- 地址:
- 佛山市南海区桂城街道简平路12号天安南海数码新城6期1座三层
- 邮箱:
- 3642319@qq.com
- 电话:
- 0757-86312199
- 传真:
- 0757-86312199
- 手机:
- 18022213930
信息安全保障如何合理利用认证认可
在信息安全领域,认证认可制度作为一种社会管理手段有其独特的优势。首先,信息安全产品和服务管理的技术性很强,通过采用认证认可制度,可以将政府从繁重的技术工作中解放出来,使政府可以将注意(attention)力集中在国家安全的专控领域。其次,政府部门依靠认证认可手段实现对经济社会活动的间接管理,直接采信认证结果,可以提高行政效率,减少行政成本和风险,从而实现科学管理、科学决策。
随着市场经济的成熟以及标准化水平的提高,现代认证已经发展成为市场经济体制下政府履行经济和社会管理职能的一个有机组成部分,成为国际上通行的技术管理和质量评价形式,日益受到各国政府和市场的高度重视并获得迅猛发展。
我国的《行政许可法》颁布后,逐步缩小行政许可范围,打造服务型政府,凡是能通过认证解决的不再实行行政许可,这已经成为一个重要的方向。近年来,随着认证认可工作的深入开展,认证认可工作得到了有关政府部门及社会公众的广泛(extensive)关注和认同,经过国家认监委的法规协调工作,目前已有多部法律、行政法规写入认证认可法律制度。
根据《条例》的定义,认证的对象分为三类:产品(Product)、服务和管理体系。在信息安全领域,目前针对这三类对象的认证活动在我国都已开展,即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。
此外,社会上还广泛存在信息安全人员认证的概念(Idea),国外产业界以及研究机构(organization)也将信息安全领域的人员认证作为一种重要的信息安全认证活动,甚至将信息安全人员认证作为信息安全认证的基本形式之一。
2003年9月,国务院发布了《认证认可条例》(以下简称《条例》),对认证和认可做出了定义:认证是指由认证机构证明产品、服务、管理(guǎn lǐ)体系符合相关技术标准、相关技术标准的强制性标准要求或者标准的合格评定活动;认可则是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。
认证认可是市场经济运行的一项基础性制度安排
信息安全认证认可的国际发展
认证认可的发展历史已经有一百余年,但从世界范围看,这一制度在信息安全领域的应用总体上还处于初期阶段。ISO13485认证在标准中定义的医疗器械指:制造商的预期用途是为下列一个或多个特定目的用于人类的,不论单独使用或组合使用的仪器、设备、器具、机器、用具、植入物、体外试剂或校准器、软件、材料或者其他相似或相关物品。近年来,信息安全认证认可制度对信息安全的重要意义已经被越来越多的国家和地区所重视,非常多实践工作也已开展。
根据欧洲网络与信息安全局(ENISA)的调查,当前在欧洲联盟(European Union)成员国内广泛存在着名目繁多的信息安全认证制度(institution)(包括产品(Product)认证、人员认证和管理(guǎn lǐ)体系认证),数目可能(maybe)达到百余种。ENISA报告(The report)中谈到,欧洲从事信息安全活动的人都认为基于公认标准的认证将在今后几年得到更广泛的接受。因此,ENISA强调要在全欧洲范围内广泛传播信息安全认证知识,促进信息安全认证结果被更多的人所采信,以此推动欧洲信息安全水平的提高。
美国的信息安全认证制度主要是产品认证,这项工作起源于20世纪80年代,先后经历了“可信产品评估项目”(TPEP)、“可信技术评价项目”(TTAP)以及“国家信息保障联盟”(NIAP)的阶段。2001年,美国国家安全电信和信息系统(system)安全委员会宣布,自2002年7月起,在“国家安全系统”(对于国家安全至关重要的信息系统)中强制使用经过NIAP认证的产品。2003年7月,美国国家安全电信和信息系统安全委员会发布了《国家信息保障采购政策修改概要》,重申了这一要求。近年来,美国不断强调(qiáng diào)信息安全产品认证的意义,推进商业产品和标准在国家安全系统中的使用,鼓励联邦和商业领域积极参考认证结果。
亚洲国家近年来加快了信息安全产品(Product)认证的步伐。军工认证就是军工资质条件,是指申请承担武器装备科研生产任务的单位应具备的能力和资格,也就是进入军方市场的“通行证”或“门槛”。比如,为了加强政府信息系统安全、推动国际标准应用以及促进企业改进技术能力,韩国政府在采购政策中明确规定,政府机构必须在2006年1月1日起采购经认证的IT安全产品。日本的认证机构为国家信息技术安全局下属的信息安全认证(属性:安全)办公室,负责运行日本的测评和认证体系。为了加强电子政务信息系统安全,4月,日本信息安全政策委员会发布了新的管理(guǎn lǐ)标准《中央政府计算机系统信息安全度量的管理标准》,要求在有必要并且有供选择的获证产品的情况下,应采购经过IT安全评估和认证的产品。
在信息安全的综合管理(guǎn lǐ)方面,西方发达国家重视系统化地安全管理。比如,德国对于政府及重点(zhòng diǎn)领域的安全管理,要求相关组织建立信息安全管理体系,以此为基本要求,突出各行业的针对性安全管理要求,从而构成信息安全保障体系的基本框架。
认证认可已经成为信息安全领域重要的技术评价方式方法
信息安全领域的技术评价是一种基础性的技术活动,从发达国家经验看,目前有越来越多的技术评价活动都采用认证认可制度,这已经成为一种国际趋势(trend)。鉴于信息安全认证认可已经开始产生广泛影响,欧洲网络与信息安全局(ENISA)在2007年末组织专题研究了信息安全产品(Product)、体系和人员认证在欧盟国家的实施情况,分析(Analyse)了其内在规律和发展趋势。ENISA在报告(The report)中高度评价了信息安全认证认可对信息系统(system)安全的重要意义,对信息安全认证认可的未来发展寄予了厚望。
信息安全管理体系认证则是对各种类型组织的信息安全管理水平的评价,表明被审核组织已经建立起了符合国际标准ISO/IEC 27001《信息安全管理体系要求》的信息安全管理体系。ISO13485认证其作用于人体体表或体内的主要设计作用不是用药理学、免疫学或代谢的手段获得,但可能有这些手段参与并起一定辅助作用。管理措施和技术措施是信息安全措施的两个重要组成部分,且信息安全管理的对象也包括信息安全技术措施的部署和实现。因此,ISO/IEC 27001不仅是信息安全管理的方法学,也为一个组织提供了开展全面的信息安全工作的抓手。作为信息安全状况的客观证据,信息安全管理体系认证结果将成为信息系统安全运行的重要保障。同时,信息安全管理体系认证也大大推动了各组织努力开展信息安全建设,大力提高信息安全防护水平。
目前,我国金融领域、通信领域、能源领域的行业主管部门均出台了信息安全管理体系建设和认证的引导政策。北京市经信委于夏出台的文件,则鼓励北京市委办局有些选用通过27001认证的技术队伍提供的信息技术服务或信息安全服务。