致力担当国家信息安全卫士
——写在中国信息安全认证中心成立五周年之际
本报记者 孙霞云 亓明和 文/图
序 言
2006年11月17日,初冬的北京寒意正浓。人们对“信息安全”倾注的热情,却仿佛给这个冬日增添了些许温度。
这一天,中国信息安全认证中心(ISCCC)成立大会在北京隆重召开。全国政协副主席李兆焯到会祝贺并揭牌,国务院信息化工作办公室常务副主任曲维枝、时任国家质检总局党组书记李传卿、国家认监委主任孙大伟、公安部副部长张新枫、国家安全部副部长耿惠昌、原信息产业部副部长娄勤俭、中国认证认可协会会长王凤清、国家保密局局长助理李历、国家密码管理委员会办公室总工程师王长喜等领导出席会议并讲话,对这个新生信息安全保障机构和认证机构表达了殷殷关切。
“这是我国经济社会生活中的一件大事,体现了党中央、国务院对信息安全工作的高度重视,将对我国信息安全监管的科学化、规范化、制度化产生深远影响!”对这个刚刚诞生的崭新机构,人们赋予高度评价,更寄予了深情厚望。仅2006年,从维金蠕虫泛滥引发企业用户网络瘫痪,到熊猫烧香导致年末病毒狂潮,从首例敲诈型病毒现身用户面临新威胁,到大量网游账号被黑虚拟财产保护刻不容缓……一件又一件信息领域的安全事件一再说明,信息安全作为“非传统安全”的核心内容,已与政治安全、军事安全、经济安全等并列成为国家安全体系中的关键组成部分,构建一个和谐、有序的安全信息网络,对于个人、企业、社会乃至国家是多么的重要。
纵观国际信息安全保障工作的发展趋势,对信息安全产品实行检测认证,是发达国家加强网络安全管理的重要手段。“十五”期间,我国有关部门分别实施了一些与信息安全有关的评价制度,取得了一些积极的成效。但由于这些评价制度存在多重管理和标准不一致等问题,影响了我国信息安全产业的健康与快速发展,产业界对此反映强烈,呼吁建立统一的评价制度。鉴于此,党中央、国务院提出要进一步推进认证认可工作,规范和加强信息安全产品测评认证工作。
2001年8月,国家认监委宣告成立,为我国建立统一的信息安全认证认可体系奠定了组织基础。2004年10月18日,国家认监委、公安部、国家安全部、原信息产业部、国家保密局、国家密码管理局、国家质检总局、国务院信息化工作办公室八个部委联合发布《关于建立国家信息安全产品认证认可体系的通知》,决定建立集中统一、严格规范、科学高效的信息安全认证认可体系,并将组建中国信息安全认证中心列为重要一环。
建立完善的信息安全认证认可体系是进入信息化时代后主权国家捍卫自身安全的重要屏障,也是维护自身利益的主要手段。信息安全认证中心的组建,标志着我国统一的信息安全认证认可体系的建立与实施。
肩负使命以诞生,怀抱志向而成长。五年来,中国信息安全认证中心披肝沥胆,披荆斩棘,勇于担当,为我国的信息安全筑起一道强有力的屏障。
国家质检总局局长支树平(前中)等领导到中国信息安全认证中心考察工作
国家质检总局副局长、国家认监委主任孙大伟(左一)向获证单位颁发认证证书
在京组织召开“信息安全产品认证颁证大会”
开局维艰:打响攻坚战
“来之不易,轻视不得”——2008年3月12日,时任国家质检总局副局长的支树平到信息安全认证中心考察工作时,用8个字概括了信息安全认证中心组建历程及信息安全、信息安全认证工作的重要性。
“来之不易”——组建信息安全认证机构涉及众多的相关部门,这中间既有统一认识的过程,也有管理格局调整的过程。从酝酿到成立历时五年。
“轻视不得”——信息安全认证是保障信息安全的基础性工作,特别是在当前我国信息技术与产业核心竞争力还不强,关键技术、关键设备还受制于人的情况下,信息安全认证工作在维护整个国家信息安全的链条中处于举足轻重的地位。
