信息安全领域检查机构认可的理解与实践.pdfVIP

●●_1I_ -_渊删 _]● 实践 斌 顾 健 信息安全检查是中国合格评定国家认可委 息安全风险评估工作 ，对网络与信息系统安全 员会 (CNAS)对检查机构的重要认可领域之 的潜在威胁、薄弱环节、防护措施等进行分析 一 。 在全球范围内，信息安全已成为国家安全 评估，综合考虑网络与信息系统的重要性、涉 的基础。因此，推动信息安全领域检查机构认 密程度和面临的风险等因素，进行相应等级的 可工作，不断提高认可有效性，对促进信息安 安全建设和管理。随后，各地、各部门信息系 全检查机构提高对信息系统及信息安全产品的 统安全保障工作得到快速发展，信息安全技术 检查水平 ，从而加强信息安全保障能力建设具 迎来了一个新的发展高潮 ，信息安全等级保护、 有积极意义。 信息安全风险评估、信息安全管理规范等政策 措施在全国逐步实施，以信息安全等级保护测 信息安全领域检查机构认可 评体系建设为代表的信息安全保障体系建设得 发展现状 到了进一步加强。 党中央、国务院高度重视信息安全工作， 与此同时，随着我国认证认可工作的持续 2003年7月 《国家信息化领导小组关于加强信 快速发展，信息安全领域的认证认可工作也得 息安全保障工作的意见》明确提出：要重视信 到迅速普及和认同。而对信息安全产品安全性 (接上页) 还有一些缺陷和不易操作的方面，认证机构能 坚持不懈地实施这项工作，并不断总结经验、 从大局出发，从保护新生事物角度出发，没有 听取各方好的意见和建议。逐步完善该项制度。 求全责备，而是给予了足够的理解和配合。第 2．进一步完善分级评价制度，包括进一步 三是得益于认证机构的关心和帮助。分级管理 完善分级管理办法、评价标准、对应的管理措 在试点完成后 ，对文件进行了第一次修改。各 施 、评价实施程序 、评价结果的应用 以及与 机构积极的进言献策，提出了许多有价值的修 CNAS其他管理制度的协调等。 改意见，使这项措施进一步得到完善。 3．加强评审员管理，包括对评审员的培训、 指导和研讨，提高评价的一致性和有效性。 四、后续工作 的设想 分级管理工作是CNAS管理工作的创新 ， 目前在国内和国际同行中尚无可借鉴的经验 ， 近期将主要考虑以下几方面的工作： 只有通过实践不断改进和完善，使其更加科学 1．分级管理制度是相关管理部门关注和支