中國信息安全認證中心致力擔當國家信息安全衛(wèi)士

2011-11-17 08:17:01 中國質量萬里行點擊：次

致力擔當國家信息安全衛(wèi)士

——寫在中國信息安全認證中心成立五周年之際

本報記者孫霞云亓明和文/圖

序言

2006年11月17日，初冬的北京寒意正濃。人們對“信息安全”傾注的熱情，卻仿佛給這個冬日增添了些許溫度。

這一天，中國信息安全認證中心（ISCCC）成立大會在北京隆重召開。全國政協(xié)副主席李兆焯到會祝賀并揭牌，國務院信息化工作辦公室常務副主任曲維枝、時任國家質檢總局黨組書記李傳卿、國家認監(jiān)委主任孫大偉、公安部副部長張新楓、國家安全部副部長耿惠昌、原信息產業(yè)部副部長婁勤儉、中國認證認可協(xié)會會長王鳳清、國家保密局局長助理李歷、國家密碼管理委員會辦公室總工程師王長喜等領導出席會議并講話，對這個新生信息安全保障機構和認證機構表達了殷殷關切。

“這是我國經濟社會生活中的一件大事，體現了黨中央、國務院對信息安全工作的高度重視，將對我國信息安全監(jiān)管的科學化、規(guī)范化、制度化產生深遠影響！”對這個剛剛誕生的嶄新機構，人們賦予高度評價，更寄予了深情厚望。僅2006年，從維金蠕蟲泛濫引發(fā)企業(yè)用戶網絡癱瘓，到熊貓燒香導致年末病毒狂潮，從首例敲詐型病毒現身用戶面臨新威脅，到大量網游賬號被黑虛擬財產保護刻不容緩……一件又一件信息領域的安全事件一再說明，信息安全作為“非傳統(tǒng)安全”的核心內容，已與政治安全、軍事安全、經濟安全等并列成為國家安全體系中的關鍵組成部分，構建一個和諧、有序的安全信息網絡，對于個人、企業(yè)、社會乃至國家是多么的重要。

縱觀國際信息安全保障工作的發(fā)展趨勢，對信息安全產品實行檢測認證，是發(fā)達國家加強網絡安全管理的重要手段。“十五”期間，我國有關部門分別實施了一些與信息安全有關的評價制度，取得了一些積極的成效。但由于這些評價制度存在多重管理和標準不一致等問題，影響了我國信息安全產業(yè)的健康與快速發(fā)展，產業(yè)界對此反映強烈，呼吁建立統(tǒng)一的評價制度。鑒于此，黨中央、國務院提出要進一步推進認證認可工作，規(guī)范和加強信息安全產品測評認證工作。

2001年8月，國家認監(jiān)委宣告成立，為我國建立統(tǒng)一的信息安全認證認可體系奠定了組織基礎。2004年10月18日，國家認監(jiān)委、公安部、國家安全部、原信息產業(yè)部、國家保密局、國家密碼管理局、國家質檢總局、國務院信息化工作辦公室八個部委聯(lián)合發(fā)布《關于建立國家信息安全產品認證認可體系的通知》，決定建立集中統(tǒng)一、嚴格規(guī)范、科學高效的信息安全認證認可體系，并將組建中國信息安全認證中心列為重要一環(huán)。

建立完善的信息安全認證認可體系是進入信息化時代后主權國家捍衛(wèi)自身安全的重要屏障，也是維護自身利益的主要手段。信息安全認證中心的組建，標志著我國統(tǒng)一的信息安全認證認可體系的建立與實施。

肩負使命以誕生，懷抱志向而成長。五年來，中國信息安全認證中心披肝瀝膽，披荊斬棘，勇于擔當，為我國的信息安全筑起一道強有力的屏障。

國家質檢總局局長支樹平（前中）等領導到中國信息安全認證中心考察工作

國家質檢總局副局長、國家認監(jiān)委主任孫大偉（左一）向獲證單位頒發(fā)認證證書

在京組織召開“信息安全產品認證頒證大會”

開局維艱：打響攻堅戰(zhàn)

“來之不易，輕視不得”——2008年3月12日，時任國家質檢總局副局長的支樹平到信息安全認證中心考察工作時，用8個字概括了信息安全認證中心組建歷程及信息安全、信息安全認證工作的重要性。

“來之不易”——組建信息安全認證機構涉及眾多的相關部門，這中間既有統(tǒng)一認識的過程，也有管理格局調整的過程。從醞釀到成立歷時五年。

“輕視不得”——信息安全認證是保障信息安全的基礎性工作，特別是在當前我國信息技術與產業(yè)核心競爭力還不強，關鍵技術、關鍵設備還受制于人的情況下，信息安全認證工作在維護整個國家信息安全的鏈條中處于舉足輕重的地位。

