中国信息安全认证中心成立一周年

　　2007年10月22日，对于中国信息安全认证中心来说，是一个值得纪念、值得庆贺的日子。这一天，在北京东方花园饭店，隆重举行了中国信息安全认证中心与BSI公司联合向中国信达资产管理公司颁发ISO/IEC27001和ISO/IEC20000证书仪式。这个看似普通的颁证仪式，对中国信息安全认证中心来说，具有非同寻常的意义。它标志着中心在不到一年的时间里，圆满完成了组建工作；标志着与国际知名认证机构同台竞技不落下风,赢得了尊重；标志着中国信息安全认证中心从此跃上信息安全认证的舞台——

　　2007年10月22日，对于中国信息安全认证中心来说，是一个值得纪念、值得庆贺的日子。这一天，在北京东方花园饭店，隆重举行了中国信息安全认证中心与BSI公司联合向中国信达资产管理公司颁发ISO/IEC27001和ISO/IEC20000证书仪式。

　　国家认监委副主任兼中国信息安全认证中心主任刘卓慧代表信息安全认证中心向信达资产管理公司颁发了ISO/IEC27001认证证书和ISO/IEC20000认证证书。信达公司总裁在此后的致词中，对中国信息安全认证中心在认证审核过程中表现出的优秀的业务能力和严谨的工作作风，给予了高度评价。

　　这个看似普通的颁证仪式，对中国信息安全认证中心来说，具有非同寻常的意义。它标志着中心在不到一年的时间里，圆满完成了组建工作；标志着与国际知名认证机构同台竞技不落下风,赢得了尊重；标志着中国信息安全认证中心从此跃上信息安全认证的舞台。

　　几天后，从深圳又传来好消息：中国信息安全认证中心从国内外众多竞标深圳证券交易所信息安全管理体系认证项目的机构中脱颖而出，一举中标！

　　时不我待　信息安全形势严峻

　　时代的脚步铿锵有力，科技的发展日新月异。

　　人类进入二十一世纪，信息技术和网络得到了广泛应用。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。系统漏洞、网络窃密、网络攻击、垃圾电子邮件、虚假有害信息和网络违法犯罪日趋突出。根据权威部门的统计，2005年，我国仅金融系统由于信息安全问题造成的经济损失就近10亿元人民币。信息安全已成为国家安全、经济安全和社会稳定的重要组成部分。

　　信息安全产品能否保证安全？网络系统是否安全？回答这一问题，既不能凭开发者的良好愿望，也不能凭销售商的郑重承诺，更不能凭使用者的自我感觉，而必须进行科学、客观和正确地评判。依据有关技术和标准，对信息安全产品和信息系统实行测评认证，是发达国家加强信息安全管理、强化安全监控的重要手段。经过近30年的努力，以美国为首的西方发达国家已形成一套较为完整的信息安全测评认证体系，通过对信息安全产品和信息系统的安全性认证，达到有效控制和管理信息安全的目的。

　　中国的信息安全认证机构在哪里？2006年11月17日，在党中央国务院的高度重视和关心下，在国家质检总局、国家认监委的大力协调下，中国信息安全认证中心在世人的呼唤与期待中，挂牌成立，应运而生。

　　是时，部分国外认证机构已进入中国认证市场，并逐渐站稳了脚跟。

　　形势严峻，压力逼人。这样的大环境、大背景，注定了信息安全认证中心成立伊始，便处于异常激烈的市场较量与竞争之中，不进则退，不胜则败。

　　励精图治，奋发图强，成了他们惟一的选择。受命于关键时刻的中心领导班子，牢记总局及认监委领导的嘱托，始终把形势教育、危机教育、创业教育贯穿于中心工作，辐射所有的工作范围，以此统一思想，凝聚人心，振奋精神，激励斗志。在潜移默化中，巨大的压力化作了职工们献身信息安全认证的实际行动。

　　以人为本　组建一流认证队伍

　　“夯实基础，练好内功，协调左右，启动业务。”在采访中，刘卓慧主任用这样4句话，概括了中心成立第一年的工作任务。

　　“而这其中，最难的是人的问题”。

　　信息安全认证是交叉学科，涉及门类多,技术含量高，需要大量既懂认证管理、又掌握信息安全知识、还熟悉认证业务的复合型人才。而中心除了总局任命的三名班子成员，没有其他的人才。面对窘境，中心领导班子认真分析人员需求，坚持“多条腿走路”吸纳人才。一是在国家质检总局、国家认监委的支持下，通过协调相关部委，吸纳了部分从事相关工作的专业骨干；二是充分利用招聘应届大学毕业生这一渠道，选择录用了部分专业对口的优秀硕士、博士毕业生；三是面向社会公开招聘了部分具有实践经验的高素质人才。在具体实施过程中，由于建立了笔试、面试、考核等一整套保障措施，人员素质得到了切实保障。经过努力，具有相关专业背景、硕士以上学历者达到了近70%，其中有7名博士。
成功招录人员，只是完成了组建队伍的第一步。更重要的是后续培训要跟上，让每个人都达到上岗的要求。为此，他们请来了在认证认可领域知名的苏慎之老师，北京知识安全工程中心王新杰老师、张剑老师，中国质量认证中心肖向荣老师等。中心陈晓桦副主任也身先士卒，亲自上阵，展开了有针对性的培训。

