,,

□亓明和曹雅斌

18家單位獲取證書

焦點話題

6月10日，中國信息安全認證中心在京召開信息安全風險評估服務資質認證證書頒證大會，向國家信息中心等18家從事風險評估的企事業單位頒發了一、二級資質認證證書。這是我國首次在信息安全風險評估領域開展服務資質認證工作。信息安全風險評估服務資質認證證書的頒發表明我國信息安全服務資質評價制度又取得了一項重要進展，它將為我國信息安全保障體系建設發揮重要作用。

近年來，隨著我國信息化程度的不斷提高，政府部門、企事業單位對信息系統的依賴程度也日益增強，信息安全風險管理受到了普遍關注。信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生所造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。其防范和化解信息安全風險的有效性得到了世界各國的高度認可。風險評估已成為目前各類信息安全服務中需求最為普遍的基礎性服務之一。

對于風險評估工作的組織管理和實施，多年來我國政府進行了周密部署，提出了若干工作要求。強調信息安全風險評估是信息安全保障工作的基礎性工作和重要環節，應貫穿于網絡和信息系統建設運行的全過程，在網絡與信息系統的設計、驗收和運行維護階段均應當進行信息安全風險評估。

中國信息安全認證中心作為我國設立的專業認證機構，自成立始就立足社會需求積極籌備信息安全服務資質認證。繼2008年推出應急處理服務資質認證后，今年又以GB/T20984《信息安全風險評估規范》等標準為依據，完善相關技術文件，啟動了信息安全風險評估服務資質認證，廣大企事業單位積極申請，有力地推動了我國風險評估工作的深入實施。

首批18家企事業單位獲得信息安全風險評估服務資質認證證書，表明他們在風險評估服務綜合能力方面已得到權威認定，對于規范自身管理，增強客戶信心，推動事業發展將起積極作用。

引導行業健康規范發展

中國信息安全認證中心主任魏昊

隨著我國信息化工作的逐步推進，信息服務業的分工越來越細化，信息安全服務也日趨專業化，目前已包括風險評估、應急處理、災難恢復、系統測評、安全運維、安全審計、安全咨詢與培訓等眾多種類。信息安全服務資質認證是依據國家標準、行業標準和技術規范，按照認證基本規范及認證規則，對相關機構提供信息安全服務的資質條件進行評價的一項新的認證工作。通過對信息安全服務分類分級的資質認證，可以對信息安全服務提供商的基本資格、管理能力和技術能力等方面進行權威、客觀、公正的評價，證明其服務資質能力，滿足社會對服務的選擇需求。同時，認證過程也將有效促進服務提供方完善自身管理體系，提高服務質量和水平，引導行業健康規范發展。

隨著政府部門、企事業單位對信息系統依賴程度的日益增強，信息安全風險管理受到普遍關注。信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生所能造成的危害，提出有針對性的抵御威脅的防護對策和整改措施。為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網絡和信息安全，提供科學依據。風險評估是信息安全保障工作的基礎性工作和重要環節，貫穿于網絡和信息系統建設運行的全過程，已經成為各類信息安全服務中需求最為普遍的基礎性服務之一。在網絡與信息系統建設和運行中，風險評估在有效識別安全風險、加強安全控制方面發揮了重要作用。2003年，國家就提出要重視信息安全風險評估工作，對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估。2006年原國信辦印發了《關于開展信息安全風險評估工作的意見》，強調信息安全風險評估作為信息安全保障工作的基礎性工作和重要環節，應貫穿于網絡和信息系統建設運行的全過程，在網絡與信息系統的設計、驗收和運行維護階段均應當進行信息安全風險評估。

風險評估資質認證工作的實施，是國家加強信息安全管理的需要，是行業健康發展的需要。面對日益增長的政府和社會對信息系統安全管理的需求，中國信息安全認證中心對國內外相關風險評估政策、標準和規范進行了密切跟蹤和研究，聯合國內權威機構和專家制定了評估準則，推出了風險評估服務資質認證業務。

對首批18家申請認證單位進行的文檔和現場審核表明，他們都是國內技術能力強、風險評估經驗豐富、管理規范的單位。首批風險評估服務資質認證證書的頒發，標志著信息安全風險評估服務資質認證工作正式開始實施。通過服務資質認證，必將進一步規范獲證組織的各項管理活動，增強客戶信心，引領行業健康發展，開創風險評估工作的新局面。

中國信息安全認證中心在今后的工作中將繼續積極服務于國家信息安全保障工作大局，服務于產業發展，以這次頒發首批信息安全風險評估服務資質認證證書為契機，進一步規范工作，提高服務資質認證工作的質量和服務水平，為國家信息安全把好關，為獲證單位服好務，為推動我國信息安全認證認可事業的發展作出新的、更大的貢獻！

鏈接>>

首批信息安全風險評估服務資質認證獲證單位名單

國家信息中心

中國電力科學研究院信息安全實驗室

信息產業部計算機安全技術檢測中心

北京信息安全測評中心

上海市信息安全測評認證中心

北京啟明星辰信息安全技術有限公司

北京天融信科技有限公司

北京神州綠盟科技有限公司

沈陽東軟系統集成工程有限公司