一����、中心性質及概況
中國信息安全認證中心為國家質檢總局直屬事業單位。
中心簡稱為信息認證中心����;英文全稱:China Information Security Certification Center;英文縮寫:ISCCC。
中心的質量方針是:客觀公正�,科學規范,優質高效��。
二�、中心主要業務
依據國家信息安全管理的法律法規�����、《認證認可條例》及實施規則,在指定的業務范圍內�,對信息安全產品實施認證,并開展信息安全有關的管理體系認證和人員培訓�、技術研發等工作。具體包括:
1��、在信息安全領域開展產品��、管理體系等認證工作��;
2�����、對認證及與認證有關的檢測�、檢查、評價人員進行認證標準��、程序及相關要求的培訓���;
3����、對提供信息安全服務的機構、人員進行資質培訓���、注冊���;
4、開展信息安全認證�����、檢測技術研究工作�;
5、依據法律��、法規及授權從事其他相關工作���。
質量方針
編輯
客觀公正����,科學規范��,優質高效
主要職責
編輯
1�����、在國家認證認可監督管理委員會(以下簡稱國家認監委)批準的業務范圍內���,開展認證工作����;
2�����、開展信息安全認證相關標準和檢測技術��、評價方法研發工作���,為建立和完善信息安全認證制度提供技術支持����;
3����、在批準的業務范圍內,開展認證人員培訓工作��。開展信息安全技術培訓工作����;
4�����、依據法律�、法規及授權開展涉及信息技術安全領域的相關工作����;
5、承擔對本中心委托檢測和檢查機構的監督與管理工作��;
6�、依據國家法律、法規及授權開展信息安全相關領域的國際合作與交流活動�;
7、承辦總局和國家認監委交辦的其他事項�����。 [1]
業務
編輯
強制性產品認證
2001年12月����,國家質檢總局發布了《強制性產品認證管理規定》,以強制性產品認證制度替代原來的進口
商品安全質量許可制度和電工產品安全認證制度����。中國強制性產品認證簡稱CCC認證或3C認證�。是一種法定的強制性安全認證制度�,也是國際上廣泛采用的保護消費者權益�����、維護消費者人身財產安全的基本做法��。在實施強制性產品認證的產品范圍中����,無線局域網產品和信息安全產品的指定認證機構為中國信息安全認證中心。 信息安全管理體系
病毒破壞�����、黑客攻擊�、系統癱瘓、員工失誤和惡意破壞���、商業間諜等�����,越來越多的信息安全問題成為威脅組織生存和發展的重要的安全隱患���?;谧钚聡H標準ISO/IEC27001:2005的信息安全管理體系(Information Security Management System, ISMS)是目前國際上先進的信息安全解決方案����,正在被越來越多的組織所采用。它運用PDCA過程方法和133項信息安全控制措施來幫助組織解決信息安全問題��,實現信息安全目標�。ISMS認證是一個組織證明其信息安全水平和能力符合國際標準要求的有效手段,它將幫助組織節約信息安全成本���,增強客戶����、合作伙伴等相關方的信心和信任��,提高組織的公眾形象和競爭力����。
ISO/IEC 27001標準適用于所有類型的組織(例如,商業企業、政府機構����、非贏利組織)。ISO/IEC 27001從組織的整體業務風險的角度�,為建立、實施�、運行、監視�����、評審��、保持和改進文件化的ISMS規定了要求�����。它規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求����。
ISO/IEC 27001認證能為組織帶來如下收益:
1.使組織獲得最佳的信息安全運行方式���;
2.保證組織業務的安全�����;
3.降低組織業務風險���、避免組織損失���;
4.保持組織核心競爭優勢;
5.提供組織業務活動中的信譽���;
6.增強組織競爭力�����;
7.滿足客戶要求���;
8.保證組織業務的可持續發展;
9.使組織更加符合法律法規的要求�����。
