信息技术和网络空间,给社会的经济、科技、文化、教育和管理等各个方面注入了新的活力。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全问题。信息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。政府部门、社会用户、生产厂商和执法机关对信息技术“安全”、“可信”的要求十分迫切,安全性测评与认证成为信息化时代的客观需求。
在这一栏目中,我们将专门针对大家普遍关心的几类问题做出解答,力争使读者从整体上了解信息安全测评与认证方面的知识、理解测评与认证的意义。今后我们还将陆续对信息安全测评认证过程中出现的各种问题和疑问进行解答,欢迎大家踊跃参与。
l Why为什么要进行测评认证?
1.信息安全产品认证有什么意义?
(1) 信息安全产品认证是信息安全产品供应商认证的社会化,为信息安全产品用户节约采购成本,提高交易效率。
(2) 政府采购经国家认证合格的信息安全产品和服务,信息安全产品认证是政府间接控制信息安全产品质量的有效机制,为保证电子政务安全提供技术保障。
(3) 信息安全产品认证是国家支持国内信息安全企业的有效手段,政府采购通过采购由国家认证的、合格的国产信息安全产品、服务的方式支持国内企业的发展。
(4) 信息安全产品认证为消费者选购信息安全产品及服务提供指导。
(5) 促进信息安全企业的改进产品质量,提高产品的市场竞争能力。
2.政府部门、行业主管部门对信息安全产品与系统测评认证的规定有哪些?
(1) 国家密码管理委员会办公室指定认证中心作为商用密码产品质量检测机构;
(2)《中国联通电信智能卡入围检测实施细则》要求:“电信智能卡必须取得中国国家信息安全测评认证中心颁发的电信智能卡安全技术要求保证级(GB/T18336中评估保证级4增强级)认证证书;
(3) 北京市政务与公共服务信息化工程建设管理办法:信息化工程的设计方案、使用的产品、验收以及相关的服务,应当执行信息系统安全的相关标准;从事信息安全网络和信息应用系统的设计、开发、实施、服务和保障的单位,应当按照规定经国家或市信息化主管部门进行资质认证。
(4) 北京市人民政府关于加快政务信息化建设的意见:加强信息化标准和信息安全工作。
(5)关于加强上海市信息安全工作的若干意见:本市各级政府机关和预算拨款的事业单位建设信息安全系统,必须采购通过国家信息安全测评认证中心等机构认定的信息安全产品。
(6)中国人民银行委托中国信息安全产品测评认证中心对信息安全产品防火墙类产品进行选型测试;
(7)中国人民银行委托中国信息安全产品测评认证中心对信息安全产品入侵检测和扫描类产品进行选型测试;
(8)《网上证券委托暂行管理办法》第三章第二十条对规定网上委托系统应进行安全测评认证;
(9) 上海市信息化办公室在《上海市信息系统安全测评管理办法》中指定由中国信息安全测评认证中心具体负责组织实施上海市信息系统安全测评工作。
3.信息安全产品认证的好处是什么?
(1)认证是国家对信息安全产品的质量认可。
(2) 认证将增强用户对已认证产品的信任度,从而推动信息安全产品的市场接受程度。
(3)认证将降低信息系统或网络的安全风险。
(4) 认证将极大增强信息安全产品的市场优势。
(5) 认证为信息安全产品研制开发单位提供了一种标准,可引导他们开发满足国家实际需要和安全标准的产品。
(6) 认证为政府及商业部门的用户提供了一种系统安全程度的指标,指导他们选择正确的产品。
(7) 认证为以前没有安全保障的系统或网络提供改进服务,降低网络的安全风险。
4.产品认证是否是强制性认证?
目前所有的信息安全类产品认证都是自愿性的、非强制性的认证。随着CC国际互认协议的推广以及中国信息安全发展的需要,信息安全产品认证会逐步转为强制性认证。
5.认证中心对申请单位有些什么承诺和服务?
认证中心承诺:
所有的测评认证工作均秉承"科学、规范、客观和公正"的原则,确保申请单位的知识产权和商业秘密。在对信息安全产品和信息系统测评认证的基础上,为申请单位提供以下服务:
(1) 中心将在安全产品测评认证工作开展之后,广泛宣传中心的认证标志、中心认证的产品和系统。
(2) 中心将围绕信息安全产品的测评认证工作而开展一系列的宣传活动,包括新闻发布会、专刊、简报、展览会和发表宣传性文章等。
(3) 中心将在自己的网站上公布获证信息安全产品的名单及联络信息,并以超链方式与相应的生产厂商的主页相连。
(4)通过认证的单位在围绕其获证产品而开展的市场、广告及其他促销活动时,可以使用中心的认证标志、徽章和"通过国家信息安全认证"的用语。
l What认证中心有哪些认证业务?
1.认证中心的主要职责是什么?
(1) 对国内外信息安全设备和信息技术产品进行安全性检验与测试;
(2) 对国内信息工程和信息系统进行安全性评估与安全质量体系认证;
(3) 对在中国境内销售、使用的信息技术产品和安全设备进行安全性认证;
(4) 提供与信息安全有关的信息服务、技术服务及人员培训;
(5) 与国际上相应的测评认证机构联系与交流。
2.认证中心有哪些认证业务?
 |
 |
 |