万事开头难。中国信息安全认证中心和新的信息安全产品认证制度,自成立和诞生以来,便面临着重重压力,面对着制度环境、技术环境和市场环境带来的严峻挑战。
审视自身,摆在面前的是“三新”局面:一是队伍新,人员基本来自六个相关部委及应届大学毕业生,队伍亟待融合;二是业务新,信息安全认证作为保障信息安全的有效手段,在中国还是新生事物,社会亟待认知;三是机构新,与一些管理、发展成型的老单位相比,万事需要从头起步,制度亟待建立。从外部看,一些国家对我国新的信息安全产品认证制度还存在误解,亟待澄清。部分国际知名认证机构已进入中国认证市场,并逐渐站稳了脚跟,处于明显的竞争优势。
“在信息安全领域推行认证认可,既要集中统一、符合国际通行做法,又要和我们国家现有的信息安全产品管理制度相衔接;既要公开透明,遵循WTO的原则,又要保持我国制度的自主独立;既要遵循认证认可的一般原则,又要充分体现信息安全的特殊敏感性;既要严格执行标准,又要兼顾信息技术产品创新性强的特点。”回首一路走过的历程,接受采访的参与信息安全认证中心筹建的老员工们深感不易。面对重重阻力和巨大压力,受命于关键时刻的中心领导班子审时度势,科学决策,带领年轻的队伍,以时不我待的责任感和使命感,打响了奠定基础、开发技术、拓展业务的攻关战役。
信息安全认证中心的工作成效首先体现在信息安全产品认证业务的推动上。信息安全产品认证是信息安全保障体系建设的一项基础性工作,也是我国加强新形势下信息安全保障工作的一项制度性安排。作为一种非营利性业务,产品认证是中心的先导业务,也是一块难啃的“硬骨头”。突破产品认证既可体现中心核心价值,也可“牵一发而动全身”带动其他业务发展。
然而,启动统一的信息安全产品认证谈何容易。既涉及与相关部委原评价、许可或采购管理制度的衔接,又涉及与检测机构、政府采购的合作与配合,更重要的是还要取得国际社会的认同。协调工作量大、面广、环节多,而诸多技术文件欠缺,更需从头起步。
是压力更是动力,是挑战也是机遇。面对困难,中国信息安全认证中心负重前行,迎难而上,多管齐下。一是着力完善技术文件。组织集体攻关,牵头7个检测机构开展科研和技术交流活动,编制了13种信息安全产品的实施规则、检测规范,形成了百万字的基础性技术文件。二是着力做好协调工作。上下奔走,左右斡旋,与财政部、中央政府采购中心紧密沟通,有条不紊地推进认证申请、产品检测、认证受理、证书衔接、认证采信等工作,使制度公布与认证实施无缝连接。三是着力做好宣传推介。多次组织召开由外商投资企业、国内企业、相关机构参加的“信息安全产品认证沟通会”,宣传产品认证制度,取得了广大企业,尤其是外资企业的认同和积极配合。四是着力做好释疑解惑工作。面对国外的质疑,以提供技术支持为手段,积极配合国家认监委及有关部门与相关国家进行沟通和交流,努力澄清其对我制度的误解、疑虑。
2009年8月28日,“信息安全产品认证颁证大会”在京隆重举行。会上,向北京启明星辰信息安全技术有限公司等14家企业颁发了首批34张认证证书。首批产品证书的颁发,表明信息安全产品认证认可体系进入实质性运行阶段,科学、规范、统一的认证制度开始发挥作用。
截至2011年10月底,该中心共颁发216张国家信息安全产品认证证书,涵盖8类13种产品。同时颁发无线局域网产品3C认证证书128张、IT产品信息安全认证证书47张、支付系统安全认证证书42张。从信息安全产品认证种类和覆盖面看,信息安全产品认证制度的基础保障作用得到了有效体现。
开拓业务:实现“四轮驱动”
2007年11月1日,又是一个冬天。体系认证处工程师景育明只身南下,参与深圳证券交易所信息安全管理体系认证项目竞标。他的行程牵动了中心全体员工的心。要知道此行是与外资认证机构竞争啊!
