改革開放40多年來,我國(guó)在經(jīng)濟(jì)、科技、文化、外交等方面發(fā)生了巨大變化,人民物質(zhì)文化生活水平顯著提高,上世紀(jì)改革開放成果給百姓帶來巨大紅利。小時(shí)候追求的“電燈、電話、樓上、樓下”早已實(shí)現(xiàn),電器設(shè)備一代代更新,計(jì)算機(jī)、互聯(lián)網(wǎng)、智能手機(jī)等信息化設(shè)備迅猛發(fā)展,老百姓的工作和生活越來越與信息化融為一體,日常生活充滿了各種便利和快捷。
但隨之而來的信息安全問題也日益凸顯。計(jì)算機(jī)病毒、互聯(lián)網(wǎng)詐騙、信息系統(tǒng)漏洞、網(wǎng)絡(luò)竊密、網(wǎng)絡(luò)攻擊、垃圾電子郵件、虛假有害信息內(nèi)容和網(wǎng)絡(luò)違法犯罪等問題日趨突出。信息安全已經(jīng)成為國(guó)家安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的重要組成部分。
借鑒國(guó)際專業(yè)標(biāo)準(zhǔn),建立信息安全管理體系和信息技術(shù)服務(wù)管理體系,對(duì)于保障信息系統(tǒng)與業(yè)務(wù)安全和企業(yè)健康發(fā)展成為必要。為此,各國(guó)普遍采用認(rèn)證機(jī)制作為保障信息系統(tǒng)安全的重要手段之一。
在黨中央、國(guó)務(wù)院對(duì)信息安全工作的高度重視下,2006年11月17日,中國(guó)信息安全認(rèn)證中心(現(xiàn)名為中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,簡(jiǎn)稱網(wǎng)安中心)在京成立。
2000年,國(guó)際標(biāo)準(zhǔn)化組織(ISO)正式發(fā)布了有關(guān)信息安全的標(biāo)準(zhǔn)。2005年,國(guó)際組織推出了ISO/ IEC 27001:2005《信息安全管理體系要求》標(biāo)準(zhǔn)。此標(biāo)準(zhǔn)一經(jīng)推出,國(guó)外相關(guān)認(rèn)證機(jī)構(gòu)就開始著手建立和實(shí)施信息安全管理體系的相關(guān)認(rèn)證規(guī)則,并在全球開展信息安全管理體系認(rèn)證。國(guó)內(nèi)企業(yè)為了增強(qiáng)全球市場(chǎng)競(jìng)爭(zhēng)力,順利走出國(guó)門,只好向國(guó)外認(rèn)證機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證并提供認(rèn)證相關(guān)資料等信息,這就可能涉及到敏感信息。
那時(shí),網(wǎng)安中心剛成立不久,對(duì)國(guó)內(nèi)信息安全管理體系認(rèn)證的現(xiàn)狀看在眼里,急在心頭。網(wǎng)安中心全體干部職工暗下決心,立志早日開展國(guó)內(nèi)信息安全認(rèn)證工作。為搭建認(rèn)證證書與國(guó)際接軌的質(zhì)量基礎(chǔ)設(shè)施平臺(tái),更好地助力我國(guó)企業(yè)走進(jìn)國(guó)際市場(chǎng),同一時(shí)間,中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)開始著手建立信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可制度。
CNAS從標(biāo)準(zhǔn)入手,查原文、讀原著,理解標(biāo)準(zhǔn)要求,依據(jù)標(biāo)準(zhǔn)制定包括認(rèn)可規(guī)則、認(rèn)可準(zhǔn)則、認(rèn)可指南和認(rèn)可方案等在內(nèi)的系列認(rèn)可規(guī)范文件。同時(shí),著手建立完善信息安全認(rèn)證機(jī)構(gòu)認(rèn)可內(nèi)部程序,備齊各類指導(dǎo)文件。
