中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

中国信息安全认证制度的发展和展望

中国信息安全认证中心

CHINA INFORMATION SECURITY CERTIFICATION CENTER

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

2

目 录

01 网络安全保障与合格评定制度

02 中国信息安全认证制度的建设

03 中国信安全认证制度的展望

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度

3

网络安全

Cyber Security

社会稳定

Social Stability

经济发展

Economic Development

个人信息保护

PII

商业秘密

Business Secret

贸易往来

Commercial

Intercourse

国家安全

National Security

支付安全

隐私安全

穿戴设备安全

物联网安全

关键信息基础设施安全

政府机关重要行业安全

基础软硬件安全

核心技术安全

Critical

Information

Infrastructure

Government &

Important

Industries

Fundamental

Hardware &

Software

Core

Technologies

Privacy

Payment

Wearable Devices

Internet of

Things

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度

战略

立法

标

准、规

范合格评定

（检测、认证、

认可）

计量

确定基本法律原则、战略目标

细化约束生产使用行为，支撑法律实施

验证合规，传递信任，支撑监管

建立基准，提供一致的基础

合格评定、标准、计量（国家质量技术基础 NQI）

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度

网络安全风险

Cyber SecurityRisk

•组织管理体系 Management Architecture

•强力监管部门 Unified Administration

组织体系

Organization

system

•监测通报预警 Monitor Alert & Notification

•信息共享机制 Information Sharing

•标准认证认可 Standard, certification&

Accreditation

•其他技术手段 Etc.…

技术体系

Technology

system

•财政保障 Financial Guarantee

•人才队伍 Talent groups

•国际合作 International Cooperation

资源体系

Assurance

System

合格评定是网络安全保障体系的重要组成部分

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度

检测、评估：证明所评价对象符合要求，一般是对来样负责

- 产品、系统

认证：证明所评价的某一批次对象符合要求，并要求其保持持续符合

- 产品认证：在产品实物层面为网络安全提供保障基础

- 体系认证：在管理制度、业务流程方面为网络安全提供保障

- 服务认证：在供应方能力、过程、行为方面为网络安全提供保障

- 人员认证：在人员知识、能力、资历方面为网络安全提供保障

认可：正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明

- 检测机构、认证机构能力认可

合格评定活动对网络安全保障的作用

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

7

目 录

01 网络安全保障与合格评定制度

02 中国信息安全认证制度的建设

03 中国信安全认证制度的展望

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

中国信息安全认证制度的建立

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见

》（中办发27号文）要求“规范和加强信息安全产品测评认证工作

”。

2004年，原国信办、质检总局、认监委、公安部等8部委《关于建

立国家信息安全产品认证认可体系的通知》（国认证联57号），要

求建立统一的信息安全产品认证认可体系。

2006年6月，中编办批复设立中国信息安全认证中心，为国家质检

总局直属事业单位。

中央网信领导小组成立后，明确要求加快完善网络安全产品认证制

度。

中国信息安全认证制度的建设

8

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER中国信息安全认证制度的建设

国家相关监管部门

国家合格评定认可委员会国家认证认可协会

认证机构

认证从业人员注册管理 业务指导

认可

批准

产品认证 体系认证

服务认证人员认证与

培养

检测机构

认可

用户

采信

国际认可论坛

中国信息安全认证制度的建立（续）

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

已开展的信息安全认证业务

中国信息安全认证制度的建设

10

1 2

3 4

产品认证 管理体系认证

信息安全服务资质认证 信息安全培训和人员认证

国家信息安全产品认证

无线局域网产品认证

IT产品信息安全认证

非金融机构支付业务设施认证

信息技术设备ＣＣＣ认证

XBRL可交换商业报表语言认证

EAL分级评估认证

信息安全风险评估

信息安全应急处理

信息系统安全集成

灾难备份与恢复

审核员评审员检查员培训

信息安全意识公益培训

信息安全从业保障人员认证

信息安全管理体系认证

信息技术服务管理体系认证

数据中心服务能力成熟度评价

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

