首批信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書誕生

2010-06-21 16:03 中國質(zhì)量萬里行亓明和曹雅斌

□亓明和曹雅斌

18家單位獲取證書

焦點(diǎn)話題

6月10日，中國信息安全認(rèn)證中心在京召開信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書頒證大會(huì)，向國家信息中心等18家從事風(fēng)險(xiǎn)評(píng)估的企事業(yè)單位頒發(fā)了一、二級(jí)資質(zhì)認(rèn)證證書。這是我國首次在信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域開展服務(wù)資質(zhì)認(rèn)證工作。信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書的頒發(fā)表明我國信息安全服務(wù)資質(zhì)評(píng)價(jià)制度又取得了一項(xiàng)重要進(jìn)展，它將為我國信息安全保障體系建設(shè)發(fā)揮重要作用。

近年來，隨著我國信息化程度的不斷提高，政府部門、企事業(yè)單位對(duì)信息系統(tǒng)的依賴程度也日益增強(qiáng)，信息安全風(fēng)險(xiǎn)管理受到了普遍關(guān)注。信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生所造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。其防范和化解信息安全風(fēng)險(xiǎn)的有效性得到了世界各國的高度認(rèn)可。風(fēng)險(xiǎn)評(píng)估已成為目前各類信息安全服務(wù)中需求最為普遍的基礎(chǔ)性服務(wù)之一。

對(duì)于風(fēng)險(xiǎn)評(píng)估工作的組織管理和實(shí)施，多年來我國政府進(jìn)行了周密部署，提出了若干工作要求。強(qiáng)調(diào)信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程，在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、驗(yàn)收和運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

中國信息安全認(rèn)證中心作為我國設(shè)立的專業(yè)認(rèn)證機(jī)構(gòu)，自成立始就立足社會(huì)需求積極籌備信息安全服務(wù)資質(zhì)認(rèn)證。繼2008年推出應(yīng)急處理服務(wù)資質(zhì)認(rèn)證后，今年又以GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等標(biāo)準(zhǔn)為依據(jù)，完善相關(guān)技術(shù)文件，啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證，廣大企事業(yè)單位積極申請，有力地推動(dòng)了我國風(fēng)險(xiǎn)評(píng)估工作的深入實(shí)施。

首批18家企事業(yè)單位獲得信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書，表明他們在風(fēng)險(xiǎn)評(píng)估服務(wù)綜合能力方面已得到權(quán)威認(rèn)定，對(duì)于規(guī)范自身管理，增強(qiáng)客戶信心，推動(dòng)事業(yè)發(fā)展將起積極作用。

引導(dǎo)行業(yè)健康規(guī)范發(fā)展

中國信息安全認(rèn)證中心主任魏昊

隨著我國信息化工作的逐步推進(jìn)，信息服務(wù)業(yè)的分工越來越細(xì)化，信息安全服務(wù)也日趨專業(yè)化，目前已包括風(fēng)險(xiǎn)評(píng)估、應(yīng)急處理、災(zāi)難恢復(fù)、系統(tǒng)測評(píng)、安全運(yùn)維、安全審計(jì)、安全咨詢與培訓(xùn)等眾多種類。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對(duì)相關(guān)機(jī)構(gòu)提供信息安全服務(wù)的資質(zhì)條件進(jìn)行評(píng)價(jià)的一項(xiàng)新的認(rèn)證工作。通過對(duì)信息安全服務(wù)分類分級(jí)的資質(zhì)認(rèn)證，可以對(duì)信息安全服務(wù)提供商的基本資格、管理能力和技術(shù)能力等方面進(jìn)行權(quán)威、客觀、公正的評(píng)價(jià)，證明其服務(wù)資質(zhì)能力，滿足社會(huì)對(duì)服務(wù)的選擇需求。同時(shí)，認(rèn)證過程也將有效促進(jìn)服務(wù)提供方完善自身管理體系，提高服務(wù)質(zhì)量和水平，引導(dǎo)行業(yè)健康規(guī)范發(fā)展。

隨著政府部門、企事業(yè)單位對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全風(fēng)險(xiǎn)管理受到普遍關(guān)注。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生所能造成的危害，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全，提供科學(xué)依據(jù)。風(fēng)險(xiǎn)評(píng)估是信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程，已經(jīng)成為各類信息安全服務(wù)中需求最為普遍的基礎(chǔ)性服務(wù)之一。在網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)和運(yùn)行中，風(fēng)險(xiǎn)評(píng)估在有效識(shí)別安全風(fēng)險(xiǎn)、加強(qiáng)安全控制方面發(fā)揮了重要作用。2003年，國家就提出要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估。2006年原國信辦印發(fā)了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》，強(qiáng)調(diào)信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程，在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、驗(yàn)收和運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)評(píng)估資質(zhì)認(rèn)證工作的實(shí)施，是國家加強(qiáng)信息安全管理的需要，是行業(yè)健康發(fā)展的需要。面對(duì)日益增長的政府和社會(huì)對(duì)信息系統(tǒng)安全管理的需求，中國信息安全認(rèn)證中心對(duì)國內(nèi)外相關(guān)風(fēng)險(xiǎn)評(píng)估政策、標(biāo)準(zhǔn)和規(guī)范進(jìn)行了密切跟蹤和研究，聯(lián)合國內(nèi)權(quán)威機(jī)構(gòu)和專家制定了評(píng)估準(zhǔn)則，推出了風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)。

對(duì)首批18家申請認(rèn)證單位進(jìn)行的文檔和現(xiàn)場審核表明，他們都是國內(nèi)技術(shù)能力強(qiáng)、風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)豐富、管理規(guī)范的單位。首批風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書的頒發(fā)，標(biāo)志著信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證工作正式開始實(shí)施。通過服務(wù)資質(zhì)認(rèn)證，必將進(jìn)一步規(guī)范獲證組織的各項(xiàng)管理活動(dòng)，增強(qiáng)客戶信心，引領(lǐng)行業(yè)健康發(fā)展，開創(chuàng)風(fēng)險(xiǎn)評(píng)估工作的新局面。

中國信息安全認(rèn)證中心在今后的工作中將繼續(xù)積極服務(wù)于國家信息安全保障工作大局，服務(wù)于產(chǎn)業(yè)發(fā)展，以這次頒發(fā)首批信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書為契機(jī)，進(jìn)一步規(guī)范工作，提高服務(wù)資質(zhì)認(rèn)證工作的質(zhì)量和服務(wù)水平，為國家信息安全把好關(guān)，為獲證單位服好務(wù)，為推動(dòng)我國信息安全認(rèn)證認(rèn)可事業(yè)的發(fā)展作出新的、更大的貢獻(xiàn)！

鏈接>>

首批信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證獲證單位名單

國家信息中心

中國電力科學(xué)研究院信息安全實(shí)驗(yàn)室

信息產(chǎn)業(yè)部計(jì)算機(jī)安全技術(shù)檢測中心

北京信息安全測評(píng)中心

上海市信息安全測評(píng)認(rèn)證中心

北京啟明星辰信息安全技術(shù)有限公司

北京天融信科技有限公司

北京神州綠盟科技有限公司

沈陽東軟系統(tǒng)集成工程有限公司

北京安氏領(lǐng)信科技發(fā)展有限公司