【英语版】国际标准 ISO 17090-3:2008 EN Health informatics — Public key infrastructure — Part 3: Policy management of certification authority 卫生信息学 公钥基础设施 第3部分：验证机构的政策管理.pdf

ISO17090-3:2008ENHealthinformatics—Publickeyinfrastructure—Part3:Policymanagementofcertificationauthority是关于公共密钥基础设施（PKI）中认证机构（CA）的策略管理的ISO标准的一部分。以下是关于这个标准的详细解释：

标准内容概述：

ISO17090标准是一系列关于信息安全管理的国际标准，涵盖了从政策管理到加密技术等多个方面。其中的第三部分专门针对认证机构（CA）的策略管理进行了规定。

关键概念和术语：

*认证机构（CA）：是一个负责签发数字证书的机构，通常与PKI一起使用，用于验证数字信息的来源和完整性。

*策略管理：是对组织的信息安全策略进行规划、制定、实施、审查和修改的过程，以确保其在整个组织中的一致性和有效性。

*政策：是组织中关于特定事项的规则和指导原则，用于规范员工的行为和决策。

主要内容：

1.定义了CA的策略和管理框架，包括策略的制定、审批、发布、更新和审查等过程。

2.规定了CA应如何根据组织的需求和安全目标来制定和实施策略，包括关键任务、关键资产和关键人员等。

3.要求CA定期进行策略审计，以确保策略的实施符合组织的要求和标准。

4.强调了策略的灵活性，允许组织根据环境的变化和新的安全威胁进行调整和更新。

应用范围和实施建议：

该标准适用于任何需要管理数字证书的组织，包括但不限于政府机构、企业、教育机构和科研机构等。建议组织在进行CA的策略管理时，应与信息安全专家合作，以确保策略的合理性和有效性。

总结：

ISO17090-3:2008ENHealthinformatics—Publickeyinfrastructure—Part3:Policymanagementofcertificationauthority规定了认证机构（CA）的策略管理，包括策略的制定、审批、发布、更新和审查等过程，以确保在整个组织中实施一致和有效的信息安全策略。这对于保护数字信息的机密性、完整性和可用性至关重要。