□亓明和 曹雅斌

18家單位獲取證書

    焦點話題

    6月10日，中國信息安全認證中心在京召開信息安全風險評估服務資質認證證書頒證大會，向國家信息中心等18家從事風險評估的企事業(yè)單位頒發(fā)了一、二級資質認證證書。這是我國首次在信息安全風險評估領域開展服務資質認證工作。信息安全風險評估服務資質認證證書的頒發(fā)表明我國信息安全服務資質評價制度又取得了一項重要進展，它將為我國信息安全保障體系建設發(fā)揮重要作用。

    近年來，隨著我國信息化程度的不斷提高，政府部門、企事業(yè)單位對信息系統(tǒng)的依賴程度也日益增強，信息安全風險管理受到了普遍關注。信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生所造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。其防范和化解信息安全風險的有效性得到了世界各國的高度認可。風險評估已成為目前各類信息安全服務中需求最為普遍的基礎性服務之一。

    對于風險評估工作的組織管理和實施，多年來我國政府進行了周密部署，提出了若干工作要求。強調信息安全風險評估是信息安全保障工作的基礎性工作和重要環(huán)節(jié)，應貫穿于網絡和信息系統(tǒng)建設運行的全過程，在網絡與信息系統(tǒng)的設計、驗收和運行維護階段均應當進行信息安全風險評估。

    中國信息安全認證中心作為我國設立的專業(yè)認證機構，自成立始就立足社會需求積極籌備信息安全服務資質認證。繼2008年推出應急處理服務資質認證后，今年又以GB/T20984《信息安全風險評估規(guī)范》等標準為依據，完善相關技術文件，啟動了信息安全風險評估服務資質認證，廣大企事業(yè)單位積極申請，有力地推動了我國風險評估工作的深入實施。

    首批18家企事業(yè)單位獲得信息安全風險評估服務資質認證證書，表明他們在風險評估服務綜合能力方面已得到權威認定，對于規(guī)范自身管理，增強客戶信心，推動事業(yè)發(fā)展將起積極作用。

引導行業(yè)健康規(guī)范發(fā)展

    中國信息安全認證中心主任 魏 昊

    隨著我國信息化工作的逐步推進，信息服務業(yè)的分工越來越細化，信息安全服務也日趨專業(yè)化，目前已包括風險評估、應急處理、災難恢復、系統(tǒng)測評、安全運維、安全審計、安全咨詢與培訓等眾多種類。信息安全服務資質認證是依據國家標準、行業(yè)標準和技術規(guī)范，按照認證基本規(guī)范及認證規(guī)則，對相關機構提供信息安全服務的資質條件進行評價的一項新的認證工作。通過對信息安全服務分類分級的資質認證，可以對信息安全服務提供商的基本資格、管理能力和技術能力等方面進行權威、客觀、公正的評價，證明其服務資質能力，滿足社會對服務的選擇需求。同時，認證過程也將有效促進服務提供方完善自身管理體系，提高服務質量和水平，引導行業(yè)健康規(guī)范發(fā)展。

    隨著政府部門、企事業(yè)單位對信息系統(tǒng)依賴程度的日益增強，信息安全風險管理受到普遍關注。信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生所能造成的危害，提出有針對性的抵御威脅的防護對策和整改措施。為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網絡和信息安全，提供科學依據。風險評估是信息安全保障工作的基礎性工作和重要環(huán)節(jié)，貫穿于網絡和信息系統(tǒng)建設運行的全過程，已經成為各類信息安全服務中需求最為普遍的基礎性服務之一。在網絡與信息系統(tǒng)建設和運行中，風險評估在有效識別安全風險、加強安全控制方面發(fā)揮了重要作用。2003年，國家就提出要重視信息安全風險評估工作，對網絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估。2006年原國信辦印發(fā)了《關于開展信息安全風險評估工作的意見》，強調信息安全風險評估作為信息安全保障工作的基礎性工作和重要環(huán)節(jié)，應貫穿于網絡和信息系統(tǒng)建設運行的全過程，在網絡與信息系統(tǒng)的設計、驗收和運行維護階段均應當進行信息安全風險評估。

    風險評估資質認證工作的實施，是國家加強信息安全管理的需要，是行業(yè)健康發(fā)展的需要。面對日益增長的政府和社會對信息系統(tǒng)安全管理的需求，中國信息安全認證中心對國內外相關風險評估政策、標準和規(guī)范進行了密切跟蹤和研究，聯(lián)合國內權威機構和專家制定了評估準則，推出了風險評估服務資質認證業(yè)務。

    對首批18家申請認證單位進行的文檔和現(xiàn)場審核表明，他們都是國內技術能力強、風險評估經驗豐富、管理規(guī)范的單位。首批風險評估服務資質認證證書的頒發(fā)，標志著信息安全風險評估服務資質認證工作正式開始實施。通過服務資質認證，必將進一步規(guī)范獲證組織的各項管理活動，增強客戶信心，引領行業(yè)健康發(fā)展，開創(chuàng)風險評估工作的新局面。

    中國信息安全認證中心在今后的工作中將繼續(xù)積極服務于國家信息安全保障工作大局，服務于產業(yè)發(fā)展，以這次頒發(fā)首批信息安全風險評估服務資質認證證書為契機，進一步規(guī)范工作，提高服務資質認證工作的質量和服務水平，為國家信息安全把好關，為獲證單位服好務，為推動我國信息安全認證認可事業(yè)的發(fā)展作出新的、更大的貢獻！

    鏈 接>>

    首批信息安全風險評估服務資質認證獲證單位名單

    國家信息中心

    中國電力科學研究院信息安全實驗室

    信息產業(yè)部計算機安全技術檢測中心

    北京信息安全測評中心

    上海市信息安全測評認證中心

    北京啟明星辰信息安全技術有限公司

    北京天融信科技有限公司

    北京神州綠盟科技有限公司

    沈陽東軟系統(tǒng)集成工程有限公司

    北京安氏領信科技發(fā)展有限公司

    浪潮集團有限公司

    聯(lián)想網御科技（北京）有限公司

    上海三零衛(wèi)士信息安全有限公司

    恒安嘉新（北京）科技有限公司

    長春吉大正元信息技術股份有限公司

    上海中科網威信息技術有限公司

    北京中科網威信息技術有限公司

    北京安碼科技有限公司

    《中國國門時報》