一、中心性質(zhì)及概況

中國信息安全認(rèn)證中心為國家質(zhì)檢總局直屬事業(yè)單位。

中心簡稱為信息認(rèn)證中心；英文全稱：China Information Security Certification Center;英文縮寫：ISCCC。

中心的質(zhì)量方針是：客觀公正，科學(xué)規(guī)范，優(yōu)質(zhì)高效。

二、中心主要業(yè)務(wù)

依據(jù)國家信息安全管理的法律法規(guī)、《認(rèn)證認(rèn)可條例》及實(shí)施規(guī)則，在指定的業(yè)務(wù)范圍內(nèi)，對信息安全產(chǎn)品實(shí)施認(rèn)證，并開展信息安全有關(guān)的管理體系認(rèn)證和人員培訓(xùn)、技術(shù)研發(fā)等工作。具體包括：

1、在信息安全領(lǐng)域開展產(chǎn)品、管理體系等認(rèn)證工作；

2、對認(rèn)證及與認(rèn)證有關(guān)的檢測、檢查、評價(jià)人員進(jìn)行認(rèn)證標(biāo)準(zhǔn)、程序及相關(guān)要求的培訓(xùn)；

3、對提供信息安全服務(wù)的機(jī)構(gòu)、人員進(jìn)行資質(zhì)培訓(xùn)、注冊；

4、開展信息安全認(rèn)證、檢測技術(shù)研究工作；

5、依據(jù)法律、法規(guī)及授權(quán)從事其他相關(guān)工作。

質(zhì)量方針

編輯

客觀公正，科學(xué)規(guī)范，優(yōu)質(zhì)高效

主要職責(zé)

編輯

1、在國家認(rèn)證認(rèn)可監(jiān)督管理委員會（以下簡稱國家認(rèn)監(jiān)委）批準(zhǔn)的業(yè)務(wù)范圍內(nèi)，開展認(rèn)證工作；

2、開展信息安全認(rèn)證相關(guān)標(biāo)準(zhǔn)和檢測技術(shù)、評價(jià)方法研發(fā)工作，為建立和完善信息安全認(rèn)證制度提供技術(shù)支持；

3、在批準(zhǔn)的業(yè)務(wù)范圍內(nèi)，開展認(rèn)證人員培訓(xùn)工作。開展信息安全技術(shù)培訓(xùn)工作；

4、依據(jù)法律、法規(guī)及授權(quán)開展涉及信息技術(shù)安全領(lǐng)域的相關(guān)工作；

5、承擔(dān)對本中心委托檢測和檢查機(jī)構(gòu)的監(jiān)督與管理工作；

6、依據(jù)國家法律、法規(guī)及授權(quán)開展信息安全相關(guān)領(lǐng)域的國際合作與交流活動(dòng)；

7、承辦總局和國家認(rèn)監(jiān)委交辦的其他事項(xiàng)。 [1]

業(yè)務(wù)

編輯

強(qiáng)制性產(chǎn)品認(rèn)證

2001年12月，國家質(zhì)檢總局發(fā)布了《強(qiáng)制性產(chǎn)品認(rèn)證管理規(guī)定》，以強(qiáng)制性產(chǎn)品認(rèn)證制度替代原來的進(jìn)口

商品安全質(zhì)量許可制度和電工產(chǎn)品安全認(rèn)證制度。中國強(qiáng)制性產(chǎn)品認(rèn)證簡稱CCC認(rèn)證或3C認(rèn)證。是一種法定的強(qiáng)制性安全認(rèn)證制度，也是國際上廣泛采用的保護(hù)消費(fèi)者權(quán)益、維護(hù)消費(fèi)者人身財(cái)產(chǎn)安全的基本做法。在實(shí)施強(qiáng)制性產(chǎn)品認(rèn)證的產(chǎn)品范圍中，無線局域網(wǎng)產(chǎn)品和信息安全產(chǎn)品的指定認(rèn)證機(jī)構(gòu)為中國信息安全認(rèn)證中心。 信息安全管理體系

病毒破壞、黑客攻擊、系統(tǒng)癱瘓、員工失誤和惡意破壞、商業(yè)間諜等，越來越多的信息安全問題成為威脅組織生存和發(fā)展的重要的安全隱患。基于最新國際標(biāo)準(zhǔn)ISO/IEC27001:2005的信息安全管理體系（Information Security Management System, ISMS）是目前國際上先進(jìn)的信息安全解決方案，正在被越來越多的組織所采用。它運(yùn)用PDCA過程方法和133項(xiàng)信息安全控制措施來幫助組織解決信息安全問題，實(shí)現(xiàn)信息安全目標(biāo)。ISMS認(rèn)證是一個(gè)組織證明其信息安全水平和能力符合國際標(biāo)準(zhǔn)要求的有效手段，它將幫助組織節(jié)約信息安全成本，增強(qiáng)客戶、合作伙伴等相關(guān)方的信心和信任，提高組織的公眾形象和競爭力。

ISO/IEC 27001標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。ISO/IEC 27001從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。

