中國信息安全認(rèn)證中心成立5周年

2011-11-17 08:18:23 中國質(zhì)量萬里行點擊：次

致力擔(dān)當(dāng)國家信息安全衛(wèi)士重任

——寫在中國信息安全認(rèn)證中心成立5周年之際

2006年11月17日，初冬的北京寒意正濃。人們對“信息安全”傾注的熱情，卻仿佛給這個冬日增添了些許溫度。

這一天，中國信息安全認(rèn)證中心（ISCCC）成立大會在北京隆重召開。全國政協(xié)副主席李兆焯到會祝賀并揭牌，國務(wù)院信息化工作辦公室常務(wù)副主任曲維枝、時任國家質(zhì)檢總局黨組書記李傳卿、國家認(rèn)監(jiān)委主任孫大偉、公安部副部長張新楓、國家安全部副部長耿惠昌、信息產(chǎn)業(yè)部副部長婁勤儉、中國認(rèn)證認(rèn)可協(xié)會會長王鳳清、國家保密局局長助理李歷、國家密碼管理委員會辦公室總工程師王長喜等領(lǐng)導(dǎo)出席會議并講話，對這個新生信息安全保障機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)表達(dá)了殷殷關(guān)切。

“這是我國經(jīng)濟(jì)社會生活中的一件大事，體現(xiàn)了黨中央、國務(wù)院對信息安全工作的高度重視，將對我國信息安全監(jiān)管的科學(xué)化、規(guī)范化、制度化產(chǎn)生深遠(yuǎn)影響！”對這個剛剛誕生的嶄新機(jī)構(gòu)，人們賦予高度評價，更寄予了深情厚望。僅2006年，從維金蠕蟲泛濫引發(fā)企業(yè)用戶網(wǎng)絡(luò)癱瘓，到熊貓燒香導(dǎo)致年末病毒狂潮；從首例敲詐型病毒現(xiàn)身用戶面臨新威脅，到大量網(wǎng)游賬號被黑虛擬財產(chǎn)保護(hù)刻不容緩……一件又一件信息領(lǐng)域的安全事件一再說明，信息安全作為“非傳統(tǒng)安全”的核心內(nèi)容，已與政治安全、軍事安全、經(jīng)濟(jì)安全等并列成為國家安全體系中的關(guān)鍵組成部分，構(gòu)建一個和諧、有序的安全信息網(wǎng)絡(luò)，對于個人、企業(yè)、社會乃至國家是多么的重要。

縱觀國際信息安全保障工作的發(fā)展趨勢，對信息安全產(chǎn)品實行檢測認(rèn)證，是發(fā)達(dá)國家加強(qiáng)網(wǎng)絡(luò)安全管理的重要手段。“十五”期間，我國有關(guān)部門分別實施了一些與信息安全有關(guān)的評價制度，取得了一些積極的成效。但由于這些評價制度存在多重管理和標(biāo)準(zhǔn)不一致等問題，影響了我國信息安全產(chǎn)業(yè)的健康與快速發(fā)展，產(chǎn)業(yè)界對此反映強(qiáng)烈，呼吁建立統(tǒng)一的評價制度。鑒于此，黨中央、國務(wù)院提出要進(jìn)一步推進(jìn)認(rèn)證認(rèn)可工作，規(guī)范和加強(qiáng)信息安全產(chǎn)品測評認(rèn)證工作。

2001年8月，國家認(rèn)監(jiān)委宣告成立，為我國建立統(tǒng)一的信息安全認(rèn)證認(rèn)可體系奠定了組織基礎(chǔ)。2004年10月18日，國家認(rèn)監(jiān)委、公安部、國家安全部、原信息產(chǎn)業(yè)部、國家保密局、國家密碼管理局、國家質(zhì)檢總局、國務(wù)院信息化工作辦公室八個部委聯(lián)合發(fā)布《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》，決定建立集中統(tǒng)一、嚴(yán)格規(guī)范、科學(xué)高效的信息安全認(rèn)證認(rèn)可體系，并將組建中國信息安全認(rèn)證中心列為重要一環(huán)。

