首批信息安全风险评估服务资质认证证书诞生

    □亓明和 曹雅斌

18家单位获取证书

    焦点话题

    6月10日，中国信息安全认证中心在京召开信息安全风险评估服务资质认证证书颁证大会，向国家信息中心等18家从事风险评估的企事业单位颁发了一、二级资质认证证书。这是我国首次在信息安全风险评估领域开展服务资质认证工作。信息安全风险评估服务资质认证证书的颁发表明我国信息安全服务资质评价制度又取得了一项重要进展，它将为我国信息安全保障体系建设发挥重要作用。

    近年来，随着我国信息化程度的不断提高，政府部门、企事业单位对信息系统的依赖程度也日益增强，信息安全风险管理受到了普遍关注。信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生所造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。其防范和化解信息安全风险的有效性得到了世界各国的高度认可。风险评估已成为目前各类信息安全服务中需求最为普遍的基础性服务之一。

    对于风险评估工作的组织管理和实施，多年来我国政府进行了周密部署，提出了若干工作要求。强调信息安全风险评估是信息安全保障工作的基础性工作和重要环节，应贯穿于网络和信息系统建设运行的全过程，在网络与信息系统的设计、验收和运行维护阶段均应当进行信息安全风险评估。

    中国信息安全认证中心作为我国设立的专业认证机构，自成立始就立足社会需求积极筹备信息安全服务资质认证。继2008年推出应急处理服务资质认证后，今年又以GB/T20984《信息安全风险评估规范》等标准为依据，完善相关技术文件，启动了信息安全风险评估服务资质认证，广大企事业单位积极申请，有力地推动了我国风险评估工作的深入实施。

    首批18家企事业单位获得信息安全风险评估服务资质认证证书，表明他们在风险评估服务综合能力方面已得到权威认定，对于规范自身管理，增强客户信心，推动事业发展将起积极作用。

引导行业健康规范发展

    中国信息安全认证中心主任 魏 昊

    随着我国信息化工作的逐步推进，信息服务业的分工越来越细化，信息安全服务也日趋专业化，目前已包括风险评估、应急处理、灾难恢复、系统测评、安全运维、安全审计、安全咨询与培训等众多种类。信息安全服务资质认证是依据国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对相关机构提供信息安全服务的资质条件进行评价的一项新的认证工作。通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力和技术能力等方面进行权威、客观、公正的评价，证明其服务资质能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

    随着政府部门、企事业单位对信息系统依赖程度的日益增强，信息安全风险管理受到普遍关注。信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生所能造成的危害，提出有针对性的抵御威胁的防护对策和整改措施。为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全，提供科学依据。风险评估是信息安全保障工作的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程，已经成为各类信息安全服务中需求最为普遍的基础性服务之一。在网络与信息系统建设和运行中，风险评估在有效识别安全风险、加强安全控制方面发挥了重要作用。2003年，国家就提出要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。2006年原国信办印发了《关于开展信息安全风险评估工作的意见》，强调信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，应贯穿于网络和信息系统建设运行的全过程，在网络与信息系统的设计、验收和运行维护阶段均应当进行信息安全风险评估。

    风险评估资质认证工作的实施，是国家加强信息安全管理的需要，是行业健康发展的需要。面对日益增长的政府和社会对信息系统安全管理的需求，中国信息安全认证中心对国内外相关风险评估政策、标准和规范进行了密切跟踪和研究，联合国内权威机构和专家制定了评估准则，推出了风险评估服务资质认证业务。

    对首批18家申请认证单位进行的文档和现场审核表明，他们都是国内技术能力强、风险评估经验丰富、管理规范的单位。首批风险评估服务资质认证证书的颁发，标志着信息安全风险评估服务资质认证工作正式开始实施。通过服务资质认证，必将进一步规范获证组织的各项管理活动，增强客户信心，引领行业健康发展，开创风险评估工作的新局面。

    中国信息安全认证中心在今后的工作中将继续积极服务于国家信息安全保障工作大局，服务于产业发展，以这次颁发首批信息安全风险评估服务资质认证证书为契机，进一步规范工作，提高服务资质认证工作的质量和服务水平，为国家信息安全把好关，为获证单位服好务，为推动我国信息安全认证认可事业的发展作出新的、更大的贡献！

    链 接>>

    首批信息安全风险评估服务资质认证获证单位名单

    国家信息中心

    中国电力科学研究院信息安全实验室

    信息产业部计算机安全技术检测中心

    北京信息安全测评中心

    上海市信息安全测评认证中心

    北京启明星辰信息安全技术有限公司

    北京天融信科技有限公司

    北京神州绿盟科技有限公司

    沈阳东软系统集成工程有限公司

    北京安氏领信科技发展有限公司

    浪潮集团有限公司

    联想网御科技（北京）有限公司

    上海三零卫士信息安全有限公司

    恒安嘉新（北京）科技有限公司

    长春吉大正元信息技术股份有限公司

    上海中科网威信息技术有限公司

    北京中科网威信息技术有限公司

    北京安码科技有限公司

    《中国国门时报》