中国电子技术标准化研究所参加信息安全管理标准应用试点工作

　　为贯彻落实中办27号文件提出的在信息安全保障工作中要坚持“管理与技术并重”的原则，国务院信息化工作办公室（简称国信办）与全国信息安全标准化技术委员会（简称信安标委）共同于今年3月组织了信息安全管理标准应用试点工作。此次试点选择了税务、证券等重要信息系统部门（行业）以及北京市、上海市、武汉钢铁集团公司等5个单位共7个系统开展工作。为保证试点工作正常有序地推进，成立了试点工作专家组，专家组秘书处设在我所信息技术研究中心。中国电子技术标准化研究所信息技术研究中心副主任吴志刚作为专家组成员参加了试点工作。

　　试点工作确定了三个工作目标：验证国际上通用的信息安全管理标准（ISO/IEC 27001:2005《信息安全管理体系 要求》和ISO/IEC 17799:2005《信息安全管理实用规则》）在我国的适用性、合理性；了解和掌握构建信息安全管理体系的程序、步骤和方法；探索信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系。为落实完成上述工作目标，在为期3个月的试点准备阶段工作中，中国电子技术标准化研究所作为试点标准支撑单位，完成了为试点单位提供了信息安全管理标准知识培训、负责起草了试点验收方案、协助专家组为试点单位提供咨询等多项重要工作。

 提供信息安全管理标准培训

　　4月24日，国信办在上海组织各试点单位代表召开了试点标准培训会。中国电子技术标准化研究所作为主讲单位介绍了信息安全管理标准发展趋势，对《信息安全管理体系 要求》（征求意见稿，IDT ISO/IEC 27001:2005）和《信息安全管理实用规则》（征求意见稿，IDT ISO/IEC 17799:2005）进行了详细的解读。
通过此次标准培训，既使我们对标准的前期研究得到了更大范围的参与和认可，又使各试点单位客观地了解了标准的发展背景和历程，熟悉并正确认识了标准的具体内容，这些为下一步在试点工作中检验该国际标准在我国的适用性和合理性，以及我国的信息安全管理体系标准制定都奠定了很好的基础。

 编写试点验收方案

　　根据5月份召开的“试点实施方案编写研讨会”的会议精神，为便于科学、规范地评价各试点单位对试点工作目标的实现程度，国信办指示试点工作专家组起草试点工作验收方案，中国电子技术标准化研究所受专家组的委托，负责编写了试点验收方案。验收方案的编写原则既考虑到了此次试点单位业务的特殊性（属国家重要信息系统部门和电子政务系统），又充分结合了标准认证的广泛市场需求。对试点验收目的、验收依据、验收内容、验收方式、验收需要的文档等内容进行了说明。

　　验收方案对于下一步试点工作的顺利开展有着重要的指导和参考作用，是试点验收工作的依据，又可以帮助试点单位进一步明确试点工作各项具体要求，而且可以协助试点工作专家组指导试点工作。

　　根据2006年6月15日召开的“试点计划和实施方案评审会”的会议精神，我们将进一步修改完善验收方案，以供试点工作所需。

　　中国电子技术标准化研究所作为信安标委信息安全管理工作组（WG7）组长单位，近几年来一直承担着信息安全管理国家标准的组织、协调、管理和研制工作，并对国际信息安全管理体系相关标准进行了持续地跟踪研究。此次试点工作的主要参考标准ISO/IEC 27001:2005和ISO/IEC 17799:2005是中国电子技术标准化研究所正在研究的信息安全管理标准项目。

　　在我国，对国际信息安全管理标准进行应用试点还是第一次。这套标准作为国外最佳实践经验的总结，能否适应中国的实际情况，此次试点工作将加以验证。通过在试点单位的实际业务系统和管理现状下进行应用，可以检验这套国际标准的适用性；通过在具有不同规模和业务类型的各试点单位构建信息安全管理体系，了解其过程、方法和步骤，进一步检验这套标准的合理性。这些工作对于我们下一步制定信息安全管理体系国家标准具有探索性的实际意义。

　　目前，试点工作已经转入实施阶段，中国电子技术标准化研究所也将继续积极认真地做好试点的相关支撑工作。