网络安全 频道
IT168首页 > 网络安全 > 网络安全资讯 > 正文

认证认可在信息安全保障工作中积极作用

作者:魏军 编辑: 武进龙 2014-11-18 18:32 IT168网站 原创
分享

  三、认证认可是市场经济运行的一项基础性制度安排

  (一)信息安全认证认可的国际发展

  认证认可的发展历史已经有一百余年,但从世界范围看,这一制度在信息安全领域的应用总体上还处于初期阶段。近年来,信息安全认证认可制度对信息安全的重要意义已经被越来越多的国家和地区所重视,很多实践工作也已开展。

  根据欧洲网络与信息安全局(ENISA)的调查,当前在欧盟成员国内广泛存在着名目繁多的信息安全认证制度(包括产品认证、人员认证和管理体系认证),数目可能达到百余种。ENISA报告中谈到,欧洲从事信息安全活动的人都认为基于公认标准的认证将在今后几年得到更广泛的接受。因此,ENISA强调要在全欧洲范围内广泛传播信息安全认证知识,促进信息安全认证结果被更多的人所采信,以此推动欧洲信息安全水平的提高。

  美国的信息安全认证制度主要是产品认证,这项工作起源于20世纪80年代,先后经历了“可信产品评估项目”(TPEP)、“可信技术评价项目”(TTAP)以及“国家信息保障联盟”(NIAP)的阶段。2001年,美国国家安全电信和信息系统安全委员会宣布,自2002年7月起,在“国家安全系统”(对于国家安全至关重要的信息系统)中强制使用经过NIAP认证的产品。2003年7月,美国国家安全电信和信息系统安全委员会发布了《国家信息保障采购政策修改概要》,重申了这一要求。近年来,美国不断强调信息安全产品认证的意义,推进商业产品和标准在国家安全系统中的使用,鼓励联邦和商业领域积极参考认证结果。

  亚洲国家近年来加快了信息安全产品认证的步伐。比如,为了加强政府信息系统安全、推动国际标准应用以及促进企业改进技术能力,韩国政府在采购政策中明确规定,政府机构必须在2006年1月1日起采购经认证的IT安全产品。日本的认证机构为国家信息技术安全局下属的信息安全认证办公室,负责运行日本的测评和认证体系。为了加强电子政务信息系统安全,2011年4月,日本信息安全政策委员会发布了新的管理标准《中央政府计算机系统信息安全度量的管理标准》,要求在有必要并且有供选择的获证产品的情况下,应采购经过IT安全评估和认证的产品。

  在信息安全的综合管理方面,西方发达国家重视系统化地安全管理。比如,德国对于政府及重点领域的安全管理,要求相关组织建立信息安全管理体系,以此为基本要求,突出各行业的针对性安全管理要求,从而构成信息安全保障体系的基本框架。

  (二)认证认可已经成为信息安全领域重要的技术评价方式

  信息安全领域的技术评价是一种基础性的技术活动,从发达国家经验看,目前有越来越多的技术评价活动都采用认证认可制度,这已经成为一种国际趋势。鉴于信息安全认证认可已经开始产生广泛影响,欧洲网络与信息安全局(ENISA)在2007年末组织专题研究了信息安全产品、体系和人员认证在欧盟国家的实施情况,分析了其内在规律和发展趋势。ENISA在报告中高度评价了信息安全认证认可对信息系统安全的重要意义,对信息安全认证认可的未来发展寄予了厚望。

  信息安全管理体系认证则是对各种类型组织的信息安全管理水平的评价,表明被审核组织已经建立起了符合国际标准ISO/IEC 27001《信息安全管理体系要求》的信息安全管理体系。管理措施和技术措施是信息安全措施的两个重要组成部分,且信息安全管理的对象也包括信息安全技术措施的部署和实现。因此,ISO/IEC 27001不仅是信息安全管理的方法学,也为一个组织提供了开展全面的信息安全工作的抓手。作为信息安全状况的客观证据,信息安全管理体系认证结果将成为信息系统安全运行的重要保障。同时,信息安全管理体系认证也大大推动了各组织努力开展信息安全建设,大力提高信息安全防护水平。

  目前,我国金融领域、通信领域、能源领域的行业主管部门均出台了信息安全管理体系建设和认证的引导政策。北京市经信委于2013年夏出台的文件,则鼓励北京市委办局有些选用通过27001认证的技术队伍提供的信息技术服务或信息安全服务。

  (三)信息安全认证认可工作在信息安全保障中的定位

  2011年3月发布的《我国国民经济和社会发展十二五规划纲要》明确提出要“健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系”。2013年2月国务院发布的《质量发展纲要(2011-2020年)》,将“完善信息安全认证认可体系,加强信息安全认证认可制度和能力建设,健全信息安全认证认可工作体系,促进信息安全认证认可结果的社会采信”,列入认证认可的重点工作。2013年6月发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号),在加快能力建设、提升网络与信息安全保障水平方面,也明确提出要“完善信息安全认证认可体系,加强信息安全产品认证工作,减少重复检测和重复收费”。

  2009年以来,我国银监会、保监会、工信部、国资委、原国家电监会对于基础网络和重要信息系统通过信息安全认证认可提升管理水平纷纷出台的相关的文件要求,对于基础网络和重要信息系统通过认证认可评价的手段加强信息安全保障建设指明了方向。

0
123查看全文
第1页:信息安全认证认可工作基本内容第2页:一项基础性制度安排第3页:需要引起重视的几个问题
相关文章
    盛拓传媒简介 关于IT168 广告服务 使用条款 投稿指南 联系我们
    北京盛拓优讯信息技术有限公司. 版权所有 中华人民共和国增值电信业务经营许可证 编号:京B2-20170206 北京市公安局海淀分局网监中心备案编号:11010802020118
    广播电视节目制作经营许可证:(京) 字第25315号 信息系统安全等级保护备案:11010813655-00001 京公网安备11010802020118号
    违法和不良信息举报电话 :010-58859066,18101376593,shengtuo20@it168.com