中国信息安全认证制度的发展和展望...2017/09/10 · 管理体系认证证书...
TRANSCRIPT
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
中国信息安全认证制度的发展和展望
中国信息安全认证中心
CHINA INFORMATION SECURITY CERTIFICATION CENTER
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
2
目 录
01 网络安全保障与合格评定制度
02 中国信息安全认证制度的建设
03 中国信安全认证制度的展望
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度
3
网络安全
Cyber Security
社会稳定
Social Stability
经济发展
Economic Development
个人信息保护
PII
商业秘密
Business Secret
贸易往来
Commercial
Intercourse
国家安全
National Security
支付安全
隐私安全
穿戴设备安全
物联网安全
关键信息基础设施安全
政府机关重要行业安全
基础软硬件安全
核心技术安全
Critical
Information
Infrastructure
Government &
Important
Industries
Fundamental
Hardware &
Software
Core
Technologies
Privacy
Payment
Wearable Devices
Internet of
Things
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度
战略
立法
标
准、规
范合格评定
(检测、认证、
认可)
计量
确定基本法律原则、战略目标
细化约束生产使用行为,支撑法律实施
验证合规,传递信任,支撑监管
建立基准,提供一致的基础
合格评定、标准、计量(国家质量技术基础 NQI)
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度
网络安全风险
Cyber SecurityRisk
•组织管理体系 Management Architecture
•强力监管部门 Unified Administration
组织体系
Organization
system
•监测通报预警 Monitor Alert & Notification
•信息共享机制 Information Sharing
•标准认证认可 Standard, certification&
Accreditation
•其他技术手段 Etc.…
技术体系
Technology
system
•财政保障 Financial Guarantee
•人才队伍 Talent groups
•国际合作 International Cooperation
资源体系
Assurance
System
合格评定是网络安全保障体系的重要组成部分
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER网络安全保障与合格评定制度
检测、评估:证明所评价对象符合要求,一般是对来样负责
- 产品、系统
认证:证明所评价的某一批次对象符合要求,并要求其保持持续符合
- 产品认证:在产品实物层面为网络安全提供保障基础
- 体系认证:在管理制度、业务流程方面为网络安全提供保障
- 服务认证:在供应方能力、过程、行为方面为网络安全提供保障
- 人员认证:在人员知识、能力、资历方面为网络安全提供保障
认可:正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明
- 检测机构、认证机构能力认可
合格评定活动对网络安全保障的作用
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
7
目 录
01 网络安全保障与合格评定制度
02 中国信息安全认证制度的建设
03 中国信安全认证制度的展望
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
中国信息安全认证制度的建立
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见
》(中办发27号文)要求“规范和加强信息安全产品测评认证工作
”。
2004年,原国信办、质检总局、认监委、公安部等8部委《关于建
立国家信息安全产品认证认可体系的通知》(国认证联57号),要
求建立统一的信息安全产品认证认可体系。
2006年6月,中编办批复设立中国信息安全认证中心,为国家质检
总局直属事业单位。
中央网信领导小组成立后,明确要求加快完善网络安全产品认证制
度。
中国信息安全认证制度的建设
8
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER中国信息安全认证制度的建设
国家相关监管部门
国家合格评定认可委员会国家认证认可协会
认证机构
认证从业人员注册管理 业务指导
认可
批准
产品认证 体系认证
服务认证人员认证与
培养
检测机构
认可
用户
采信
国际认可论坛
中国信息安全认证制度的建立(续)
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
已开展的信息安全认证业务
中国信息安全认证制度的建设
10
1 2
3 4
产品认证 管理体系认证
信息安全服务资质认证 信息安全培训和人员认证
国家信息安全产品认证
无线局域网产品认证
IT产品信息安全认证
非金融机构支付业务设施认证
信息技术设备CCC认证
XBRL可交换商业报表语言认证
EAL分级评估认证
信息安全风险评估
信息安全应急处理
信息系统安全集成
灾难备份与恢复
审核员评审员检查员培训
信息安全意识公益培训
信息安全从业保障人员认证
信息安全管理体系认证
信息技术服务管理体系认证
数据中心服务能力成熟度评价
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