信息安全产品认证

中国信息安全认证制度的建设

11

国家信息安全产品认证

- 认证范围：在政府采购法规定的范围内强制实施

- 产品目录：13种

- 依据标准：相关产品国家标准

- 检测认证机构：1家认证机构（ISCCC），7家指定实验室

IT产品信息安全认证

- 认证范围：作为对强制性认证的补充，根据市场需求自主开展

- 产品目录：70种

- 依据标准：通用要求（GB/T18336）+技术规范

- 检测认证机构：1家认证机构（ISCCC），9家指定实验室

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

管理体系认证

中国信息安全认证制度的建设

12

信息安全管理体系（Information Security Management Systems, ISMS）

- 依据标准：GB/T22080/ISO/IEC27001

信息技术—服务管理体系（Information Technology Service Management

Systems, ITSMS）

- 依据标准：GB/T24405.1/ISO/IEC20000-1

业务连续性管理体系（BusinessContinuityManagementSystems，BCMS）

- 依据标准：GB/T30146/ISO22301

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

服务认证

中国信息安全认证制度的建设

13

信息安全服务资质认证

-认证范围：应急处理、风险评估、安全集成、灾难备份与恢复、软件安全

开发、安全运维服

- 依据标准：《GB/T 32914-2016 信息安全技术 信息安全服务提供方管理

要求》、《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)等。

B2C电子商务交易服务认证

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

信息安全人员认证

认证对象：正式人员+预备人员；

专业方向：覆盖技术和管理两方面，包括安全软件、安全集成、安全管理、安全

运维、政务安全、服务管理、风险管理、网络攻防、业务连续性等9个专业方向

。

中国信息安全认证制度的建设

14

认证类型 级别 认证要求

专业认证III级（专业高级） 专业课程（二级）+附加课程

II级（专业级） 通用课程（二级）+专业课程（一级）

资格认证 I级（基础级） 基础课程+通用课程（一级）

预备认证 预备级 大专院校认定课程+基础课程+通用课程（一级）

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

信息安全认证业务进展

中国信息安全认证制度的建设

15

截至2017年8月，颁发

产品认证证书，2013张。

截至2017年8月，颁发

管理体系认证证书，353张。

截至2017年8月，颁发信息安全

服务认证证书，1049张。

截至2017年8月，颁发信息安全人

员认证证书近万张。

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

16

目 录

01 网络安全保障与合格评定制度

02 中国信息安全认证制度的建设

03 中国信安全认证制度的展望

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

《网络安全法》对检测认证工作的要求

中国信息安全认证制度的展望

17

《网络安全法》 第二十三条

网络关键设备和网络安全专用

产品应当按照相关国家标准的

强制性要求，由具备资格的机

构安全认证合格或者安全检测

符合要求后，方可销售或者提

供。国家网信部门会同国务院

有关部门制定、公布网络关键

设备和网络安全专用产品目录，

并推动安全认证和安全检测结

果互认，避免重复认证、检测。

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

信息安全认证可为《网络安全法》提供的其他支撑

中国信息安全认证制度的展望

18

个人信息和重要数据出境安全评估

网络安全检测、预警和应急响应体系

数据安全认证： 《网络安全法》37条“个人信息和重要数据……确需向境外提供的，应当

按照国家网信部门会同国务院有关部门制定的办法进行安全评估”

管理体系认证：条例（征求意见稿） 25条“组织制定网络安全规章制度、操作规程并监督执行”

人员认证：《网络安全法》34条“定期对从业人员进行网络安全教育、技术培训和技能考核”、条例（征求意见稿）26条“运营者网络安全关键岗位专业技术人员实行执证上岗制度”。

关键信息基础设施安全保护

基础支撑

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

国务院常务会议（9月6日）确定推进质量认证体系建设

中国信息安全认证制度的展望

19

一要大力推广质量管理先进标准和方法，以航空、铁路、汽车、信息等产

业为重点

二要引导和强制相结合。对涉及安全、健康、环保等产品实施强制性认证

三要探索创新质量标准管理方式，对新技术、新产品、新业态实施审慎监

管

四要强化监管，严格资质认定标准

五要深化质量认证国际合作互认

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

总结和展望

中国信息安全认证制度的展望

20

落实《网络安全法》及相关法规中关于检测、认证工作的要求，提高认证

有效性、降低认证成本。

支撑《网络安全法》，针对关键信息基础设施安全保护要求，推动建立大

数据安全、工业控制安全、物联网安全、机器人安全、安全从业人员、

服务安全等自愿性认证制度，发挥安全认证在基线安全保障及合规管理中

的作用。

落实国务院常务会议推进质量认证体系建设要求，促进适合信息产业（如

大数据企业）特点的信息安全质量管理体系完善、升级，引导各类企业尤

其是服务型、中小微企业获得质量认证，加强信息安全认证领域国际合作

交流。

中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER

谢 谢！

21