在信息安全領(lǐng)域�����,認(rèn)證認(rèn)可制度作為一種社會(huì)管理手段有其獨(dú)特的優(yōu)勢(shì)�。
隨著市場(chǎng)經(jīng)濟(jì)的成熟以及標(biāo)準(zhǔn)化水平的提高,現(xiàn)代認(rèn)證已經(jīng)發(fā)展成為市場(chǎng)經(jīng)濟(jì)體制下政府履行經(jīng)濟(jì)和社會(huì)管理職能的一個(gè)有機(jī)組成部分�����,成為國(guó)際上通行的技術(shù)管理和質(zhì)量評(píng)價(jià)形式�,日益受到各國(guó)政府和市場(chǎng)的高度重視并獲得迅猛發(fā)展。
在信息安全領(lǐng)域��,認(rèn)證認(rèn)可制度作為一種社會(huì)管理手段有其獨(dú)特的優(yōu)勢(shì)��。首先�����,信息安全產(chǎn)品和服務(wù)管理的技術(shù)性很強(qiáng)�,通過采用認(rèn)證認(rèn)可制度,可以將政府從繁重的技術(shù)工作中解放出來�����,使政府能夠?qū)⒆⒁饬性趪?guó)家安全的?��?仡I(lǐng)域����。其次,政府部門依靠認(rèn)證認(rèn)可手段實(shí)現(xiàn)對(duì)經(jīng)濟(jì)社會(huì)活動(dòng)的間接管理�,直接采信認(rèn)證結(jié)果,可以提高行政效率�,減少行政成本和風(fēng)險(xiǎn),從而實(shí)現(xiàn)科學(xué)管理����、科學(xué)決策。
信息安全認(rèn)證認(rèn)可工作基本內(nèi)容
2003年9月���,國(guó)務(wù)院發(fā)布了《認(rèn)證認(rèn)可條例》(以下簡(jiǎn)稱《條例》),對(duì)認(rèn)證和認(rèn)可做出了定義:認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品����、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范��、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng);認(rèn)可則是指由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)����、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審�、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評(píng)定活動(dòng)�����。根據(jù)《條例》的定義,認(rèn)證的對(duì)象分為三類:產(chǎn)品�����、服務(wù)和管理體系����。在信息安全領(lǐng)域,目前針對(duì)這三類對(duì)象的認(rèn)證活動(dòng)在我國(guó)都已開展�����,即信息安全產(chǎn)品認(rèn)證���、信息安全服務(wù)認(rèn)證和信息安全管理體系認(rèn)證����。
此外�,社會(huì)上還廣泛存在信息安全人員認(rèn)證的概念,國(guó)外產(chǎn)業(yè)界以及研究機(jī)構(gòu)也將信息安全領(lǐng)域的人員認(rèn)證作為一種重要的信息安全認(rèn)證活動(dòng)����,甚至將信息安全人員認(rèn)證作為信息安全認(rèn)證的基本形式之一�����。
信息安全認(rèn)證認(rèn)可的國(guó)際發(fā)展
認(rèn)證認(rèn)可的發(fā)展歷史已經(jīng)有一百余年�,但從世界范圍看��,這一制度在信息安全領(lǐng)域的應(yīng)用總體上還處于初期階段����。近年來,信息安全認(rèn)證認(rèn)可制度對(duì)信息安全的重要意義已經(jīng)被越來越多的國(guó)家和地區(qū)所重視��,很多實(shí)踐工作也已開展�。