信息安全产品认证
中国信息安全认证制度的建设
11
国家信息安全产品认证
- 认证范围:在政府采购法规定的范围内强制实施
- 产品目录:13种
- 依据标准:相关产品国家标准
- 检测认证机构:1家认证机构(ISCCC),7家指定实验室
IT产品信息安全认证
- 认证范围:作为对强制性认证的补充,根据市场需求自主开展
- 产品目录:70种
- 依据标准:通用要求(GB/T18336)+技术规范
- 检测认证机构:1家认证机构(ISCCC),9家指定实验室
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
管理体系认证
中国信息安全认证制度的建设
12
信息安全管理体系(Information Security Management Systems, ISMS)
- 依据标准:GB/T22080/ISO/IEC27001
信息技术—服务管理体系(Information Technology Service Management
Systems, ITSMS)
- 依据标准:GB/T24405.1/ISO/IEC20000-1
业务连续性管理体系(BusinessContinuityManagementSystems,BCMS)
- 依据标准:GB/T30146/ISO22301
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
服务认证
中国信息安全认证制度的建设
13
信息安全服务资质认证
-认证范围:应急处理、风险评估、安全集成、灾难备份与恢复、软件安全
开发、安全运维服
- 依据标准:《GB/T 32914-2016 信息安全技术 信息安全服务提供方管理
要求》、《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)等。
B2C电子商务交易服务认证
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
信息安全人员认证
认证对象:正式人员+预备人员;
专业方向:覆盖技术和管理两方面,包括安全软件、安全集成、安全管理、安全
运维、政务安全、服务管理、风险管理、网络攻防、业务连续性等9个专业方向
。
中国信息安全认证制度的建设
14
认证类型 级别 认证要求
专业认证III级(专业高级) 专业课程(二级)+附加课程
II级(专业级) 通用课程(二级)+专业课程(一级)
资格认证 I级(基础级) 基础课程+通用课程(一级)
预备认证 预备级 大专院校认定课程+基础课程+通用课程(一级)
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
信息安全认证业务进展
中国信息安全认证制度的建设
15
截至2017年8月,颁发
产品认证证书,2013张。
截至2017年8月,颁发
管理体系认证证书,353张。
截至2017年8月,颁发信息安全
服务认证证书,1049张。
截至2017年8月,颁发信息安全人
员认证证书近万张。
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
16
目 录
01 网络安全保障与合格评定制度
02 中国信息安全认证制度的建设
03 中国信安全认证制度的展望
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
《网络安全法》对检测认证工作的要求
中国信息安全认证制度的展望
17
《网络安全法》 第二十三条
网络关键设备和网络安全专用
产品应当按照相关国家标准的
强制性要求,由具备资格的机
构安全认证合格或者安全检测
符合要求后,方可销售或者提
供。国家网信部门会同国务院
有关部门制定、公布网络关键
设备和网络安全专用产品目录,
并推动安全认证和安全检测结
果互认,避免重复认证、检测。
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
信息安全认证可为《网络安全法》提供的其他支撑
中国信息安全认证制度的展望
18
个人信息和重要数据出境安全评估
网络安全检测、预警和应急响应体系
数据安全认证: 《网络安全法》37条“个人信息和重要数据……确需向境外提供的,应当
按照国家网信部门会同国务院有关部门制定的办法进行安全评估”
管理体系认证:条例(征求意见稿) 25条“组织制定网络安全规章制度、操作规程并监督执行”
人员认证:《网络安全法》34条“定期对从业人员进行网络安全教育、技术培训和技能考核”、条例(征求意见稿)26条“运营者网络安全关键岗位专业技术人员实行执证上岗制度”。
关键信息基础设施安全保护
基础支撑
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
国务院常务会议(9月6日)确定推进质量认证体系建设
中国信息安全认证制度的展望
19
一要大力推广质量管理先进标准和方法,以航空、铁路、汽车、信息等产
业为重点
二要引导和强制相结合。对涉及安全、健康、环保等产品实施强制性认证
三要探索创新质量标准管理方式,对新技术、新产品、新业态实施审慎监
管
四要强化监管,严格资质认定标准
五要深化质量认证国际合作互认
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
总结和展望
中国信息安全认证制度的展望
20
落实《网络安全法》及相关法规中关于检测、认证工作的要求,提高认证
有效性、降低认证成本。
支撑《网络安全法》,针对关键信息基础设施安全保护要求,推动建立大
数据安全、工业控制安全、物联网安全、机器人安全、安全从业人员、
服务安全等自愿性认证制度,发挥安全认证在基线安全保障及合规管理中
的作用。
落实国务院常务会议推进质量认证体系建设要求,促进适合信息产业(如
大数据企业)特点的信息安全质量管理体系完善、升级,引导各类企业尤
其是服务型、中小微企业获得质量认证,加强信息安全认证领域国际合作
交流。
中国信息安全认证中心CHINA INFORMATION SECURITY CERTIFICATION CENTER
谢 谢!
21