1.ISO27001信息安全認證的重要性。
世界各國關注的焦點是信息安全技術、信息安全產品和服務：
1)進一步增強了信息和網絡系統的基礎和整體作用。信息安全問題日益突出。
2)信息安全產品、服務和信息系統的固有敏感性和特殊性直接影響著國家的安全和經濟利益。
3)隨著信息技術的快速發展，移動互聯網、云計算、企業遷移到IPV6等新問題不斷出現，信息安全面臨著新的考驗。

措施之一：各國政府采取頒布標準，實施許可證和認證制度，嚴格控制信息安全產品和服務。
在當今經濟全球化和信息化趨勢下，成為當今經濟全球化和信息化趨勢下維護國家主權的重要手段。
信息安全認證認證體系是建設國家信息安全保障體系的重要組成部分，加快實施我國信息安全認證認證體系是當務之急。

 

2.介紹國內外信息安全服務相關工作:
(1)介紹國內信息安全服務相關工作:
國家保密局機密計算機信息系統集成資質管理：機密信息系統信息安全服務提供商資質管理。
工業和信息化部計算機信息系統管理：從事計算機信息系統集成業務的單位資質管理制度。
工業和信息化部電子認證服務管理：監督管理電子認證服務機構和電子認證服務。
公安部信息安全等級保護評價管理：管理等級評價機構、人員及其評價活動。
原國信辦對風險評估工作的管理：對我國信息安全風險評估工作提出了總體要求，包括服務機構。
中國信息安全認證中心信息安全服務資質認證。
中國信息安全評估中心信息安全服務資質評估。
網絡安全應急服務支持單位管理：通信行業和公共互聯網應急服務技術支持系統。
地方政府安全服務管理：北京市信息安全評價中心對北京市非保密系統信息安全服務提供商的信息安全服務能力進行評價；廣東省公安廳認定廣東省信息安全服務提供商的信息安全服務能力；江蘇省信息辦公室風險評估管理及服務機構備案。

 

(2)美國對信息技術服務的管理。
1)美國保護網絡空間的國家戰略。
優先事項3：國家網絡空間安全意識和培訓計劃。
優先事項4：保護政府部門的網絡空間安全。
①不斷評估聯邦網絡系統的威脅和脆弱性。
②提高政府外包和采購的安全性。
③制定獨立安全審查認證專用標準。
聯邦政府將考慮是否有必要認證聯邦政府的安全服務提供商，以檢查他們是否有最小的能力，包括他們是否有足夠的獨立性。

 

2)聯邦信息安全管理法案(FISMA)
FISMA實施計劃：
第一階段：制定標準和指南。NIST標準和指南文件幫助聯邦機構建立和完善其信息安全體系，有效管理和處置機構運營、機構資產和人員面臨的風險。
第二階段：機構認可制度。建立公共和私營機構的認可制度，包括評估產品和服務保證體系，為聯邦機構提供安全評估服務。

 

3)政府工作人員背景調查。
美國人力資源管理辦公室（OPM）發布了相關表格，政府部門可能聯系分級信息背景調查，分別為國家安全職位和非敏感職位制定調查表，要求政府部門調查相關人員的詳細信息，必要時采訪并從相關渠道收集信息，證明政府員工或按合同從事相關工作。

 

4)國家工業安全計劃(NISP)
國家工業安全計劃的目標是保護政府供應商和許可方獲得的分級信息。制定統一的安全程序，向機構和人員發放許可證，消除重復或不必要的機構檢查要求，降低安全成本。國家工業安全計劃及其操作手冊對接觸和存儲分級信息的供應商及相關人員提出了嚴格的安全審查要求和程序。

 

簡而言之，美國對信息安全和安全服務提供商的管理非常具體和嚴格，認可了機構和服務人員的服務能力，有些人也進行了嚴格的背景審查，特別是對具有外國背景的機構。

 

(3)英國信息保障管理。
基于國家信息保障戰略，為了協調應對網絡安全面臨的挑戰，重組成立了兩個新機構，并于2010年開始運：內閣辦公室網絡安全辦公室（OCS）、國家通信總局（GCHQ）網絡安全運營中心（CSOC）。整合現有功能，監控網絡空間安全，協調事件處理。

 

目前，CCTM、CHECK、CLAS、CTAS、CAPS、CC&ITSEC等國家信息保障技術管理局保障、提高保障能力的有效措施。

CESG(CESG)信息保障評價活動：
IT檢查服務評價體系(CHECK):政府和公共機構對IT系統檢查服務的需求不斷增加，因此建立了CHECK服務評價體系，確保高質量的IT服務。
CESG聲明檢測標志認證(CCTM):測試信息系統(IS)產品和服務安全功能的有效性。
CESG名稱咨詢系統(CLAS):建立了CESG認可的高質量咨詢團隊，為政府部門和其他機構提供信息保障建議。

 

3.政府的規范要求。
《中華人民共和國國民經濟社會發展第十二五年規劃綱要》明確提出完善信息安全標準體系和認證認可體系。
在國家認證認可事業發展十二五規劃中，國家認證監督管理委員會對信息安全認證認證提出了新的要求，強調完善信息安全認證認證體系，進一步完善涵蓋產品、管理體系、服務、人員和信息系統的信息安全認證體系。實現信息安全認證認證體系與國家信息安全相關管理體系的有效銜接，促進認證結果的社會信任，充分發揮認證認證在國家信息安全保障中的基本作用。

 

4.相關政策法規文件。
十二五規劃進一步明確了建立國家實施的信息安全服務資質認證制度。

 

5.政策文件和標準相繼出臺。
(1)政策文件。
①《關于加強信息安全工作的意見》
②《國務院辦公廳關于加強政府信息系統安全保密管理的通知》
③《國務院辦公廳關于印發國家網絡和信息安全事件應急預案的通知》
④《關于加強黨政機關計算機信息系統安全保密管理的若干規定》

 

(2)技術標準。
信息系統保護輪廓和信息系統安全目標指南
信息安全服務分類
《安全漏洞等級劃分指南》
《信息安全漏洞管理規范》
《信息系統安全通用評估指南》
《安全漏洞標識描述規范

 

應用軟件系統通用安全技術要求
《信息安全風險管理指南》
《信息系統安全等級保護基本要求》
《信息安全管理體系要求》
《信息安全管理實用規則》
《信息安全風險評估規范》
《信息安全事件分類分類指南》

信息系統安全管理要求
信息系統通用安全技術要求

 

6.我國信息安全認證的意義:
心中有數，控制市場準入；
促進信息安全產業的進步和成熟；
提高信息安全產品和服務的市場競爭力；
加快信息安全技術標準化進程；
政府采購等信息安全管理服務；
提高全民信息安全意識。