建立完善的信息安全認(rèn)證認(rèn)可體系，是進(jìn)入信息化時代后主權(quán)國家捍衛(wèi)自身安全的重要屏障，也是維護(hù)自身利益的主要手段。信息安全認(rèn)證中心的組建，標(biāo)志著我國統(tǒng)一的信息安全認(rèn)證認(rèn)可體系的建立與實施。

肩負(fù)使命誕生，懷抱志向成長。5年來，中國信息安全認(rèn)證中心披肝瀝膽，披荊斬棘，勇于擔(dān)當(dāng)，為我國的信息安全筑起一道強(qiáng)有力的屏障。

國家質(zhì)檢總局副局長、國家認(rèn)監(jiān)委主任孫大偉向獲證單位頒發(fā)認(rèn)證證書。

舉步維艱

打響攻堅戰(zhàn)

“來之不易，輕視不得”——2008年3月12日，時任國家質(zhì)檢總局副局長的支樹平到信息安全認(rèn)證中心考察工作時，用8個字概括了信息安全認(rèn)證中心組建歷程及信息安全、信息安全認(rèn)證工作的重要性。

“來之不易”——組建信息安全認(rèn)證機(jī)構(gòu)涉及眾多的相關(guān)部門，這中間既有統(tǒng)一認(rèn)識的過程，也有管理格局調(diào)整的過程。從醞釀到成立歷時5年。

“輕視不得”——信息安全認(rèn)證是保障信息安全的基礎(chǔ)性工作，特別是在當(dāng)前我國信息技術(shù)與產(chǎn)業(yè)核心競爭力還不強(qiáng)，關(guān)鍵技術(shù)、關(guān)鍵設(shè)備還受制于人的情況下，信息安全認(rèn)證工作在維護(hù)整個國家信息安全的鏈條中處于舉足輕重的地位。

萬事開頭難。中國信息安全認(rèn)證中心和新的信息安全產(chǎn)品認(rèn)證制度，自成立和誕生以來，便面臨著重重壓力，面對著制度環(huán)境、技術(shù)環(huán)境和市場環(huán)境帶來的嚴(yán)峻挑戰(zhàn)。

審視自身，擺在面前的是“三新”局面：一是隊伍新，人員基本來自6個相關(guān)部委及應(yīng)屆大學(xué)畢業(yè)生，隊伍亟待融合；二是業(yè)務(wù)新，信息安全認(rèn)證作為保障信息安全的有效手段，在中國還是新生事物，社會亟待認(rèn)知；三是機(jī)構(gòu)新，與一些管理、發(fā)展成型的老單位相比，萬事需要從頭起步，制度亟待建立。從外部看，一些國家對我國新的信息安全產(chǎn)品認(rèn)證制度還存在誤解，亟待澄清；部分國際知名認(rèn)證機(jī)構(gòu)已進(jìn)入中國認(rèn)證市場，并逐漸站穩(wěn)了腳跟，處于明顯的競爭優(yōu)勢。

“在信息安全領(lǐng)域推行認(rèn)證認(rèn)可，既要集中統(tǒng)一、符合國際通行做法，又要和我們國家現(xiàn)有的信息安全產(chǎn)品管理制度相銜接；既要公開透明，遵循WTO的原則，又要保持我國制度的自主獨立；既要遵循認(rèn)證認(rèn)可的一般原則，又要充分體現(xiàn)信息安全的特殊敏感性；既要嚴(yán)格執(zhí)行標(biāo)準(zhǔn)，又要兼顧信息技術(shù)產(chǎn)品創(chuàng)新性強(qiáng)的特點�！被厥滓宦纷哌^的歷程，參與信息安全認(rèn)證中心籌建的老員工們深感不易。面對重重阻力和巨大壓力，受命于關(guān)鍵時刻的中心領(lǐng)導(dǎo)班子審時度勢，科學(xué)決策，帶領(lǐng)年輕的隊伍，以時不我待的責(zé)任感和使命感，打響了奠定基礎(chǔ)、開發(fā)技術(shù)、拓展業(yè)務(wù)的攻關(guān)戰(zhàn)役。