一天后消息传来:中国信息安全认证中心中标!员工们欢呼雀跃,庆祝来之不易的胜利。
信息安全管理体系(ISMS)认证是除信息安全产品认证外,信息安全认证的又一重要种类,带有明显的市场竞争特点。信息安全管理体系的市场占有率、客户质量更能说明认证机构的水平及影响力。
启动之初,外资机构已在国内信息安全管理体系认证市场占据垄断地位。
“明知山有虎,偏向虎山行”。该中心从深入分析认证市场特点着手,狠抓技术能力、服务能力和营销能力建设,在国内率先通过了中国合格评定国家认可委员会的能力认可;采取扬长避短的策略,优先发掘行业龙头企业,主动与有关企业接触,提供上门服务;主动参与竞标活动,让市场检验实力、传递信任。由此该中心信息安全管理体系业务逐步被市场所认可,并逐渐形成规模效应。截至目前,中心信息安全管理认证客户已覆盖银行、邮政、证券、电信、资产管理、计算机服务、软件、电力、热力生产和供应、信息传输服务等十大重要领域,共颁发信息安全管理体系认证证书78张,同时还颁发了47张信息安全技术管理认证证书,实现了业务突破性增长,市场占有率大大提高。同时,在认证实践中,该中心还逐渐形成了“规范、高效、精准”的审核特色,赢得了业内的高度认可,树起了信息安全认证中心的权威体系认证品牌。
与此同时,该中心还着力推动信息安全管理体系认证。针对社会需求,确定了按照分级分类原则开展服务资质认证的工作思路,依据国内现有信息安全标准或行业技术规范,从完善技术文件着手,率先开展了应急处理服务资质认证、风险评估服务资质认证、安全集成服务资质认证。这3项认证,既是业务创新,也是制度创新,满足了行业需求,得到了企事业单位积极响应和好评。其中,获得应急处理服务资质认证证书的启明星辰等公司,在2008年北京奥运会网络安全保障工作中发挥了重要作用。
信息技术用户的信息安全意识和信息安全人员的专业技能是决定信息安全防护水平的关键因素,在世界各国都得到高度重视。在我国,由于国家政策要求和各机构加强自身安全保障的双重驱动,信息安全培训需求非常强烈。针对这一需求,该中心陆续推出了安全标准、安全技术、安全管理、法律法规、工厂检查员、体系审核员、体系咨询师、服务资质评审员、集成工程师9大类培训板块,并针对“安全集成”人员率先开展了信息安全保障从业人员认证,得到了国资委及许多机构的采信。为更好地满足各方需求,该中心在“风险管理”、“安全软件”、“安全咨询”、“服务管理”、“安全管理”、“基础资格”等认证方向将陆续开展人员认证。
至此,经过五年的发展,该中心信息安全产品认证、信息安全管理体系认证、信息安全服务资质认证、信息安全保障从业人员认证4大核心业务得到全面发展,形成了“四轮驱动”的快速发展态势。
苦练内功:夯实发展基础
2011年11月,经过两年紧张筹建的中国信息安全认证中心基准实验室初步建成。上百套先进设备、各类软件构建起基准测试、标准研究、能力验证和质量检验的综合技术支撑平台。
信息安全是高技术的对抗。加强信息安全技术研发,着力提高核心竞争力是信息安全认证中心主动开辟的又一战场。五年来,该中心贴近国家和部门需求,主动请缨承担了国家863计划、国家科技支撑计划及相关部委数十个科研课题,研发4项国家标准,研发认证测评工具30套、计算软件著作权登记4个,为促进信息安全认证工作的发展,起到了有力的基础支撑和引领作用。
这五年,各种荣誉纷至沓来:2009年该中心被评为“中央国家机关文明单位”,2010年中心党委被评为“质检总局直属机关党委先进基层党组织”,2011年中心党委被评为“全国质检系统先进基层党组织”;17人次在各类评比中获奖。