ISO/IEC 27001認(rèn)證能為組織帶來如下收益：
1.使組織獲得最佳的信息安全運(yùn)行方式；
2.保證組織業(yè)務(wù)的安全；
3.降低組織業(yè)務(wù)風(fēng)險(xiǎn)、避免組織損失；
4.保持組織核心競爭優(yōu)勢；
5.提供組織業(yè)務(wù)活動(dòng)中的信譽(yù)；
6.增強(qiáng)組織競爭力；
7.滿足客戶要求；
8.保證組織業(yè)務(wù)的可持續(xù)發(fā)展；
9.使組織更加符合法律法規(guī)的要求。

服務(wù)資質(zhì)認(rèn)證

中國信息安全認(rèn)證中心是國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)的一家可以從事信息安全服務(wù)資質(zhì)認(rèn)證的機(jī)構(gòu)

（詳見CNCA-R-2007-138《認(rèn)證機(jī)構(gòu)批準(zhǔn)書》）。在國認(rèn)可函[2007]150號《關(guān)于批準(zhǔn)中國信息安全認(rèn)證中心從事信息安全服務(wù)資質(zhì)認(rèn)證和培訓(xùn)試點(diǎn)工作的批復(fù)》中明確了中心是作為開展信息安全服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)的試點(diǎn)單位。同時(shí)，中心也獲得了中國合格評定國家認(rèn)可委員會的認(rèn)可，證書編號：No. CNAS CO66-V。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對提供信息安全服務(wù)機(jī)構(gòu)的安全服務(wù)資質(zhì)進(jìn)行評價(jià)。認(rèn)證標(biāo)準(zhǔn)：開展信息安全服務(wù)資質(zhì)認(rèn)證的依據(jù)是國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范。目前中國信息安全認(rèn)證中心開展了信息安全應(yīng)急處理資質(zhì)認(rèn)證業(yè)務(wù)，依據(jù)標(biāo)準(zhǔn)是YD/T 1799-2008《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估方法》。

YD/T 1799-2008《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估方法》是根據(jù)我國網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)管理的需求，同時(shí)考慮到國內(nèi)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)提供商的實(shí)際情況，參考YD/T 1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估準(zhǔn)則》、《計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法》等文件和相關(guān)國際國內(nèi)標(biāo)準(zhǔn)制定而成。該標(biāo)準(zhǔn)的評估對象是為信息系統(tǒng)所有者提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織。

網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一，它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵的應(yīng)用所進(jìn)行的系列活動(dòng)。網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)等級是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度。資質(zhì)等級分為三級，一級最高，三級最低。

網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估是對網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)提供方的資格狀況、經(jīng)濟(jì)實(shí)力、技術(shù)能力和實(shí)施應(yīng)急服務(wù)過程能力等方面的具體衡量和評價(jià)。該標(biāo)準(zhǔn)規(guī)定了為信息系統(tǒng)所有者提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織應(yīng)具備的服務(wù)資質(zhì)要求，以及對提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織進(jìn)行評估的方法。該標(biāo)準(zhǔn)適用于第三方評估機(jī)構(gòu)對提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織進(jìn)行網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估，可作為信息系統(tǒng)所有者選擇提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)組織的依據(jù)，可以作為有關(guān)主管部門對提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織進(jìn)行管理的技術(shù)性規(guī)范，可供認(rèn)證機(jī)構(gòu)認(rèn)證提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織時(shí)參考，也可為提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織改進(jìn)自身能力提供指導(dǎo)。

YD/T 1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估準(zhǔn)則》規(guī)定為電信運(yùn)營企業(yè)提供網(wǎng)絡(luò)與信息安全服務(wù)的組織應(yīng)具備的網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)要求，適用于為電信運(yùn)營企業(yè)提供網(wǎng)絡(luò)與信息安全服務(wù)的組織進(jìn)行網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估，可以作為國家有關(guān)主管部門對網(wǎng)絡(luò)與信息安全服務(wù)的組織進(jìn)行管理、檢查的技術(shù)性規(guī)范，也可為網(wǎng)絡(luò)與信息安全服務(wù)的組織改進(jìn)自身能力的指導(dǎo)。該標(biāo)準(zhǔn)涉及到了信息安全咨詢服務(wù)、信息安全工程服務(wù)、信息安全培訓(xùn)服務(wù)、信息安全運(yùn)行支持服務(wù)。

內(nèi)設(shè)機(jī)構(gòu)

編輯

中心內(nèi)設(shè)10個(gè)處室，分別為辦公室、綜合業(yè)務(wù)處、產(chǎn)品認(rèn)證處、體系認(rèn)證處、服務(wù)認(rèn)證處、培訓(xùn)處、質(zhì)量監(jiān)督處、科技與國際處、人事處、財(cái)務(wù)處，設(shè)立黨委辦公室，與辦公室合署辦公。

法律法規(guī)

編輯

法律和行政法規(guī)