服務資質認證
中國信息安全認證中心是國家認證認可監督管理委員會批準的一家可以從事信息安全服務資質認證的機構
(詳見CNCA-R-2007-138《認證機構批準書》)���。在國認可函[2007]150號《關于批準中國信息安全認證中心從事信息安全服務資質認證和培訓試點工作的批復》中明確了中心是作為開展信息安全服務資質認證業務的試點單位���。同時�,中心也獲得了中國合格評定國家認可委員會的認可���,證書編號:No. CNAS CO66-V�。信息安全服務資質認證是依據國家法律法規����、國家標準、行業標準和技術規范�����,按照認證基本規范及認證規則����,對提供信息安全服務機構的安全服務資質進行評價�。認證標準:開展信息安全服務資質認證的依據是國家法律法規、國家標準����、行業標準和技術規范。目前中國信息安全認證中心開展了信息安全應急處理資質認證業務�,依據標準是YD/T 1799-2008《網絡與信息安全應急處理服務資質評估方法》。
YD/T 1799-2008《網絡與信息安全應急處理服務資質評估方法》是根據我國網絡與信息安全應急處理服務管理的需求,同時考慮到國內網絡與信息安全應急處理服務提供商的實際情況����,參考YD/T 1621-2007《網絡與信息安全服務資質評估準則》、《計算機信息系統集成資質管理辦法》等文件和相關國際國內標準制定而成����。該標準的評估對象是為信息系統所有者提供網絡與信息安全應急處理服務的組織。
網絡與信息安全應急處理服務是保障業務連續性的重要手段之一����,它涵蓋了在安全事件發生后為了維持和恢復關鍵的應用所進行的系列活動。網絡與信息安全應急處理服務資質等級是衡量服務提供方應急處理服務資格和能力的尺度�。資質等級分為三級,一級最高����,三級最低。
網絡與信息安全應急處理服務資質評估是對網絡與信息安全應急處理服務提供方的資格狀況�、經濟實力、技術能力和實施應急服務過程能力等方面的具體衡量和評價�。該標準規定了為信息系統所有者提供網絡與信息安全應急處理服務的組織應具備的服務資質要求,以及對提供網絡與信息安全應急處理服務的組織進行評估的方法�。該標準適用于第三方評估機構對提供網絡與信息安全應急處理服務的組織進行網絡與信息安全應急處理服務資質評估,可作為信息系統所有者選擇提供網絡與信息安全應急處理服務組織的依據��,可以作為有關主管部門對提供網絡與信息安全應急處理服務的組織進行管理的技術性規范,可供認證機構認證提供網絡與信息安全應急處理服務的組織時參考�,也可為提供網絡與信息安全應急處理服務的組織改進自身能力提供指導。
YD/T 1621-2007《網絡與信息安全服務資質評估準則》規定為電信運營企業提供網絡與信息安全服務的組織應具備的網絡與信息安全服務資質要求��,適用于為電信運營企業提供網絡與信息安全服務的組織進行網絡與信息安全服務資質評估���,可以作為國家有關主管部門對網絡與信息安全服務的組織進行管理����、檢查的技術性規范�,也可為網絡與信息安全服務的組織改進自身能力的指導。該標準涉及到了信息安全咨詢服務����、信息安全工程服務、信息安全培訓服務��、信息安全運行支持服務�����。
內設機構
編輯
中心內設10個處室��,分別為辦公室���、綜合業務處�����、產品認證處���、體系認證處、服務認證處���、培訓處����、質量監督處�����、科技與國際處���、人事處�、財務處�����,設立黨委辦公室,與辦公室合署辦公�。
法律法規
編輯
法律和行政法規
國務院辦公廳關于加強認證認可工作的通知
中華人民共和國計量法實施細則
中華人民共和國標準化法實施條例
中華人民共和國進出口商品檢驗法實施條例
中華人民共和國認證認可條例
中華人民共和國計量法
部門規章
強制性產品認證標志管理辦法
認證咨詢機構管理辦法
認證培訓機構管理辦法
強制性產品認證機構、檢查機構和實驗室管理辦法
認證證書和認證標志管理辦法
認證及認證培訓��、咨詢人員管理辦法
行政規范文件
認證技術規范管理辦法
強制性產品認證檢查員管理辦法
認證認可申訴��、投訴處理辦法