丰硕的科技成果、各种综合或专项殊荣折射出了该中心自身建设的成效。
五年来,在岗培训持续开展。信息安全认证是交叉学科,涉及门类多,技术含量高,需要大量既懂认证管理、又掌握信息安全知识、还熟悉认证业务的复合型人才。通过深入调研,该中心连续五年策划实施了涉及认证技术培训、营销业务培训、管理知识培训的上百个在岗培训项目,使员工的自身素质得到了持续提升。
五年来,智力支持平台持续发挥作用。组建了由国务院参事、中国工程院院士、知名学者和信息安全认证认可核心专家组成的专家咨询团队,以及来自政府监管机构、获证组织、认证结果使用方组成的技术专家队伍,为信息安全认证科学决策和技术研究提供了强大的智力支持。
五年来,基础设施建设持续完善。设计开发了OA系统,持续进行了改进,逐步实现了办公自动化;设计开发了认证业务受理系统,实现了从客户申请到内部受理、审核、颁证、监督全流程信息化管理;设计开发了中心网站,持续进行了改造,丰富和提升了网站功能。基础建设的提升,为信息安全认证的发展奠定了强大的物质基础。
五年来,认证文化建设持续开展。总结提炼了“勇于担当,敢于创新,勤于学习,善于协作,严于律己,乐于奉献”的精神,为中心发展提供了精神源泉和精神支柱;用名言警句、光荣榜、党团活动剪影、宣传栏等展板装点了文化走廊,营造了浓厚的墙体文化;完善文化设施,开展了丰富多彩的业余文化生活。文化建设已成为事业发展的深层推动力。
五年来,党组织和党风廉政建设持续推进。深入开展创先争优活动,大力加强领导班子和党团组织建设,探索建立了定量与定性相结合的党建工作考核评价体系;深入推进党风廉政责任制,导入ISO9000理念和方法,率先开展了廉政风险防控管理工作,形成了覆盖全中心、重点防控、逐级管理、责任到人的廉政风险防控机制。
五年来,业务合作持续扩大。以“找准结合点,拓宽工作面”为突破口,与国家互联网应急处理中心、银行卡检测中心、中国特种设备检测研究院、质检总局信息中心及部分检验检疫局、质量技术监督局、科研院所建立了战略合作关系,大力开展了政策研究和信息安全服务工作,为推进信息安全认证工作的深入发展提供了支撑。
同时,机构建设取得突破。2011年6月,中国信息安全认证中心江苏中心正式成立。在华东、华南、西南等产业较为集中的地区设立办事机构已摆上重要日程。
……
机构、队伍和基础建设的一个个成果犹如春风好雨,催生中国信息安全认证中心生根、发芽、开花、结果,为信息安全认证事业注入了动力、增添了活力。
五年一瞬征程远,再创辉煌更扬鞭。
今年3月16日发布的《中华人民共和国国民经济和社会发展第十二个五年规划纲要》明确提出,“要完善信息安全标准体系和认证认可体系”。这表明“十二五”时期,我国将加快经济社会各领域信息化进程,大力推进信息安全认证认可体系建设已成为完善信息安全保障体系、全面提升信息化水平的客观需求,这将为信息安全认证发展提供重要的发展机遇。
“今后五年,中心将着手建立覆盖完整、门类齐全、规模适宜、结构合理的信息安全认证业务体系,以更好地服务于国家基础信息网络和重要信息系统的信息安全保障。”——中国信息安全认证中心主任魏昊以坚定的语气向记者表达了中心的愿景。
这愿景,是使命,更是责任。“以保障国家信息安全认证为己任,以打造一流信息安全认证机构为目标”的中国信息安全认证中心,在下一个五年,下一个十年、二十年……将致力于践行责任、实现愿景,并将铸造属于自己的辉煌。
《中国国门时报》
