Security Accreditation Management System

Security Accreditation Management System（安全认证管理系统，简称SAMS）是一个用于管理和控制对政府信息系统访问权限的正式框架和流程。在加拿大政府内部，它通常指代一套确保只有经过适当筛选、授权和培训的个人才能访问敏感信息和系统的政策和程序。这套系统的核心目标是保护政府信息和资产，防止未经授权的访问、使用、披露、中断、修改或破坏。它涉及用户身份识别、访问授权、持续监控、风险评估以及安全培训等多个环节，确保每个用户的访问级别与其工作职责严格匹配（即“需者方知”原则）。

关于Security Accreditation Management System的最新政策动态

根据一份2016年2月发布的关于护照系统与全球案件管理系统（GCMS）整合的内部审计报告，IRCC（移民、难民和公民部）已实施了一个名为风险管理框架（RMF）的正式安全评估与授权流程。该框架于2015年9月30日在IRCC内部实施，旨在与加拿大政府和行业标准（如财政部的企业安全架构框架、ISO 27001 ISMS模型和ITSG-33）保持一致。RMF旨在促进IRCC的正式安全评估与授权（SA&A）流程。关于SA&A的指令计划在2015年12月31日前批准，截止日期为2016年2月29日。同时，IRCC计划在2016年3月31日前向所有利益相关者传达RMF，并提供相关的认识介绍和培训。

根据一份2012年发布的关于系统访问控制的内部审计最终报告，当时加拿大公民及移民部（CIC，现IRCC）在多个关键系统的安全认证管理方面存在缺陷。报告发现，部分系统（如FOSS、NCMS、CSQ、IPAR）缺乏定义系统和数据所有权的政策，用户账户存在通用账户、重复账户以及属于前雇员的不活跃账户。例如，在GCMS中，9%的用户账户未分配给特定员工；在FOSS中，存在1%无法立即识别特定用户的“活跃”通用账户。审计提出了八项改进建议，管理层制定了相应的行动计划，目标完成日期主要集中在2012-2013财年。例如，针对制定系统和数据所有权政策的建议，目标日期是2012-2013财年第4季度；针对监控不活跃用户账户的建议，目标日期也是2012-2013财年第4季度。