信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可屬國(guó)內(nèi)首創(chuàng),世界范圍內(nèi)也缺乏一套完善的認(rèn)可制度供借鑒。CNAS在時(shí)間緊、任務(wù)重的情況下,沒有放松、沒有畏懼,攻關(guān)克難,在對(duì)企業(yè)大量調(diào)研的基礎(chǔ)上,開設(shè)了信息安全認(rèn)證機(jī)構(gòu)認(rèn)可試點(diǎn);聘請(qǐng)國(guó)內(nèi)信息安全權(quán)威專家對(duì)信息安全認(rèn)證機(jī)構(gòu)認(rèn)可體系進(jìn)行評(píng)議,進(jìn)一步保證信息安全認(rèn)證機(jī)構(gòu)認(rèn)可體系的科學(xué)性和公正性。想認(rèn)證機(jī)構(gòu)和企業(yè)之所想、急認(rèn)證機(jī)構(gòu)和企業(yè)之所急,經(jīng)過無數(shù)次加班加點(diǎn),2009年初,CNAS正式建立起信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可制度,并開始受理認(rèn)可申請(qǐng)。
網(wǎng)安中心第一時(shí)間向CNAS申請(qǐng)認(rèn)可業(yè)務(wù),并廣泛告知企業(yè)。企業(yè)普遍表示,通過認(rèn)可后可以解決企業(yè)認(rèn)證在國(guó)際通行的大問題,可以快速提升企業(yè)的國(guó)際地位。CNAS很快受理了網(wǎng)安中心的申請(qǐng),并派出經(jīng)驗(yàn)豐富、技術(shù)精湛的評(píng)審員對(duì)網(wǎng)安中心的公正性、能力、責(zé)任、公開性、保密性等系列文件進(jìn)行認(rèn)真細(xì)致的評(píng)審,還調(diào)閱了多家企業(yè)的信息安全管理體系認(rèn)證資料進(jìn)行核查評(píng)審,并派評(píng)審員到企業(yè)現(xiàn)場(chǎng)考評(píng)網(wǎng)安中心審核員的能力。功夫不負(fù)有心人,經(jīng)過一個(gè)星期認(rèn)真負(fù)責(zé)、耐心細(xì)致的評(píng)審,2009年5月22日,網(wǎng)安中心終于獲得了首張信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可證書。
首張信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可證書,不僅是值得網(wǎng)安中心自豪的證書,還是認(rèn)可中心走入世界同行的證書,更重要的是填補(bǔ)了我國(guó)信息安全管理體系認(rèn)可的空白,解決了企業(yè)信息安全管理體系國(guó)際通行的問題,使獲證組織的顧客、社會(huì)、市場(chǎng)對(duì)認(rèn)證所涉及的信息安全管理行為充滿信心。信達(dá)、東方、華融、長(zhǎng)城等四大國(guó)有資產(chǎn)管理公司,中國(guó)農(nóng)業(yè)銀行數(shù)據(jù)中心,中信銀行信用卡中心,遼寧電力紛紛選擇了網(wǎng)安中心提供的信息安全管理體系認(rèn)證服務(wù)。
獲得信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可證書后,網(wǎng)安中心并沒有停下申請(qǐng)認(rèn)可的腳步,不僅接連在金融、電子商務(wù)、通信領(lǐng)域、電力行業(yè)實(shí)現(xiàn)信息安全管理體系認(rèn)可擴(kuò)項(xiàng),還獲得了CNAS頒發(fā)的信息技術(shù)服務(wù)管理體系、信息安全服務(wù)資質(zhì)、信息安全產(chǎn)品等認(rèn)可證書,連續(xù)十多年通過CNAS復(fù)評(píng)。
如今,越來越多的行業(yè)、部門對(duì)認(rèn)證認(rèn)可在推動(dòng)信息安全管理體系建設(shè),提高保障能力,增強(qiáng)客戶信心等方面的作用予以廣泛認(rèn)同,信息安全管理體系認(rèn)證認(rèn)可越來越成為企業(yè)信息安全水平、IT服務(wù)質(zhì)量和管理效率的重要標(biāo)志。截至2018年年底,全球已頒發(fā)ISO27001認(rèn)證證書3萬多張。在信息安全領(lǐng)域,CNAS已經(jīng)認(rèn)可了25家認(rèn)證機(jī)構(gòu),這些機(jī)構(gòu)累計(jì)頒發(fā)了8000余張獲認(rèn)可的信息安全管理認(rèn)證證書。