1.ISO27001信息安全認(rèn)證的重要性。
世界各國(guó)關(guān)注的焦點(diǎn)是信息安全技術(shù)、信息安全產(chǎn)品和服務(wù)：
1)進(jìn)一步增強(qiáng)了信息和網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)和整體作用。信息安全問題日益突出。
2)信息安全產(chǎn)品、服務(wù)和信息系統(tǒng)的固有敏感性和特殊性直接影響著國(guó)家的安全和經(jīng)濟(jì)利益。
3)隨著信息技術(shù)的快速發(fā)展，移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、企業(yè)遷移到IPV6等新問題不斷出現(xiàn)，信息安全面臨著新的考驗(yàn)。

措施之一：各國(guó)政府采取頒布標(biāo)準(zhǔn)，實(shí)施許可證和認(rèn)證制度，嚴(yán)格控制信息安全產(chǎn)品和服務(wù)。
在當(dāng)今經(jīng)濟(jì)全球化和信息化趨勢(shì)下，成為當(dāng)今經(jīng)濟(jì)全球化和信息化趨勢(shì)下維護(hù)國(guó)家主權(quán)的重要手段。
信息安全認(rèn)證認(rèn)證體系是建設(shè)國(guó)家信息安全保障體系的重要組成部分，加快實(shí)施我國(guó)信息安全認(rèn)證認(rèn)證體系是當(dāng)務(wù)之急。

 

2.介紹國(guó)內(nèi)外信息安全服務(wù)相關(guān)工作:
(1)介紹國(guó)內(nèi)信息安全服務(wù)相關(guān)工作:
國(guó)家保密局機(jī)密計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理：機(jī)密信息系統(tǒng)信息安全服務(wù)提供商資質(zhì)管理。
工業(yè)和信息化部計(jì)算機(jī)信息系統(tǒng)管理：從事計(jì)算機(jī)信息系統(tǒng)集成業(yè)務(wù)的單位資質(zhì)管理制度。
工業(yè)和信息化部電子認(rèn)證服務(wù)管理：監(jiān)督管理電子認(rèn)證服務(wù)機(jī)構(gòu)和電子認(rèn)證服務(wù)。
公安部信息安全等級(jí)保護(hù)評(píng)價(jià)管理：管理等級(jí)評(píng)價(jià)機(jī)構(gòu)、人員及其評(píng)價(jià)活動(dòng)。
原國(guó)信辦對(duì)風(fēng)險(xiǎn)評(píng)估工作的管理：對(duì)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作提出了總體要求，包括服務(wù)機(jī)構(gòu)。
中國(guó)信息安全認(rèn)證中心信息安全服務(wù)資質(zhì)認(rèn)證。
中國(guó)信息安全評(píng)估中心信息安全服務(wù)資質(zhì)評(píng)估。
網(wǎng)絡(luò)安全應(yīng)急服務(wù)支持單位管理：通信行業(yè)和公共互聯(lián)網(wǎng)應(yīng)急服務(wù)技術(shù)支持系統(tǒng)。
地方政府安全服務(wù)管理：北京市信息安全評(píng)價(jià)中心對(duì)北京市非保密系統(tǒng)信息安全服務(wù)提供商的信息安全服務(wù)能力進(jìn)行評(píng)價(jià)；廣東省公安廳認(rèn)定廣東省信息安全服務(wù)提供商的信息安全服務(wù)能力；江蘇省信息辦公室風(fēng)險(xiǎn)評(píng)估管理及服務(wù)機(jī)構(gòu)備案。

 

(2)美國(guó)對(duì)信息技術(shù)服務(wù)的管理。
1)美國(guó)保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略。
優(yōu)先事項(xiàng)3：國(guó)家網(wǎng)絡(luò)空間安全意識(shí)和培訓(xùn)計(jì)劃。
優(yōu)先事項(xiàng)4：保護(hù)政府部門的網(wǎng)絡(luò)空間安全。
①不斷評(píng)估聯(lián)邦網(wǎng)絡(luò)系統(tǒng)的威脅和脆弱性。
②提高政府外包和采購(gòu)的安全性。
③制定獨(dú)立安全審查認(rèn)證專用標(biāo)準(zhǔn)。
聯(lián)邦政府將考慮是否有必要認(rèn)證聯(lián)邦政府的安全服務(wù)提供商，以檢查他們是否有最小的能力，包括他們是否有足夠的獨(dú)立性。

 

2)聯(lián)邦信息安全管理法案(FISMA)
FISMA實(shí)施計(jì)劃：
第一階段：制定標(biāo)準(zhǔn)和指南。NIST標(biāo)準(zhǔn)和指南文件幫助聯(lián)邦機(jī)構(gòu)建立和完善其信息安全體系，有效管理和處置機(jī)構(gòu)運(yùn)營(yíng)、機(jī)構(gòu)資產(chǎn)和人員面臨的風(fēng)險(xiǎn)。
第二階段：機(jī)構(gòu)認(rèn)可制度。建立公共和私營(yíng)機(jī)構(gòu)的認(rèn)可制度，包括評(píng)估產(chǎn)品和服務(wù)保證體系，為聯(lián)邦機(jī)構(gòu)提供安全評(píng)估服務(wù)。

 

3)政府工作人員背景調(diào)查。
美國(guó)人力資源管理辦公室（OPM）發(fā)布了相關(guān)表格，政府部門可能聯(lián)系分級(jí)信息背景調(diào)查，分別為國(guó)家安全職位和非敏感職位制定調(diào)查表，要求政府部門調(diào)查相關(guān)人員的詳細(xì)信息，必要時(shí)采訪并從相關(guān)渠道收集信息，證明政府員工或按合同從事相關(guān)工作。

 

