信息安全认证在中国升温

　　10月22日，中国信达资产管理公司ISO/IEC27001和ISO/IEC20000证书颁发仪式在北京东方花园饭店举行。该证书由中国信息安全认证中心（ISCCC）和BSI公司共同颁发。这使得信达公司成为中国第一家在信息安全管理体系和IT服务管理方面，同时获得国际国内双认证的金融机构。该证书也是中国信息安全认证在金融领域颁发的ISO/IEC27001认证证书和ISO/IEC20000认证证书。

一

　　信息安全认证——对许多国人来说，还是一个较为陌生的字眼，但在国际上早已成为组织的追捧对象。英国从上个世纪80年代便逐步开展信息安全认证标准的制定工作，并实施信息安全认证。经过20多年的实践，信息安全认证已日臻完善。

　　2004年度，北美地区十大热门认证排行榜显示，与信息安全有关的认证就占据了其中3席：第一名：微软MCSE：Security，第三名：美国计算机协会Security +认证，以及第七名：CISSP（Certified Information System Security Professional，信息系统安全认证专业人员）。由此可见，依据信息安全相关技术和管理标准实施检测认证，已成为各国加强信息安全管理的重要手段。正如国家认监委孙大伟主任指出的：“随着信息产业的迅速发展，信息安全问题也日渐突出，如得不到及时控制和处理，将直接影响到国家安全和经济利益。”

　　随着信息安全问题日益成为全球关注的焦点，我国信息安全认证认可体系的建设也取得实质性进展：2006年11月17日，中国信息安全认证中心成立，该中心依据国家信息安全管理的法律法规、《中华人民共和国认证认可条例》及相应产品的实施规则，在指定的业务范围内，对信息安全产品实施认证，并开展与信息安全有关的管理体系认证和人员培训、技术研发等工作。由此，掀开了我国信息安全认证事业新的一页！

二

　　一直以来，在国内信息安全认证市场上，能有所影响的大多为国外认证品牌。有资料显示，当前国内信息安全认证领域60%以上份额为国外认证机构所占据，国内有影响力的认证品牌尚未形成。随着中国信息安全认证中心的成立，国内信息安全认证市场将面临重新洗牌。

　　中国信达资产管理公司为提升业务管理水平，自2005年开始建立并运行了ISO9001质量管理体系。作为企业整体管控的标准，ISO9001虽然覆盖了企业的各个职能部门，但对于信息安全以及信息的专业化管理却专业性不强。公司需要新的管理体系，以满足其向国际化发展和商业化转型的战略需要。

　　共同的目标——实施信息管理体系以及信息技术服务管理认证，让ISCCC和中国信达资产管理公司走到了一起。2007年9月，信达公司邀请ISCCC和BSI进行认证审核。通过现状调查和差距评估、体系试运行等阶段，信达公司建立并完善了其信息安全管理体系和信息技术服务管理体系，并最终通过了认证。

　　事实证明，整合后的ISO/IEC9001、ISO/IEC20000、ISO/IEC27001“三合一”体系更加符合信达公司的要求。首先，“三合一”体系更加注重服务质量。新体系建立了服务报告、指标考核、客户满意度调查、服务台和投诉受理等相关制度，设立了客户代表，签订了服务承诺书，定期回顾检查各项服务承诺的履约执行情况。其次，“三合一”体系更加重视信息安全。新体系设立了安全质量经理和安全员岗，将信息安全检查监督列入管理日程，并有望彻底解决长期困扰信达公司信息安全的灾难备份和系统恢复问题，也为实现未来的集团信息化管理平台创造了条件。第三，“三合一”体系更加强调规范操作。新体系针对信达公司IT服务大量外包的实际情况，对软件开发、系统维护、产品采购、网站管理等，制定了明确的业务操作流程和管理标准，督促外包服务团队共同遵守。第四，持续改进的企业文化已经形成。“三合一”体系已经具备了跟踪外界变化，自学、自查、自纠的管理机制和能力，为信息安全以及信息技术服务管理的深化和拓展提供了制度保障。

三

　　中国信达资产管理公司总裁田国立表示：“此次通过‘双认证’，将巩固信达的市场竞争优势。”事实的确如此，ISO/IEC27001和ISO/IEC20000认证已经成为企业核心竞争力的重要标志。

　　据中国信息安全认证中心有关专家介绍，ISO/IEC27001和ISO/IEC20000是国际标准化组织2005年颁布的两个标准，为迎接管理挑战、建立信息安全体系和IT服务管理体系提供了理论指导框架。作为ISO/IEC27001标准的指南性文件，ISO/IEC27002从保证信息的机密性、完整性和可用性方面，提出了11个信息安全管理领域中的39个管理目标和133个控制项。ISO/IEC20000则更关注于IT服务管理领域，提供了13个标准管理流程，全面指导IT服务工作。

　　据不完全统计，截至2006年底，全球已有超过3000家企业或组织通过ISO/IEC27001和ISO/IEC20000认证。与之相应的，近年来，国家认监委按照国务院的统一部署，积极推进信息安全产品及信息安全管理体系认证工作，已取得显著成效。目前，我国已有30多家企业通过了ISO/IEC27001或ISO/IEC20000认证。而中国信达资产管理公司此次申请并通过ISO27001和ISO/IEC20000认证，对相关组织尤其是大型企业具有很好的示范作用。

　　对于如何巩固和发展信息安全认证的成果，国家认监委副主任刘卓慧表示，认证机构要积极引导各类组织尤其是大型企业贯标，同时加大宣传力度，使信息安全管理体系和信息技术服务管理体系认证被社会广泛认知。

　　“相关认证机构一定要以保障用户信息安全为己任，加强自身技术能力建设，树立质量意识，规范运作，切实提高认证有效性。”刘卓慧强调，“保障信息安全是政府、认证机构和各类组织共同的目标和责任，大家要携起手来，各尽其责，密切配合，为推进我国的信息化发展作出应有的贡献。”