指导组织完成认证流程、帮助他们调整网络安全和隐私专业知识以确保交易成功方面发挥着重要作用。
认证不仅仅是合规手续
他坚称,该认证不仅是为了合规性,而且可以使实体展示强大的安全实践,这对于在董事会、客户甚至监管机构等利益相关者之间建立信心和信任至关重要。
“如果你考虑为什么想要获得认证,你就必须考虑参与其中的利益相关者。但从根本上说,你还必须从更实际和可操作的角度来考虑它,”博塞特说。
“安全、隐私、开发和运营团队非常想知道您内置了可靠的安全实践。对他们来说,了解并明确控制措施非常有价值。因此,我将认证流程视为一种建立利益相关者所需信心的机制,”他表示。
“[感谢]我们所做的工作、我们的知识和全球网络,我们可以帮助您加快准备速度并找到通往成功的最短路径,这样我们就可以帮助您专注于真正重要的事情,获得认证并加速运营准备工作。”
Middleware Group 的 Norcliffe 则强调了数字 ID 信任框架的重要性,并表示这对于他们与新西兰政府实体和私营部门开展的大部分工作至关重要。
Ahmad 发言时表示,Cianaa Technologies 拥有一个框架,他们的独立安全评估团队可以在该框架上提供渗透测试、隐私和 GDPR 合规性等服务。
“我们根据这个[框架]评估组织。我们看你是否对信息保密,是否保持完整性,你的服务是否可用,是否具有防重复性,以及是否具有适当的身份验证授权,”他说。
“现在,当我们根据此评估您的组织时,它实际上会自动放弃正确的评估,因为如果缺少某些东西,那么安全性就会缺少某些东西。”
认证申请流程概述
迈尔斯表示,她管理的团队基本上负责认证过程的所有方面。她概述了申请流程所需的组成部分信任框架权威(TFA),并指出整个过程是透明的。
“我们接收并评估作为信任框架提供商的认证申请。我们监控认证要求的持续遵守情况,评估更新申请,并显然处理这些过程中出现的任何问题。”
她解释说,申请过程的一部分需要独立评估人员进行独立评估的结果,包括针对新西兰识别标准的一致性评估。 “这些成果或可交付成果将作为申请的一部分提交,”她说。
“目前已任命 15 名独立安全评估员和 3 名隐私独立评估员。不过,我们目前正在进行意向表达流程,呼吁有能力且符合标准的其他机构有兴趣被任命为隐私或安全评估员,或两者兼而有之。”
迈尔斯还分享了重要的链接和资源,可以帮助那些寻求认证的人更好地了解他们的要求以及他们如何成功地完成整个过程。她还表示,申请需要在标准合规性评估后 12 个月内提交。
了解您需要什么
发言者还指出了人工智能在信任框架评估过程中的地位。艾哈迈德表示,虽然该技术可以为这一过程做出积极贡献,但它也可能带来影响这些评估的挑战。
Bossert 补充说,申请认证的人必须清楚地了解自己的需求,而且通常他们希望整个过程尽可能快速、轻松且具有成本效益。
“如果您曾经做过 ISO 认证之类的事情,您就会理解或知道,明确您正在寻求的认证范围非常有用。因此,不要在不需要的领域申请认证。例如,如果您不打算提供个人信息,那么就不要为此注册认证,”他建议道。
他还表示,为了使评估人员的工作变得轻松,那些寻求提供信托服务的人必须考虑某些关键因素,包括建立正确的控制和风险管理机制。
“我建议您尽早查看您的解决方案并进行适当的风险评估,以便您了解这些风险,并开始建立必要的控制措施。就风险而言,如果您能够证明您正在积极管理它们并且拥有可见性和控制力,那么这肯定有助于提供所需的信心。”
评估过程的定价方面也得到了讨论,发言者表示,评估过程的费用大约在 10,000 美元到 50,000 美元之间,具体取决于要评估的实体的范围和准备程度。
文章主题
||||||