4)國(guó)家工業(yè)安全計(jì)劃(NISP)
國(guó)家工業(yè)安全計(jì)劃的目標(biāo)是保護(hù)政府供應(yīng)商和許可方獲得的分級(jí)信息。制定統(tǒng)一的安全程序，向機(jī)構(gòu)和人員發(fā)放許可證，消除重復(fù)或不必要的機(jī)構(gòu)檢查要求，降低安全成本。國(guó)家工業(yè)安全計(jì)劃及其操作手冊(cè)對(duì)接觸和存儲(chǔ)分級(jí)信息的供應(yīng)商及相關(guān)人員提出了嚴(yán)格的安全審查要求和程序。

 

簡(jiǎn)而言之，美國(guó)對(duì)信息安全和安全服務(wù)提供商的管理非常具體和嚴(yán)格，認(rèn)可了機(jī)構(gòu)和服務(wù)人員的服務(wù)能力，有些人也進(jìn)行了嚴(yán)格的背景審查，特別是對(duì)具有外國(guó)背景的機(jī)構(gòu)。

 

(3)英國(guó)信息保障管理。
基于國(guó)家信息保障戰(zhàn)略，為了協(xié)調(diào)應(yīng)對(duì)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，重組成立了兩個(gè)新機(jī)構(gòu)，并于2010年開始運(yùn)：內(nèi)閣辦公室網(wǎng)絡(luò)安全辦公室（OCS）、國(guó)家通信總局（GCHQ）網(wǎng)絡(luò)安全運(yùn)營(yíng)中心（CSOC）。整合現(xiàn)有功能，監(jiān)控網(wǎng)絡(luò)空間安全，協(xié)調(diào)事件處理。

 

目前，CCTM、CHECK、CLAS、CTAS、CAPS、CC&ITSEC等國(guó)家信息保障技術(shù)管理局保障、提高保障能力的有效措施。

CESG(CESG)信息保障評(píng)價(jià)活動(dòng)：
IT檢查服務(wù)評(píng)價(jià)體系(CHECK):政府和公共機(jī)構(gòu)對(duì)IT系統(tǒng)檢查服務(wù)的需求不斷增加，因此建立了CHECK服務(wù)評(píng)價(jià)體系，確保高質(zhì)量的IT服務(wù)。
CESG聲明檢測(cè)標(biāo)志認(rèn)證(CCTM):測(cè)試信息系統(tǒng)(IS)產(chǎn)品和服務(wù)安全功能的有效性。
CESG名稱咨詢系統(tǒng)(CLAS):建立了CESG認(rèn)可的高質(zhì)量咨詢團(tuán)隊(duì)，為政府部門和其他機(jī)構(gòu)提供信息保障建議。

 

3.政府的規(guī)范要求。
《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)社會(huì)發(fā)展第十二五年規(guī)劃綱要》明確提出完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系。
在國(guó)家認(rèn)證認(rèn)可事業(yè)發(fā)展十二五規(guī)劃中，國(guó)家認(rèn)證監(jiān)督管理委員會(huì)對(duì)信息安全認(rèn)證認(rèn)證提出了新的要求，強(qiáng)調(diào)完善信息安全認(rèn)證認(rèn)證體系，進(jìn)一步完善涵蓋產(chǎn)品、管理體系、服務(wù)、人員和信息系統(tǒng)的信息安全認(rèn)證體系。實(shí)現(xiàn)信息安全認(rèn)證認(rèn)證體系與國(guó)家信息安全相關(guān)管理體系的有效銜接，促進(jìn)認(rèn)證結(jié)果的社會(huì)信任，充分發(fā)揮認(rèn)證認(rèn)證在國(guó)家信息安全保障中的基本作用。

 

4.相關(guān)政策法規(guī)文件。
十二五規(guī)劃進(jìn)一步明確了建立國(guó)家實(shí)施的信息安全服務(wù)資質(zhì)認(rèn)證制度。

 

5.政策文件和標(biāo)準(zhǔn)相繼出臺(tái)。
(1)政策文件。
①《關(guān)于加強(qiáng)信息安全工作的意見》
②《國(guó)務(wù)院辦公廳關(guān)于加強(qiáng)政府信息系統(tǒng)安全保密管理的通知》
③《國(guó)務(wù)院辦公廳關(guān)于印發(fā)國(guó)家網(wǎng)絡(luò)和信息安全事件應(yīng)急預(yù)案的通知》
④《關(guān)于加強(qiáng)黨政機(jī)關(guān)計(jì)算機(jī)信息系統(tǒng)安全保密管理的若干規(guī)定》

 

(2)技術(shù)標(biāo)準(zhǔn)。
信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)指南
信息安全服務(wù)分類
《安全漏洞等級(jí)劃分指南》
《信息安全漏洞管理規(guī)范》
《信息系統(tǒng)安全通用評(píng)估指南》
《安全漏洞標(biāo)識(shí)描述規(guī)范

 

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求
《信息安全風(fēng)險(xiǎn)管理指南》
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
《信息安全管理體系要求》
《信息安全管理實(shí)用規(guī)則》
《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》
《信息安全事件分類分類指南》

信息系統(tǒng)安全管理要求
信息系統(tǒng)通用安全技術(shù)要求

 

6.我國(guó)信息安全認(rèn)證的意義:
心中有數(shù)，控制市場(chǎng)準(zhǔn)入；
促進(jìn)信息安全產(chǎn)業(yè)的進(jìn)步和成熟；
提高信息安全產(chǎn)品和服務(wù)的市場(chǎng)競(jìng)爭(zhēng)力；
加快信息安全技術(shù)標(biāo)準(zhǔn)化進(jìn)程；
政府采購(gòu)等信息安全管理服務(wù)；
提高全民信息安全意識(shí)。