萬事開頭難。中國信息安全認證中心和新的信息安全產品認證制度，自成立和誕生以來，便面臨著重重壓力，面對著制度環(huán)境、技術環(huán)境和市場環(huán)境帶來的嚴峻挑戰(zhàn)。

審視自身，擺在面前的是“三新”局面：一是隊伍新，人員基本來自六個相關部委及應屆大學畢業(yè)生，隊伍亟待融合；二是業(yè)務新，信息安全認證作為保障信息安全的有效手段，在中國還是新生事物，社會亟待認知；三是機構新，與一些管理、發(fā)展成型的老單位相比，萬事需要從頭起步，制度亟待建立。從外部看，一些國家對我國新的信息安全產品認證制度還存在誤解，亟待澄清。部分國際知名認證機構已進入中國認證市場，并逐漸站穩(wěn)了腳跟，處于明顯的競爭優(yōu)勢。

“在信息安全領域推行認證認可，既要集中統(tǒng)一、符合國際通行做法，又要和我們國家現有的信息安全產品管理制度相銜接；既要公開透明，遵循WTO的原則，又要保持我國制度的自主獨立；既要遵循認證認可的一般原則，又要充分體現信息安全的特殊敏感性；既要嚴格執(zhí)行標準，又要兼顧信息技術產品創(chuàng)新性強的特點。”回首一路走過的歷程，接受采訪的參與信息安全認證中心籌建的老員工們深感不易。面對重重阻力和巨大壓力，受命于關鍵時刻的中心領導班子審時度勢，科學決策，帶領年輕的隊伍，以時不我待的責任感和使命感，打響了奠定基礎、開發(fā)技術、拓展業(yè)務的攻關戰(zhàn)役。

信息安全認證中心的工作成效首先體現在信息安全產品認證業(yè)務的推動上。信息安全產品認證是信息安全保障體系建設的一項基礎性工作，也是我國加強新形勢下信息安全保障工作的一項制度性安排。作為一種非營利性業(yè)務，產品認證是中心的先導業(yè)務，也是一塊難啃的“硬骨頭”。突破產品認證既可體現中心核心價值，也可“牽一發(fā)而動全身”帶動其他業(yè)務發(fā)展。

然而，啟動統(tǒng)一的信息安全產品認證談何容易。既涉及與相關部委原評價、許可或采購管理制度的銜接，又涉及與檢測機構、政府采購的合作與配合，更重要的是還要取得國際社會的認同。協(xié)調工作量大、面廣、環(huán)節(jié)多，而諸多技術文件欠缺，更需從頭起步。

是壓力更是動力，是挑戰(zhàn)也是機遇。面對困難，中國信息安全認證中心負重前行，迎難而上，多管齊下。一是著力完善技術文件。組織集體攻關，牽頭7個檢測機構開展科研和技術交流活動，編制了13種信息安全產品的實施規(guī)則、檢測規(guī)范，形成了百萬字的基礎性技術文件。二是著力做好協(xié)調工作。上下奔走，左右斡旋，與財政部、中央政府采購中心緊密溝通，有條不紊地推進認證申請、產品檢測、認證受理、證書銜接、認證采信等工作，使制度公布與認證實施無縫連接。三是著力做好宣傳推介。多次組織召開由外商投資企業(yè)、國內企業(yè)、相關機構參加的“信息安全產品認證溝通會”，宣傳產品認證制度，取得了廣大企業(yè)，尤其是外資企業(yè)的認同和積極配合。四是著力做好釋疑解惑工作。面對國外的質疑，以提供技術支持為手段，積極配合國家認監(jiān)委及有關部門與相關國家進行溝通和交流，努力澄清其對我制度的誤解、疑慮。

2009年8月28日，“信息安全產品認證頒證大會”在京隆重舉行。會上，向北京啟明星辰信息安全技術有限公司等14家企業(yè)頒發(fā)了首批34張認證證書。首批產品證書的頒發(fā)，表明信息安全產品認證認可體系進入實質性運行階段，科學、規(guī)范、統(tǒng)一的認證制度開始發(fā)揮作用。

截至2011年10月底，該中心共頒發(fā)216張國家信息安全產品認證證書，涵蓋8類13種產品。同時頒發(fā)無線局域網產品3C認證證書128張、IT產品信息安全認證證書47張、支付系統(tǒng)安全認證證書42張。從信息安全產品認證種類和覆蓋面看，信息安全產品認證制度的基礎保障作用得到了有效體現。