信息安全認(rèn)證中心的工作成效首先體現(xiàn)在信息安全產(chǎn)品認(rèn)證業(yè)務(wù)的推動上。信息安全產(chǎn)品認(rèn)證是信息安全保障體系建設(shè)的一項基礎(chǔ)性工作，也是我國加強(qiáng)新形勢下信息安全保障工作的一項制度性安排。作為一種非盈利性業(yè)務(wù)，產(chǎn)品認(rèn)證是中心的先導(dǎo)業(yè)務(wù)，也是一塊難啃的“硬骨頭”。突破產(chǎn)品認(rèn)證既可體現(xiàn)中心核心價值，也可“牽一發(fā)而動全身”帶動其他業(yè)務(wù)發(fā)展。

然而，啟動統(tǒng)一的信息安全產(chǎn)品認(rèn)證談何容易。既涉及與相關(guān)部委原評價、許可或采購管理制度的銜接，又涉及與檢測機(jī)構(gòu)、政府采購的合作與配合，更重要的是還要取得國際社會的認(rèn)同。協(xié)調(diào)工作量大、面廣、環(huán)節(jié)多，而諸多技術(shù)文件欠缺，更需從頭起步。

是壓力更是動力，是挑戰(zhàn)也是機(jī)遇。面對困難，中國信息安全認(rèn)證中心負(fù)重前行，迎難而上，多管齊下。一是著力完善技術(shù)文件。組織集體攻關(guān)，牽頭7個檢測機(jī)構(gòu)開展科研和技術(shù)交流活動，編制了13種信息安全產(chǎn)品的實施規(guī)則、檢測規(guī)范，形成了百萬字的基礎(chǔ)性技術(shù)文件。二是著力做好協(xié)調(diào)工作。上下奔走，左右斡旋，與財政部、中央政府采購中心緊密溝通，有條不紊地推進(jìn)認(rèn)證申請、產(chǎn)品檢測、認(rèn)證受理、證書銜接、認(rèn)證采信等工作，使制度公布與認(rèn)證實施無縫連接。三是著力做好宣傳推介。多次組織召開由外商投資企業(yè)、國內(nèi)企業(yè)、相關(guān)機(jī)構(gòu)參加的“信息安全產(chǎn)品認(rèn)證溝通會”，宣傳產(chǎn)品認(rèn)證制度，取得了廣大企業(yè)，尤其是外資企業(yè)的認(rèn)同和積極配合。四是著力做好釋疑解惑工作。面對國外的質(zhì)疑，以提供技術(shù)支持為手段，積極配合國家認(rèn)監(jiān)委及有關(guān)部門與相關(guān)國家進(jìn)行溝通和交流，努力澄清其對我制度的誤解、疑慮。

2009年8月28日，“信息安全產(chǎn)品認(rèn)證頒證大會”在京隆重舉行。會上，中心向北京啟明星辰信息安全技術(shù)有限公司等14家企業(yè)頒發(fā)了首批34張認(rèn)證證書。首批產(chǎn)品證書的頒發(fā)，表明信息安全產(chǎn)品認(rèn)證認(rèn)可體系進(jìn)入實質(zhì)性運行階段，科學(xué)、規(guī)范、統(tǒng)一的認(rèn)證制度開始發(fā)揮作用。

截至今年10月年底，該中心共頒發(fā)216張國家信息安全產(chǎn)品認(rèn)證證書，涵蓋8類13種產(chǎn)品。同時頒發(fā)無線局域網(wǎng)產(chǎn)品3C認(rèn)證證書128張、IT產(chǎn)品信息安全認(rèn)證證書47張、支付系統(tǒng)安全認(rèn)證證書42張。從信息安全產(chǎn)品認(rèn)證種類和覆蓋面看，信息安全產(chǎn)品認(rèn)證制度的基礎(chǔ)保障作用得到了有效體現(xiàn)。

開拓業(yè)務(wù)

實現(xiàn)“四輪驅(qū)動”

2007年11月1日，又是一個冬天。體系認(rèn)證處工程師景育明只身南下，參與深圳證券交易所信息安全管理體系認(rèn)證項目競標(biāo)。他的行程牽動了中心全體員工的心。要知道，此行是與外資認(rèn)證機(jī)構(gòu)競爭�。�

一天后消息傳來：中國信息安全認(rèn)證中心中標(biāo)！員工們歡呼雀躍，慶祝來之不易的勝利。

信息安全管理體系（ISMS）認(rèn)證是除信息安全產(chǎn)品認(rèn)證外，信息安全認(rèn)證的又一重要種類，帶有明顯的市場競爭特點。信息安全管理體系認(rèn)證證書的市場占有率、客戶質(zhì)量更能說明認(rèn)證機(jī)構(gòu)的水平及影響力。

啟動之初，外資機(jī)構(gòu)已在國內(nèi)信息安全管理體系認(rèn)證市場占據(jù)壟斷地位。

“明知山有虎，偏向虎山行”。該中心從深入分析認(rèn)證市場特點著手，狠抓技術(shù)能力、服務(wù)能力和營銷能力建設(shè)，在國內(nèi)率先通過了中國合格評定國家認(rèn)可委員會的能力認(rèn)可；采取揚長避短的策略，優(yōu)先發(fā)掘行業(yè)龍頭企業(yè)，主動與有關(guān)企業(yè)接觸，提供上門服務(wù)；主動參與競標(biāo)活動，讓市場檢驗實力、傳遞信任。由此該中心信息安全管理體系業(yè)務(wù)逐步被市場所認(rèn)可，并逐漸形成規(guī)模效應(yīng)。截至目前，中心信息安全管理認(rèn)證客戶已覆蓋銀行、郵政、證券、電信、資產(chǎn)管理、計算機(jī)服務(wù)、軟件、電力、熱力生產(chǎn)和供應(yīng)、信息傳輸服務(wù)10大重要領(lǐng)域，共頒發(fā)信息安全管理體系認(rèn)證證書78張，同時還頒發(fā)了47張信息安全技術(shù)管理認(rèn)證證書，實現(xiàn)了業(yè)務(wù)突破性增長，市場占有率大大提高。同時，在認(rèn)證實踐中，該中心還逐漸形成了“規(guī)范、高效、精準(zhǔn)”的審核特色，贏得了業(yè)內(nèi)的高度認(rèn)可，樹起了信息安全認(rèn)證中心的權(quán)威體系認(rèn)證品牌。

與此同時，該中心還著力推動信息安全服務(wù)資質(zhì)認(rèn)證。針對社會需求，確定了按照分級分類原則開展服務(wù)資質(zhì)認(rèn)證的工作思路，依據(jù)國內(nèi)現(xiàn)有信息安全標(biāo)準(zhǔn)或行業(yè)技術(shù)規(guī)范，從完善技術(shù)文件著手，率先開展了應(yīng)急處理服務(wù)資質(zhì)認(rèn)證、風(fēng)險評估服務(wù)資質(zhì)認(rèn)證、安全集成服務(wù)資質(zhì)認(rèn)證。這3項認(rèn)證，既是業(yè)務(wù)創(chuàng)新，也是制度創(chuàng)新，滿足了行業(yè)需求，得到了企事業(yè)單位積極響應(yīng)和好評。其中，獲得應(yīng)急處理服務(wù)資質(zhì)認(rèn)證證書的啟明星辰等公司，在2008年北京奧運會網(wǎng)絡(luò)安全保障工作中發(fā)揮了重要作用。

信息技術(shù)用戶的信息安全意識和信息安全人員的專業(yè)技能是決定信息安全防護(hù)水平的關(guān)鍵因素，在世界各國都得到高度重視。在我國，由于國家政策要求和各機(jī)構(gòu)加強(qiáng)自身安全保障的雙重驅(qū)動，信息安全培訓(xùn)需求非常強(qiáng)烈。針對這一需求，該中心陸續(xù)推出了安全標(biāo)準(zhǔn)、安全技術(shù)、安全管理、法律法規(guī)、工廠檢查員、體系審核員、體系咨詢師、服務(wù)資質(zhì)評審員、集成工程師9大類培訓(xùn)板塊，并針對“安全集成”人員率先開展了信息安全保障從業(yè)人員認(rèn)證，得到了國資委及許多機(jī)構(gòu)的采信。為更好地滿足各方需求，該中心在“風(fēng)險管理”、“安全軟件”、“安全咨詢”、“服務(wù)管理”、“安全管理”、“基礎(chǔ)資格”等認(rèn)證方面將陸續(xù)開展人員認(rèn)證。

