【IT168 资讯】

　　一、前言

　　随着市场经济的成熟以及标准化水平的提高，现代认证已经发展成为市场经济体制下政府履行经济和社会管理职能的一个有机组成部分，成为国际上通行的技术管理和质量评价形式，日益受到各国政府和市场的高度重视并获得迅猛发展。

　　我国的《行政许可法》颁布后，逐步缩小行政许可范围，打造服务型政府，凡是能通过认证解决的不再实行行政许可，这已经成为一个重要的方向。近年来，随着认证认可工作的深入开展，认证认可工作得到了有关政府部门及社会公众的广泛关注和认同，经过国家认监委的法规协调工作，目前已有多部法律、行政法规写入认证认可法律制度。

　　在信息安全领域，认证认可制度作为一种社会管理手段有其独特的优势。首先，信息安全产品和服务管理的技术性很强，通过采用认证认可制度，可以将政府从繁重的技术工作中解放出来，使政府能够将注意力集中在国家安全的专控领域。其次，政府部门依靠认证认可手段实现对经济社会活动的间接管理，直接采信认证结果，可以提高行政效率，减少行政成本和风险，从而实现科学管理、科学决策。

　　二、信息安全认证认可工作基本内容

　　2003年9月，国务院发布了《认证认可条例》(以下简称《条例》)，对认证和认可做出了定义：认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动;认可则是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。

　　根据《条例》的定义，认证的对象分为三类：产品、服务和管理体系。在信息安全领域，目前针对这三类对象的认证活动在我国都已开展，即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。

　　此外，社会上还广泛存在信息安全人员认证的概念，国外产业界以及研究机构也将信息安全领域的人员认证作为一种重要的信息安全认证活动，甚至将信息安全人员认证作为信息安全认证的基本形式之一。