開拓業(yè)務：實現“四輪驅動”

2007年11月1日，又是一個冬天。體系認證處工程師景育明只身南下，參與深圳證券交易所信息安全管理體系認證項目競標。他的行程牽動了中心全體員工的心。要知道此行是與外資認證機構競爭啊！

一天后消息傳來：中國信息安全認證中心中標！員工們歡呼雀躍，慶祝來之不易的勝利。

信息安全管理體系（ISMS）認證是除信息安全產品認證外，信息安全認證的又一重要種類，帶有明顯的市場競爭特點。信息安全管理體系的市場占有率、客戶質量更能說明認證機構的水平及影響力。

啟動之初，外資機構已在國內信息安全管理體系認證市場占據壟斷地位。

“明知山有虎，偏向虎山行”。該中心從深入分析認證市場特點著手，狠抓技術能力、服務能力和營銷能力建設，在國內率先通過了中國合格評定國家認可委員會的能力認可；采取揚長避短的策略，優(yōu)先發(fā)掘行業(yè)龍頭企業(yè)，主動與有關企業(yè)接觸，提供上門服務；主動參與競標活動，讓市場檢驗實力、傳遞信任。由此該中心信息安全管理體系業(yè)務逐步被市場所認可，并逐漸形成規(guī)模效應。截至目前，中心信息安全管理認證客戶已覆蓋銀行、郵政、證券、電信、資產管理、計算機服務、軟件、電力、熱力生產和供應、信息傳輸服務等十大重要領域，共頒發(fā)信息安全管理體系認證證書78張，同時還頒發(fā)了47張信息安全技術管理認證證書，實現了業(yè)務突破性增長，市場占有率大大提高。同時，在認證實踐中，該中心還逐漸形成了“規(guī)范、高效、精準”的審核特色，贏得了業(yè)內的高度認可，樹起了信息安全認證中心的權威體系認證品牌。

與此同時，該中心還著力推動信息安全管理體系認證。針對社會需求，確定了按照分級分類原則開展服務資質認證的工作思路，依據國內現有信息安全標準或行業(yè)技術規(guī)范，從完善技術文件著手，率先開展了應急處理服務資質認證、風險評估服務資質認證、安全集成服務資質認證。這3項認證，既是業(yè)務創(chuàng)新，也是制度創(chuàng)新，滿足了行業(yè)需求，得到了企事業(yè)單位積極響應和好評。其中，獲得應急處理服務資質認證證書的啟明星辰等公司，在2008年北京奧運會網絡安全保障工作中發(fā)揮了重要作用。

信息技術用戶的信息安全意識和信息安全人員的專業(yè)技能是決定信息安全防護水平的關鍵因素，在世界各國都得到高度重視。在我國，由于國家政策要求和各機構加強自身安全保障的雙重驅動，信息安全培訓需求非常強烈。針對這一需求，該中心陸續(xù)推出了安全標準、安全技術、安全管理、法律法規(guī)、工廠檢查員、體系審核員、體系咨詢師、服務資質評審員、集成工程師9大類培訓板塊，并針對“安全集成”人員率先開展了信息安全保障從業(yè)人員認證，得到了國資委及許多機構的采信。為更好地滿足各方需求，該中心在“風險管理”、“安全軟件”、“安全咨詢”、“服務管理”、“安全管理”、“基礎資格”等認證方向將陸續(xù)開展人員認證。

至此，經過五年的發(fā)展，該中心信息安全產品認證、信息安全管理體系認證、信息安全服務資質認證、信息安全保障從業(yè)人員認證4大核心業(yè)務得到全面發(fā)展，形成了“四輪驅動”的快速發(fā)展態(tài)勢。

苦練內功：夯實發(fā)展基礎

2011年11月，經過兩年緊張籌建的中國信息安全認證中心基準實驗室初步建成。上百套先進設備、各類軟件構建起基準測試、標準研究、能力驗證和質量檢驗的綜合技術支撐平臺。

信息安全是高技術的對抗。加強信息安全技術研發(fā)，著力提高核心競爭力是信息安全認證中心主動開辟的又一戰(zhàn)場。五年來，該中心貼近國家和部門需求，主動請纓承擔了國家863計劃、國家科技支撐計劃及相關部委數十個科研課題，研發(fā)4項國家標準，研發(fā)認證測評工具30套、計算軟件著作權登記4個，為促進信息安全認證工作的發(fā)展，起到了有力的基礎支撐和引領作用。

這五年，各種榮譽紛至沓來：2009年該中心被評為“中央國家機關文明單位”，2010年中心黨委被評為“質檢總局直屬機關黨委先進基層黨組織”，2011年中心黨委被評為“全國質檢系統(tǒng)先進基層黨組織”；17人次在各類評比中獲獎。