根據(jù)歐洲網(wǎng)絡(luò)與信息安全局(ENISA)的調(diào)查,當(dāng)前在歐盟成員國(guó)內(nèi)廣泛存在著名目繁多的信息安全認(rèn)證制度(包括產(chǎn)品認(rèn)證��、人員認(rèn)證和管理體系認(rèn)證)�,數(shù)目可能達(dá)到百余種��。ENISA報(bào)告中談到��,歐洲從事信息安全活動(dòng)的人都認(rèn)為基于公認(rèn)標(biāo)準(zhǔn)的認(rèn)證將在今后幾年得到更廣泛的接受��。因此��,ENISA強(qiáng)調(diào)要在全歐洲范圍內(nèi)廣泛傳播信息安全認(rèn)證知識(shí),促進(jìn)信息安全認(rèn)證結(jié)果被更多的人所采信�,以此推動(dòng)歐洲信息安全水平的提高。
美國(guó)的信息安全認(rèn)證制度主要是產(chǎn)品認(rèn)證�,這項(xiàng)工作起源于20世紀(jì)80年代,先后經(jīng)歷了“可信產(chǎn)品評(píng)估項(xiàng)目”(TPEP)�����、“可信技術(shù)評(píng)價(jià)項(xiàng)目”(TTAP)以及“國(guó)家信息保障聯(lián)盟”(NIAP)的階段�����。2001年���,美國(guó)國(guó)家安全電信和信息系統(tǒng)安全委員會(huì)宣布����,自2002年7月起�,在“國(guó)家安全系統(tǒng)”(對(duì)于國(guó)家安全至關(guān)重要的信息系統(tǒng))中強(qiáng)制使用經(jīng)過NIAP認(rèn)證的產(chǎn)品。2003年7月��,美國(guó)國(guó)家安全電信和信息系統(tǒng)安全委員會(huì)發(fā)布了《國(guó)家信息保障采購政策修改概要》��,重申了這一要求。近年來��,美國(guó)不斷強(qiáng)調(diào)信息安全產(chǎn)品認(rèn)證的意義����,推進(jìn)商業(yè)產(chǎn)品和標(biāo)準(zhǔn)在國(guó)家安全系統(tǒng)中的使用,鼓勵(lì)聯(lián)邦和商業(yè)領(lǐng)域積極參考認(rèn)證結(jié)果�。
亞洲國(guó)家近年來加快了信息安全產(chǎn)品認(rèn)證的步伐。比如�����,為了加強(qiáng)政府信息系統(tǒng)安全���、推動(dòng)國(guó)際標(biāo)準(zhǔn)應(yīng)用以及促進(jìn)企業(yè)改進(jìn)技術(shù)能力��,韓國(guó)政府在采購政策中明確規(guī)定��,政府機(jī)構(gòu)必須在2006年1月1日起采購經(jīng)認(rèn)證的IT安全產(chǎn)品���。日本的認(rèn)證機(jī)構(gòu)為國(guó)家信息技術(shù)安全局下屬的信息安全認(rèn)證辦公室�,負(fù)責(zé)運(yùn)行日本的測(cè)評(píng)和認(rèn)證體系。為了加強(qiáng)電子政務(wù)信息系統(tǒng)安全�����,2011年4月,日本信息安全政策委員會(huì)發(fā)布了新的管理標(biāo)準(zhǔn)《中央政府計(jì)算機(jī)系統(tǒng)信息安全度量的管理標(biāo)準(zhǔn)》�����,要求在有必要并且有供選擇的獲證產(chǎn)品的情況下�����,應(yīng)采購經(jīng)過IT安全評(píng)估和認(rèn)證的產(chǎn)品��。
在信息安全的綜合管理方面���,西方發(fā)達(dá)國(guó)家重視系統(tǒng)化地安全管理��。比如�,德國(guó)對(duì)于政府及重點(diǎn)領(lǐng)域的安全管理��,要求相關(guān)組織建立信息安全管理體系���,以此為基本要求����,突出各行業(yè)的針對(duì)性安全管理要求,從而構(gòu)成信息安全保障體系的基本框架�����。
