ISO27001认证信息安全认证的重要性

1.ISO27001信息安全认证的重要性。
世界各国关注的焦点是信息安全技术、信息安全产品和服务：
1)进一步增强了信息和网络系统的基础和整体作用。信息安全问题日益突出。
2)信息安全产品、服务和信息系统的固有敏感性和特殊性直接影响着国家的安全和经济利益。
3)随着信息技术的快速发展，移动互联网、云计算、企业迁移到IPV6等新问题不断出现，信息安全面临着新的考验。

措施之一：各国政府采取颁布标准，实施许可证和认证制度，严格控制信息安全产品和服务。
在当今经济全球化和信息化趋势下，成为当今经济全球化和信息化趋势下维护国家主权的重要手段。
信息安全认证认证体系是建设国家信息安全保障体系的重要组成部分，加快实施我国信息安全认证认证体系是当务之急。

 

2.介绍国内外信息安全服务相关工作:
(1)介绍国内信息安全服务相关工作:
国家保密局机密计算机信息系统集成资质管理：机密信息系统信息安全服务提供商资质管理。
工业和信息化部计算机信息系统管理：从事计算机信息系统集成业务的单位资质管理制度。
工业和信息化部电子认证服务管理：监督管理电子认证服务机构和电子认证服务。
公安部信息安全等级保护评价管理：管理等级评价机构、人员及其评价活动。
原国信办对风险评估工作的管理：对我国信息安全风险评估工作提出了总体要求，包括服务机构。
中国信息安全认证中心信息安全服务资质认证。
中国信息安全评估中心信息安全服务资质评估。
网络安全应急服务支持单位管理：通信行业和公共互联网应急服务技术支持系统。
地方政府安全服务管理：北京市信息安全评价中心对北京市非保密系统信息安全服务提供商的信息安全服务能力进行评价；广东省公安厅认定广东省信息安全服务提供商的信息安全服务能力；江苏省信息办公室风险评估管理及服务机构备案。

 

(2)美国对信息技术服务的管理。
1)美国保护网络空间的国家战略。
优先事项3：国家网络空间安全意识和培训计划。
优先事项4：保护政府部门的网络空间安全。
①不断评估联邦网络系统的威胁和脆弱性。
②提高政府外包和采购的安全性。
③制定独立安全审查认证专用标准。
联邦政府将考虑是否有必要认证联邦政府的安全服务提供商，以检查他们是否有最小的能力，包括他们是否有足够的独立性。

 

2)联邦信息安全管理法案(FISMA)
FISMA实施计划：
第一阶段：制定标准和指南。NIST标准和指南文件帮助联邦机构建立和完善其信息安全体系，有效管理和处置机构运营、机构资产和人员面临的风险。
第二阶段：机构认可制度。建立公共和私营机构的认可制度，包括评估产品和服务保证体系，为联邦机构提供安全评估服务。

 

3)政府工作人员背景调查。
美国人力资源管理办公室（OPM）发布了相关表格，政府部门可能联系分级信息背景调查，分别为国家安全职位和非敏感职位制定调查表，要求政府部门调查相关人员的详细信息，必要时采访并从相关渠道收集信息，证明政府员工或按合同从事相关工作。

 

4)国家工业安全计划(NISP)
国家工业安全计划的目标是保护政府供应商和许可方获得的分级信息。制定统一的安全程序，向机构和人员发放许可证，消除重复或不必要的机构检查要求，降低安全成本。国家工业安全计划及其操作手册对接触和存储分级信息的供应商及相关人员提出了严格的安全审查要求和程序。

 

简而言之，美国对信息安全和安全服务提供商的管理非常具体和严格，认可了机构和服务人员的服务能力，有些人也进行了严格的背景审查，特别是对具有外国背景的机构。

 

(3)英国信息保障管理。
基于国家信息保障战略，为了协调应对网络安全面临的挑战，重组成立了两个新机构，并于2010年开始运：内阁办公室网络安全办公室（OCS）、国家通信总局（GCHQ）网络安全运营中心（CSOC）。整合现有功能，监控网络空间安全，协调事件处理。

 

目前，CCTM、CHECK、CLAS、CTAS、CAPS、CC&ITSEC等国家信息保障技术管理局保障、提高保障能力的有效措施。

CESG(CESG)信息保障评价活动：
IT检查服务评价体系(CHECK):政府和公共机构对IT系统检查服务的需求不断增加，因此建立了CHECK服务评价体系，确保高质量的IT服务。
CESG声明检测标志认证(CCTM):测试信息系统(IS)产品和服务安全功能的有效性。
CESG名称咨询系统(CLAS):建立了CESG认可的高质量咨询团队，为政府部门和其他机构提供信息保障建议。

 

3.政府的规范要求。
《中华人民共和国国民经济社会发展第十二五年规划纲要》明确提出完善信息安全标准体系和认证认可体系。
在国家认证认可事业发展十二五规划中，国家认证监督管理委员会对信息安全认证认证提出了新的要求，强调完善信息安全认证认证体系，进一步完善涵盖产品、管理体系、服务、人员和信息系统的信息安全认证体系。实现信息安全认证认证体系与国家信息安全相关管理体系的有效衔接，促进认证结果的社会信任，充分发挥认证认证在国家信息安全保障中的基本作用。

 

4.相关政策法规文件。
十二五规划进一步明确了建立国家实施的信息安全服务资质认证制度。

 

5.政策文件和标准相继出台。
(1)政策文件。
①《关于加强信息安全工作的意见》
②《国务院办公厅关于加强政府信息系统安全保密管理的通知》
③《国务院办公厅关于印发国家网络和信息安全事件应急预案的通知》
④《关于加强党政机关计算机信息系统安全保密管理的若干规定》

 

(2)技术标准。
信息系统保护轮廓和信息系统安全目标指南
信息安全服务分类
《安全漏洞等级划分指南》
《信息安全漏洞管理规范》
《信息系统安全通用评估指南》
《安全漏洞标识描述规范

 

应用软件系统通用安全技术要求
《信息安全风险管理指南》
《信息系统安全等级保护基本要求》
《信息安全管理体系要求》
《信息安全管理实用规则》
《信息安全风险评估规范》
《信息安全事件分类分类指南》

信息系统安全管理要求
信息系统通用安全技术要求

 

6.我国信息安全认证的意义:
心中有数，控制市场准入；
促进信息安全产业的进步和成熟；
提高信息安全产品和服务的市场竞争力；
加快信息安全技术标准化进程；
政府采购等信息安全管理服务；
提高全民信息安全意识。