强制性产品认证
2001年12月,国家质检总局发布了《强制性产品认证管理规定》,以强制性产品认证制度替代原来的进口
商品安全质量许可制度和电工产品安全认证制度。中国强制性产品认证简称CCC认证或3C认证。是一种法定的强制性安全认证制度,也是国际上广泛采用的保护消费者权益、维护消费者人身财产安全的基本做法。在实施强制性产品认证的产品范围中,无线局域网产品和信息安全产品的指定认证机构为中国信息安全认证中心。 信息安全管理体系
病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍等,越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于最新国际标准ISO/IEC27001:2005的信息安全管理体系(Information Security Management System, ISMS)是目前国际上先进的信息安全解决方案,正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力。
ISO/IEC 27001标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISO/IEC 27001认证能为组织带来如下收益:1.使组织获得最佳的信息安全运行方式;2.保证组织业务的安全;3.降低组织业务风险、避免组织损失;4.保持组织核心竞争优势;5.提供组织业务活动中的信誉;6.增强组织竞争力;7.满足客户要求;8.保证组织业务的可持续发展;9.使组织更加符合法律法规的要求。
服务资质认证
中国信息安全认证中心是国家认证认可监督管理委员会批准的一家可以从事信息安全服务资质认证的机构
(详见CNCA-R-2007-138《认证机构批准书》)。在国认可函[2007]150号《关于批准中国信息安全认证中心从事信息安全服务资质认证和培训试点工作的批复》中明确了中心是作为开展信息安全服务资质认证业务的试点单位。同时,中心也获得了中国合格评定国家认可委员会的认可,证书编号:No. CNAS CO66-V。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的安全服务资质进行评价。认证标准:开展信息安全服务资质认证的依据是国家法律法规、国家标准、行业标准和技术规范。目前中国信息安全认证中心开展了信息安全应急处理资质认证业务,依据标准是YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》。
YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》是根据我国网络与信息安全应急处理服务管理的需求,同时考虑到国内网络与信息安全应急处理服务提供商的实际情况,参考YD/T 1621-2007《网络与信息安全服务资质评估准则》、《计算机信息系统集成资质管理办法》等文件和相关国际国内标准制定而成。该标准的评估对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。
网络与信息安全应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。网络与信息安全应急处理服务资质等级是衡量服务提供方应急处理服务资格和能力的尺度。资质等级分为三级,一级最高,三级最低。
网络与信息安全应急处理服务资质评估是对网络与信息安全应急处理服务提供方的资格状况、经济实力、技术能力和实施应急服务过程能力等方面的具体衡量和评价。该标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。该标准适用于第三方评估机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可以作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,可供认证机构认证提供网络与信息安全应急处理服务的组织时参考,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。
YD/T 1621-2007《网络与信息安全服务资质评估准则》规定为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求,适用于为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估,可以作为国家有关主管部门对网络与信息安全服务的组织进行管理、检查的技术性规范,也可为网络与信息安全服务的组织改进自身能力的指导。该标准涉及到了信息安全咨询服务、信息安全工程服务、信息安全培训服务、信息安全运行支持服务。