目前�,我國(guó)金融領(lǐng)域、通信領(lǐng)域����、能源領(lǐng)域的行業(yè)主管部門均出臺(tái)了信息安全管理體系建設(shè)和認(rèn)證的引導(dǎo)政策。北京市經(jīng)信委于2013年夏出臺(tái)的文件�,則鼓勵(lì)北京市委辦局有些選用通過27001認(rèn)證的技術(shù)隊(duì)伍提供的信息技術(shù)服務(wù)或信息安全服務(wù)。
信息安全認(rèn)證認(rèn)可工作中需要引起重視的幾個(gè)問題
目前�,在世界范圍內(nèi),信息安全認(rèn)證認(rèn)可的發(fā)展還不成熟���,特別是信息安全評(píng)價(jià)標(biāo)準(zhǔn)和方法仍在不斷發(fā)生變化�����,面臨很多爭(zhēng)議���。
(一)從信息安全產(chǎn)品認(rèn)證的角度來看,信息技術(shù)產(chǎn)品安全性認(rèn)證的國(guó)際互認(rèn)范圍不斷擴(kuò)大���,但互認(rèn)范圍嚴(yán)格限制在非敏感領(lǐng)域�����。目前美����、英等采用CC標(biāo)準(zhǔn)的很多國(guó)家存在著變革認(rèn)證標(biāo)準(zhǔn)和認(rèn)證方法的壓力����,但這些壓力不是來自于信息安全產(chǎn)品認(rèn)證制度框架的設(shè)計(jì),而是來自于所選擇的認(rèn)證標(biāo)準(zhǔn)和具體的認(rèn)證方法����,信息安全產(chǎn)品認(rèn)證制度的重要性及其未來發(fā)展趨勢(shì)仍得到各國(guó)的一致肯定。
(二)從信息安全服務(wù)資質(zhì)認(rèn)證的角度來看�����,雖然我國(guó)對(duì)特定領(lǐng)域的信息安全服務(wù)或者特定類型的信息安全服務(wù)實(shí)施了管理����,但還沒有對(duì)通用的信息安全服務(wù)進(jìn)行嚴(yán)格管理,特別是還沒有對(duì)為國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)提供服務(wù)進(jìn)行直接干預(yù)和約束�����。
通過信息安全應(yīng)急處理和風(fēng)險(xiǎn)評(píng)估等服務(wù)資質(zhì)認(rèn)證工作的實(shí)施,認(rèn)證認(rèn)可手段顯示出了可為信息安全服務(wù)管理提供基礎(chǔ)支撐的潛力����,特別是在對(duì)信息安全服務(wù)組織和人員的能力評(píng)價(jià)方面。信息安全主管部門和行業(yè)主管部門在制定信息安全服務(wù)管理政策時(shí)���,可以采信分級(jí)����、分類的信息安全服務(wù)認(rèn)證的結(jié)果�����。
(三)從信息安全管理體系認(rèn)證的角度來看����,信息安全管理體系認(rèn)證認(rèn)可工作的開展對(duì)各類組織增強(qiáng)信息安全意識(shí)、提高信息安全管理水平起到了積極作用�����,為我國(guó)外貿(mào)企業(yè)特別是軟件和服務(wù)業(yè)外包企業(yè)拓廣國(guó)際市場(chǎng)創(chuàng)造了條件���。
由于信息安全管理體系認(rèn)證審核過程涉及到被審核單位的大量敏感信息�����,2010年六部委聯(lián)合發(fā)布了第394號(hào)文件��,對(duì)于國(guó)家重要網(wǎng)絡(luò)與信息系統(tǒng)中開展認(rèn)證活動(dòng)加以規(guī)范和限制���。盡管如此,對(duì)于獲得國(guó)外認(rèn)可機(jī)構(gòu)認(rèn)可的認(rèn)證活動(dòng)引入的安全風(fēng)險(xiǎn)����,還沒有引起足夠的重視。(本文有刪減)
本網(wǎng)站刊登的文章未經(jīng)允許不得轉(zhuǎn)載
來源:質(zhì)量與認(rèn)證
|
京公網(wǎng)安備11010802046783號(hào)