豐碩的科技成果、各種綜合或專項殊榮折射出了該中心自身建設的成效。

五年來，在崗培訓持續(xù)開展。信息安全認證是交叉學科，涉及門類多，技術含量高，需要大量既懂認證管理、又掌握信息安全知識、還熟悉認證業(yè)務的復合型人才。通過深入調研，該中心連續(xù)五年策劃實施了涉及認證技術培訓、營銷業(yè)務培訓、管理知識培訓的上百個在崗培訓項目，使員工的自身素質得到了持續(xù)提升。

五年來，智力支持平臺持續(xù)發(fā)揮作用。組建了由國務院參事、中國工程院院士、知名學者和信息安全認證認可核心專家組成的專家咨詢團隊，以及來自政府監(jiān)管機構、獲證組織、認證結果使用方組成的技術專家隊伍，為信息安全認證科學決策和技術研究提供了強大的智力支持。

五年來，基礎設施建設持續(xù)完善。設計開發(fā)了OA系統(tǒng)，持續(xù)進行了改進，逐步實現了辦公自動化；設計開發(fā)了認證業(yè)務受理系統(tǒng)，實現了從客戶申請到內部受理、審核、頒證、監(jiān)督全流程信息化管理；設計開發(fā)了中心網站，持續(xù)進行了改造，豐富和提升了網站功能。基礎建設的提升，為信息安全認證的發(fā)展奠定了強大的物質基礎。

五年來，認證文化建設持續(xù)開展。總結提煉了“勇于擔當，敢于創(chuàng)新，勤于學習，善于協(xié)作，嚴于律己，樂于奉獻”的精神，為中心發(fā)展提供了精神源泉和精神支柱；用名言警句、光榮榜、黨團活動剪影、宣傳欄等展板裝點了文化走廊，營造了濃厚的墻體文化；完善文化設施，開展了豐富多彩的業(yè)余文化生活。文化建設已成為事業(yè)發(fā)展的深層推動力。

五年來，黨組織和黨風廉政建設持續(xù)推進。深入開展創(chuàng)先爭優(yōu)活動，大力加強領導班子和黨團組織建設，探索建立了定量與定性相結合的黨建工作考核評價體系；深入推進黨風廉政責任制，導入ISO9000理念和方法，率先開展了廉政風險防控管理工作，形成了覆蓋全中心、重點防控、逐級管理、責任到人的廉政風險防控機制。

五年來，業(yè)務合作持續(xù)擴大。以“找準結合點，拓寬工作面”為突破口，與國家互聯(lián)網應急處理中心、銀行卡檢測中心、中國特種設備檢測研究院、質檢總局信息中心及部分檢驗檢疫局、質量技術監(jiān)督局、科研院所建立了戰(zhàn)略合作關系，大力開展了政策研究和信息安全服務工作，為推進信息安全認證工作的深入發(fā)展提供了支撐。

同時，機構建設取得突破。2011年6月，中國信息安全認證中心江蘇中心正式成立。在華東、華南、西南等產業(yè)較為集中的地區(qū)設立辦事機構已擺上重要日程。

……

機構、隊伍和基礎建設的一個個成果猶如春風好雨，催生中國信息安全認證中心生根、發(fā)芽、開花、結果，為信息安全認證事業(yè)注入了動力、增添了活力。

五年一瞬征程遠，再創(chuàng)輝煌更揚鞭。

今年3月16日發(fā)布的《中華人民共和國國民經濟和社會發(fā)展第十二個五年規(guī)劃綱要》明確提出，“要完善信息安全標準體系和認證認可體系”。這表明“十二五”時期，我國將加快經濟社會各領域信息化進程，大力推進信息安全認證認可體系建設已成為完善信息安全保障體系、全面提升信息化水平的客觀需求，這將為信息安全認證發(fā)展提供重要的發(fā)展機遇。

“今后五年，中心將著手建立覆蓋完整、門類齊全、規(guī)模適宜、結構合理的信息安全認證業(yè)務體系，以更好地服務于國家基礎信息網絡和重要信息系統(tǒng)的信息安全保障。”——中國信息安全認證中心主任魏昊以堅定的語氣向記者表達了中心的愿景。

這愿景，是使命，更是責任。“以保障國家信息安全認證為己任，以打造一流信息安全認證機構為目標”的中國信息安全認證中心，在下一個五年，下一個十年、二十年……將致力于踐行責任、實現愿景，并將鑄造屬于自己的輝煌。

《中國國門時報》