以保障信息安全为己任 --中国信息安全认证中心工作侧记

作者：ZLRW 来源：中国质量报 阅读：138

10月22日，对于中国信息安全认证中心来说，是一个值得纪念、值得庆贺的日子。这一天，隆重举行了中国信息安全认证中心与BSI公司联合向中国信达资产管理公司颁发ISO/IEC27001和ISO/IEC20000证书仪式。它标志着该中心在不到一年的时间里，与国际知名认证机构同台竞技不落下风，赢得了尊重；标志着中国信息安全认证中心从此跃上信息安全认证的舞台。     进入21世纪，信息安全已成为国家安全、经济安全和社会稳定的重要组成部分。2006年11月17日，中国信息安全认证中心挂牌成立。“夯实基础，练好内功，协调左右，启动业务。”中心主任刘卓慧用这样4句话，概括了中心成立第一年的工作任务，而这其中，最难的是人的问题。     成功招录入员，只是完成了组建队伍的第一步。他们首先立足实际，制定了统一规划，覆盖全员的培训计划，对所有人员实行先培训，后上岗。其次，以需求为导向，按照干什么、学什么，缺什么、补什么的原则，确定了培训内容。重点进行三方面的培训。一是以爱岗敬业、公平公正，服务企业为主要内容的职业道德培训；二是认证认可知识培训，开展了ISO/IEC9000、ISO/IEC20000、ISO/IEC27001等系列讲座；三是体系文件培训，重点对《质量手册》和《程序文件》进行分解学习，强化职工对认证程序及技能的把握。第三是以考促学。为检验学习效果，一个阶段的培训结束后，统一安排笔试和岗位技能测试，将考试成绩归入个人业务档案，作为干部使用的重要依据。在严格的培训之下，11人获得了中国认证认可协会确认的ISMS审核员证书。     近年来，围绕对信息安全产品的市场准入管理，一些部委和一些地方政府实施了一些检测、评估和许可等制度，开展了一些相关活动。信息安全认证中心成立后，协调有关部委划转及衔接相关业务、争取政策支持，是一项紧迫而繁重的任务。该中心采取召开协调会、登门拜访等方式与相关部门沟通、协调。协调一次不成，再来第二次，不成再继续……，他们以高度的责任感，忘我工作，锲而不舍，仅多边协调会就召开了15次。在国家认监委的强力推动下，各种难题基本化解。     今年6月8日，中心顺利通过了中国合格评定国家认可委员会（CNAS）的认可评审，获得认可证书。这表明，中国信息安全中心具备了承担相应认证服务等工作的能力。截至到目前，中心已建立起一整套认证技术文件，整体业务“四轮驱动”，各项工作蒸蒸日上。     信息安全产品认证。确定了首批强制性认证产品目录，共有边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全等8大类，其中包括防火墙、安全操作系统、防垃圾邮件、入侵检测等13种产品。按照国际惯例，向WTO的通报已于11月上旬结束，年底前将开展强制性产品认证试点，2008年将全面展开。在信息安全自愿性产品认证方面，首批确定了15种自愿性认证产品目录，将在年底前展开。在无线局域网产品认证方面，圆满完成了证书换发工作，其产品认证工作已进入最后准备。另外，信息安全管理体系认证已经展开；信息安全服务资质认证将于今年底开展试点；信息安全技术培训已经启动，并先后在上海、广东成功举办了培训班。     据中心党委书记李晓岚介绍，创建伊始，信息安全认证中心便确立了建一流队伍、创一流业绩的目标。一年来，他们团结一心，多管齐下，苦练内功，中心队伍的凝聚力和战斗力得到显著提高。以保障信息安全为己任、以打造一流的专业认证机构为目标的中国信息安全认证中心，对未来在国内外认证舞台上翩翩起舞，保障国家和企事业单位的信息安全充满了信心。