國務(wù)院辦公廳關(guān)于加強(qiáng)認(rèn)證認(rèn)可工作的通知

中華人民共和國計(jì)量法實(shí)施細(xì)則

中華人民共和國標(biāo)準(zhǔn)化法實(shí)施條例

中華人民共和國進(jìn)出口商品檢驗(yàn)法實(shí)施條例

中華人民共和國認(rèn)證認(rèn)可條例

中華人民共和國計(jì)量法

部門規(guī)章

強(qiáng)制性產(chǎn)品認(rèn)證標(biāo)志管理辦法

認(rèn)證咨詢機(jī)構(gòu)管理辦法

認(rèn)證培訓(xùn)機(jī)構(gòu)管理辦法

強(qiáng)制性產(chǎn)品認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)和實(shí)驗(yàn)室管理辦法

認(rèn)證證書和認(rèn)證標(biāo)志管理辦法

認(rèn)證及認(rèn)證培訓(xùn)、咨詢?nèi)藛T管理辦法

行政規(guī)范文件

認(rèn)證技術(shù)規(guī)范管理辦法

強(qiáng)制性產(chǎn)品認(rèn)證檢查員管理辦法

認(rèn)證認(rèn)可申訴、投訴處理辦法

三級等保是國家對非銀行機(jī)構(gòu)的最高級認(rèn)證，屬于“監(jiān)管級別”，對于非銀行類企業(yè)最高級別的安全要求。

早在2016年8月，銀監(jiān)會發(fā)布《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》中規(guī)定網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護(hù)制度的要求，開展信息系統(tǒng)定級備案和等級測試。

網(wǎng)貸平臺只有在完成定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查等嚴(yán)格的審查工作后，才能獲得等保三級認(rèn)證。

截至2018年2月底，國內(nèi)網(wǎng)貸行業(yè)正常運(yùn)營平臺數(shù)量已降至1700余家，其中已經(jīng)通過信息系統(tǒng)安全等保三級備案認(rèn)證的平臺為164家，僅占在運(yùn)營平臺數(shù)量的9%。

由此可見，網(wǎng)貸平臺想要的三級等保認(rèn)證到底有多難拿了。

看具體的崗位要求了，基本上對于語言并沒有專門的要求，當(dāng)然會幾門網(wǎng)絡(luò)編程語言更好。

認(rèn)證的話，CISCO的CCSP就是專門的安全工程師認(rèn)證，或者CEAC網(wǎng)絡(luò)與信息安全系統(tǒng)工程師認(rèn)證，國家承認(rèn)的；

另外還有很多，如：

CIW網(wǎng)絡(luò)安全認(rèn)證

NISC國家信息化網(wǎng)絡(luò)安全工程師

NSACE網(wǎng)絡(luò)信息安全工程師認(rèn)證體系

INSPC信息網(wǎng)絡(luò)安全專業(yè)人員認(rèn)證

CISSP這個(gè)認(rèn)證比較牛，國際注冊信息系統(tǒng)安全專家，由國際信息系統(tǒng)安全認(rèn)證協(xié)會((ISC)2)組織和管理，是目前全球范圍內(nèi)最權(quán)威，最專業(yè)，最系統(tǒng)的信息安全認(rèn)證。

在這方面，拿到CISM注冊信息安全經(jīng)理認(rèn)證證書還是比較不錯(cuò)的，好像要求最少要有5年信息安全管理的經(jīng)驗(yàn)吧。

ISO27001信息安全管理體系（ISMS），是組織依據(jù)GB/T22080/ ISO/IEC27001（信息技術(shù)安全技術(shù)信息安全管理體系）的要求，是組織整體管理體系的一個(gè)部分，是基于風(fēng)險(xiǎn)評估，來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全等一系列的管理活動(dòng)，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。

ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責(zé)，以風(fēng)險(xiǎn)評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等，使組織達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。

ISMS認(rèn)證針是對組織ISMS符合GB/T 22080/ ISO/IEC27001要求的一種認(rèn)證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001標(biāo)準(zhǔn)的要求。通過認(rèn)證的組織，將會被注冊登記。

信息安全對每個(gè)企業(yè)或組織來說都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看，較多的是涉及保險(xiǎn)、證券、銀行、金融產(chǎn)業(yè)鏈所涉及的行業(yè)（票據(jù)印刷、IC卡制造）以及為金融行業(yè)提供服務(wù)的企業(yè)、電信行業(yè)、電力行業(yè)、數(shù)據(jù)處理中心和軟件外包、軟件開發(fā)等行業(yè)。規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。

ISO27001信息安全管理體系將整個(gè)信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段，并包含25項(xiàng)關(guān)鍵的活動(dòng)，如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成，最終就能建立起有效的ISMS，實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖，接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。

一：現(xiàn)狀調(diào)研階段：從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對組織信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研，通過培訓(xùn)使組織相關(guān)人員全面了解信息安全管理的基本知識。

二：風(fēng)險(xiǎn)評估階段：對組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評估組織信息安全風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

三：管理策劃階段：根據(jù)組織對信息安全風(fēng)險(xiǎn)的策略，制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。