至此，經(jīng)過5年的發(fā)展，該中心信息安全產(chǎn)品認(rèn)證、信息安全管理體系認(rèn)證、信息安全服務(wù)資質(zhì)認(rèn)證、信息安全保障從業(yè)人員認(rèn)證4大核心業(yè)務(wù)得到全面發(fā)展，形成了“四輪驅(qū)動”的快速發(fā)展態(tài)勢。

苦練內(nèi)功

夯實發(fā)展基礎(chǔ)

如今，經(jīng)過兩年緊張籌建的中國信息安全認(rèn)證中心基準(zhǔn)實驗室建設(shè)初步建成。上百套先進(jìn)設(shè)備、各類軟件構(gòu)建起基準(zhǔn)測試、標(biāo)準(zhǔn)研究、能力驗證和質(zhì)量檢驗的綜合技術(shù)支撐平臺。

信息安全是高技術(shù)的對抗。加強(qiáng)信息安全技術(shù)研發(fā)，著力提高核心競爭力是信息安全認(rèn)證中心主動開辟的又一戰(zhàn)場。5年來，該中心貼近國家和部門需求，主動請纓承擔(dān)了國家863計劃、國家科技支撐計劃及相關(guān)部委數(shù)十個科研課題，研發(fā)4項國家標(biāo)準(zhǔn)，研發(fā)認(rèn)證測評工具30套、計算軟件著作權(quán)登記4個，為促進(jìn)信息安全認(rèn)證工作的發(fā)展，起到了有力的基礎(chǔ)支撐和引領(lǐng)作用。

5年來，各種榮譽紛至沓來：2009年該中心被評為“中央國家機(jī)關(guān)文明單位”，2010年中心黨委被評為“質(zhì)檢總局直屬機(jī)關(guān)黨委先進(jìn)基層黨組織”，2011年中心黨委被評為“全國質(zhì)檢系統(tǒng)先進(jìn)基層黨組織”；17人次在各類評比中獲獎。豐碩的科技成果、各種綜合或?qū)ｍ検鈽s折射出了該中心自身建設(shè)的成效。

5年來，在崗培訓(xùn)持續(xù)開展。信息安全認(rèn)證是交叉學(xué)科，涉及門類多，技術(shù)含量高，需要大量既懂認(rèn)證管理、又掌握信息安全知識、還熟悉認(rèn)證業(yè)務(wù)的復(fù)合型人才。通過深入調(diào)研，該中心連續(xù)5年策劃實施了涉及認(rèn)證技術(shù)培訓(xùn)、營銷業(yè)務(wù)培訓(xùn)、管理知識培訓(xùn)的上百個在崗培訓(xùn)項目，使員工的自身素質(zhì)得到了持續(xù)提升。

5年來，智力支持平臺持續(xù)發(fā)揮作用。組建了由國務(wù)院參事、中國工程院院士、知名學(xué)者和信息安全認(rèn)證認(rèn)可核心專家組成的專家咨詢團(tuán)隊，以及來自政府監(jiān)管機(jī)構(gòu)、獲證組織、認(rèn)證結(jié)果使用方組成的技術(shù)專家隊伍，為信息安全認(rèn)證科學(xué)決策和技術(shù)研究提供了強(qiáng)大的智力支持。

5年來，基礎(chǔ)設(shè)施建設(shè)持續(xù)完善。設(shè)計開發(fā)了OA系統(tǒng)，持續(xù)進(jìn)行了改進(jìn)，逐步實現(xiàn)了辦公自動化；設(shè)計開發(fā)了認(rèn)證業(yè)務(wù)受理系統(tǒng)，實現(xiàn)了從客戶申請到內(nèi)部受理、審核、頒證、監(jiān)督全流程信息化管理；設(shè)計開發(fā)了中心網(wǎng)站，持續(xù)進(jìn)行了改造，豐富和提升了網(wǎng)站功能。基礎(chǔ)建設(shè)的提升，為信息安全認(rèn)證的發(fā)展奠定了強(qiáng)大的物質(zhì)基礎(chǔ)。