　　首先，他们立足实际，制订了“统一规划，覆盖全员”的培训计划，对所有人员实行“先培训，后上岗”。

　　其次，以需求为导向，按照“干什么、学什么，缺什么、补什么”的原则，确定了培训内容。重点进行三方面的培训。一是以“爱岗敬业、公平公正，服务企业”为主要内容的职业道德培训；二是认证认可知识培训，开展了ISO/IEC9000、ISO/IEC20000、ISO/IEC27001等系列讲座；三是体系文件培训，重点对《质量手册》和《程序文件》进行分解学习，强化职工对认证程序及技能的把握。

　　第三，以“考”促学。为检验学习效果，一个阶段的培训结束后，统一安排笔试和岗位技能测试，将考试成绩归入个人业务档案，作为干部使用的重要依据。以“考”促学，以学迎“考”。

　　在严格的培训之下，11名同志获得了中国认证认可协会确认的ISMS审核员证书。

　　整体推进　四大业务全面启动

　　建立科学、统一、规范、协调的信息安全认证体系，至关重要。

　　近年来，围绕对信息安全产品的市场准入管理，一些部委和一些地方政府实施了一些检测、评估和许可等制度，开展了一些相关活动。信息安全认证中心成立后，协调有关部委划转及衔接相关业务、争取政策支持，是一项紧迫而繁重的任务。

　　对外协调是在国家认监委的主持下进行的。协调工作涉及相关部委职能的划转，其难度是显而易见的。召开协调会、登门拜访，几乎成了一个时期固定的工作模式。协调一次不成，再来第二次，不成再继续……他们以高度的责任感，忘我工作，锲而不舍，仅多边协调会就召开了15次。在国家认监委的强力推动下，各种难题基本化解。

　　中心在配合做好协调工作的同时，认证技术文件的起草工作也在严谨细致、有条不紊地进行。缺标准，缺规则，缺办法，且时间紧、人手少，怎么办？困难永远只能让弱者低头，强者只会迎难而上。从头起步，加班加点，只争朝夕！

　　——数十万字的技术文件，中认大厦10楼、11楼长明不熄的灯光，见证了中心干部职工奋不顾身、夜以继日的奉献。

　　2007年6月8日，中心顺利通过了中国合格评定国家认可委员会（CNAS）的认可评审，获得认可证书。这表明，中国信息安全中心具备了承担相应认证服务等工作的能力。截止到目前，中心已建立起一整套认证技术文件，整体业务“四轮驱动”，各项工作蒸蒸日上。

　　——信息安全产品认证。确定了首批强制性认证产品目录，共有边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全等8大类，其中包括防火墙、安全操作系统、防垃圾邮件、入侵检测等13种产品。按照国际惯例，向WTO的通报已于11月上旬结束，年底前将开展强制性产品认证试点，2008年全面展开。在信息安全自愿性产品认证方面，首批确定了15种自愿性认证产品目录，将在年底前展开。在无线局域网产品认证方面，圆满完成了证书换发工作，其产品认证工作已进入最后准备。

　　——信息安全管理体系认证已经展开。

　　——信息安全服务资质认证将于今年底开展试点。

　　——信息安全技术培训已经启动，并先后在上海、广东成功举办了培训班。

　　苦练内功　夯实事业发展基础

　　据中心党委书记李晓岚介绍，创建伊始，信息安全认证中心便确立了“建一流队伍、创一流业绩”的目标。一年来，他们团结一心，多管齐下，苦练内功，中心队伍的凝聚力和战斗力得到显著提高。

　　抓班子，努力建设“学习型”、“和谐型”的领导集体。中心领导班子坚持用邓小平理论和“三个代表”重要思想武装头脑，全面贯彻落实科学发展观，对事关中心事业关系的业务发展战略、录用人员、干部选拔任命等重大问题，都坚持充分酝酿，集体研究决定。班子成员在生活上相互关心，工作上相互帮助，事业上互相支持，形成了团结和谐、富有生机的领导核心。

　　抓党建，充分发挥党组织的战斗堡垒作用和党员的先锋模范作用。建立了党委、党支部两级组织，建立健全了包括学习制度、“三会一课”制度、民主生活会制度、党员培养发展制度在内的各项工作制度，卓有成效地开展了活动。党组织的凝聚力不断增强，中心2/3的群众向党组织递交了入党申请书。

　　抓制度，用制度规范人的行为和办事程序。先后制定了40多个制度，使各项工作做到了有章可循，形成了行为规范、运转协调、公正透明、廉洁高效的行政管理体制。

　　抓作风，促进认证工作公开、公平、公正。利用中心大会、中层干部会、专题学习会等形式，“举实例，讲危害”，反复强调提高认证质量的重要意义，并从具体的小事抓起，教育职工牢固树立“质量第一”、“质量是中心生命”的理念，打牢了“思想过硬、客观公正、清正廉洁”的作风根基。

　　……

　　肩负使命以诞生，怀抱志向而成长。弹指一年，拼搏一年，在艰苦探索、辛勤努力、不懈追求中成长起来的中国信息安全认证中心，力量已蓄，羽翼渐丰，正要展翅振翼，翱翔苍穹。采访时，该中心干部职工言谈中所透出的强烈的使命感、厚重的紧迫感，忠于职守的责任意识，奋发有为的进取精神，每每让记者深受感染。我们坚信，以保障信息安全为己任、以打造一流的专业认证机构为目标的中国信息安全认证中心，一定会在未来的国内外认证舞台上翩翩起舞，一定会为保障国家和企事业单位的信息安全作出新的更大的贡献！