ISO27001信息安全和SSL证书没有关系,不仅没有关系,甚至都不属于SSL证书都搭不上边的资质,不属于SSL证书强制资质。当然有一些别有用心的商家会和采购人变相限制市场准入,逼迫正规的SSL证书厂家或者提供商无法参加项目,从而显露的腐败问题。
首先我们来了解一下,什么是国际ISO27001信息安全标准资质证书。该认证的核心内容可以概括为以下三项关键组成部分:
1. 信息安全管理体系(ISMS)
2. 风险评估与处理
3. 控制措施实施与审核
我们看一下,中国网络安全审查认证和市场监管大数据中心,做了解释建立信息安全管理体系(ISMS)和认证机构从事ISMS认证提供了一致的标准依据。
全文如下:
2008年6月19日,国家标准委发布公告决定,国家标准GB/T 22080-2008《信息技术安全技术 信息安全管理体系 要求》和国家标准GB/T 22081-2008《信息技术 安全技术 信息安全管理实用规则》于2008年11月1日起实施。(国家标准委2008年第10号(总第123号))
国家标准GB/T 22080-2008和GB/T 22081-2008等同采用了国际标准ISO/IEC 27001:2005和ISO/IEC 27002:2005。公告的发布实施为国内组织建立信息安全管理体系(ISMS)和认证机构从事ISMS认证提供了一致的标准依据。
我们可以看到需要从事ISMS认证,SSL证书也是认证但属于数字证书认证和ISMS认证根本不是一码事,所以不能把所有关于认证类的资质都套用到SSL证书产品的。
那么SSL证书是什么?
SSL证书属于数字证书的一种,我们打开的网站用的SSL证书,主要用的是国际算法,这是因为只有国际算法浏览器才信任,该算法包括RSA或者ECC算法这两种【国密不在这个范围,因为国密算法不备主流浏览器信任】,SSL证书的厂家需要通过WebTrust认证、并且是CA/Browser Forum成员,只有这样根证书才会被主流浏览器信任,目前国内厂家也就CFCA勉强可以让主流浏览器访问,所以除了CFCA,其它的是国外机构,而且因为历史原因目前全球可以数得过来的机构不到4家,这些机构都在国外,数字证书有自己的管理认证和规范,所以SSL证书厂家是不需要国际ISO27001信息安全标准资质证书。也不是你有这样的SSL证书你就可以颁发的SSL证书,如果真的是这样,世界的CA机构遍地都是,也就不存在国产SSL证书没有一家符合99%及历史版本浏览器和操作系统的厂家了。
我们按照《中国国产SSL证书企业目录公告》可以看到根据预设根证书列表:Microsoft、Apple、Mozilla、Google入根四大根证书,通过WebTrust、CA/Browser Forum。
所以SSL证书提供商或者经销商或者代理商,都不需要《ISO27001信息安全标准资质证书》该证书和SSL证书无关,也不是强制要求,SSL证书无需办理《ISO27001信息安全标准资质证书》,该资甚至想搭个边都搭不到,因为SSL证书和ISO27001压根没有任何关系。
那么SSL证书厂家需要什么资质?
回复:无论是国产还是国外SSL证书RSA或者ECC算法SSL证书厂家必须通过WebTrust认证、并且是CA/Browser Forum成员。如果是国密算法厂家必须拥有《电子认证服务许可证》、《电子认证服务使用密码许可证》。
SSL证书代理商或者经销商需要什么资质?
回复:厂家授权或者SSL证书签发完毕颁发者显示的厂家具有SSL证书厂家资质并通过主流访问正常,通过MYSSL或者ssllabs在线检测显示信任。
采购者发布SSL证书建议,明确要求以下几点:
1、主流CA机构颁发的原厂SSL证书。
2、RSA或ECC算法,浏览器及操作系统兼容性99%。
3、明确采购类型型号比如:DV单域名
以上3点完全足够,其余参数是国际标准参数,不需要另外实说明,如果要说明也可以参考:SSL证书行业从业规范建议(修正版20250924)
总结
其实SSL证书属于注册业务的一种,虽然属于数字证书,只要符合主流浏览器信任的原厂SSL证书就可以了,没有想的那么复杂,我们中国90%代理商为主,真正的厂家比如CFCA因为价格高,兼容性又缺乏的问题导致国产SSL证书产品欠缺,当然也是一种市场状态,类似于windows操作系统一样,无法替代,目前主流的机构都在国外我们不得不承认的事实。