5年來，認(rèn)證文化建設(shè)持續(xù)開展�？偨Y(jié)提煉了“勇于擔(dān)當(dāng)，敢于創(chuàng)新，勤于學(xué)習(xí)，善于協(xié)作，嚴(yán)于律己，樂于奉獻(xiàn)”的中心精神，為中心發(fā)展提供了精神源泉和精神支柱；用名言警句、光榮榜、黨團(tuán)活動剪影、宣傳欄等展板裝點了文化走廊，營造了濃厚的墻體文化；完善文化設(shè)施，開展了豐富多彩的業(yè)余文化生活。文化建設(shè)已成為事業(yè)發(fā)展的深層推動力。

5年來，黨組織和黨風(fēng)廉政建設(shè)持續(xù)推進(jìn)。深入開展創(chuàng)先爭優(yōu)活動，大力加強(qiáng)領(lǐng)導(dǎo)班子和黨團(tuán)組織建設(shè)，探索建立了定量與定性相結(jié)合的黨建工作考核評價體系；深入推進(jìn)黨風(fēng)廉政責(zé)任制，引入ISO9000理念和方法，率先開展了廉政風(fēng)險防控管理工作，形成了覆蓋全中心、重點防控、逐級管理、責(zé)任到人的廉政風(fēng)險防控機(jī)制。

5年來，業(yè)務(wù)合作持續(xù)擴(kuò)大。以“找準(zhǔn)結(jié)合點，拓寬工作面”為突破口，與國家互聯(lián)網(wǎng)應(yīng)急處理中心、銀行卡檢測中心、中國特種設(shè)備檢測研究院、質(zhì)檢總局信息中心及部分檢驗檢疫局、質(zhì)量技術(shù)監(jiān)督局、科研院所建立了戰(zhàn)略合作關(guān)系，大力開展了政策研究和信息安全服務(wù)工作，為推進(jìn)信息安全認(rèn)證工作的深入發(fā)展提供了支撐。

同時，機(jī)構(gòu)建設(shè)取得突破。2011年6月，中國信息安全認(rèn)證中心江蘇中心正式成立。在華東、華南、西南等產(chǎn)業(yè)較為集中的地區(qū)設(shè)立辦事機(jī)構(gòu)已擺上重要日程。

……

機(jī)構(gòu)、隊伍和基礎(chǔ)建設(shè)的一個個成果有如春風(fēng)好雨，催生中國信息安全認(rèn)證中心生根、發(fā)芽、開花、結(jié)果，為信息安全認(rèn)證事業(yè)注入了動力、增添了活力。

5年一瞬征程遠(yuǎn)，再創(chuàng)輝煌更揚鞭。

今年3月16日發(fā)布的《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要》明確提出，“要完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系”。這表明“十二五”時期，我國將加快經(jīng)濟(jì)社會各領(lǐng)域信息化進(jìn)程，大力推進(jìn)信息安全認(rèn)證認(rèn)可體系建設(shè)已成為完善信息安全保障體系、全面提升信息化水平的客觀需求，這將為信息安全認(rèn)證發(fā)展提供重要的發(fā)展機(jī)遇。

“今后5年，中心將著手建立覆蓋完整、門類齊全、規(guī)模適宜、結(jié)構(gòu)合理的信息安全認(rèn)證業(yè)務(wù)體系，以更好地服務(wù)于國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保障�！敝袊畔踩J(rèn)證中心主任魏昊以堅定的語氣表達(dá)了中心的愿景。

這愿景，是使命，更是責(zé)任�！耙员Ｕ蠂倚畔踩J(rèn)證為己任，以打造一流信息安全認(rèn)證機(jī)構(gòu)為目標(biāo)”的中國信息安全認(rèn)證中心，在下一個5年、下一個10年、20年……將致力于踐行責(zé)任、實現(xiàn)愿景，并將鑄造屬于自己的新輝煌。

（孫霞云亓明和）