互联网+环境下的信息安全 风险与认证 宋 扬 2015年9月 内 容 提 纲 一、我国的认证认可体系 二、国外信息安全认证发展情况 三、我国信息安全认证认可工作进展 2 一、我国的认证认可体系 1、认证认可制度的起源和发展 20世纪初，工业化国家在大规模生产的情况下，为了提高交 易效率，建立买卖双方的互相信任，而引入公正的第三方，用科 学的方法对商品进行评价的活动，逐渐演化形成认证制度。 20世纪90年代以来，国际上陆续建立了相应的国际组织和国 际互认制度，并由此推动认证认可活动进入国际化发展阶段，成 为国际公认的质量基础设施。 一、我国的认证认可体系 1、认证认可制度的起源和发展（续） 20世纪80年代以来，我国各类产品认证、体系认证以及认可 工作随着我国经济不断融入国际经济体系之中而不断完善发展。 1981年4月，我国建立了第一个产品认证机构，中国电子元 器件认证委员会，建立了产品认证制度。 1993年，《中华人民共和国产品质量法》首次颁布，明确质 量认证制度为国家的基本质量监督制度。 2003年，《中华人民共和国认证认可条例》发布，我国建立 起统一的认证认可监督管理制度。 一、我国的认证认可体系 1、认证认可制度的起源和发展（续） 随着我国经济社会发展水平和对外开放程度的不断提升，认 证认可的地位和作用越来重要。 截至2014年底，我国已有各类认证机构195家，累计颁发各 类认证证书130余万张，获证组织达40余万家。 一、我国的认证认可体系 2、认证认可的基本概念 合格评定：证实与产品、过程、体系、人员或机构有关的规 定要求得到满足。 合格评定的专业领域包括检测、检查和认证，以及对合格评 定机构的认可活动。 合格评定对象包括接受合格评定的特定材料、产品、安装、 过程、体系、人员或机构。其中产品包括服务。 来源：国家标准GB/T 27000《合格评定 词汇和通用原则》（等同采用国际标 准ISO/IEC 17000）、GB/T 27011《合格评定 认可机构通用要求》（等同采用 国际标准ISO/IEC 17011）、国家认证认可条例。（下同） 一、我国的认证认可体系 3、我国的认证认可体系 国家相关监管部门 批准 国家认证认可协会 国家合格评定认可委员会 认可 国际认可论坛 认可 业务指导 认证从业人员注册管理 认证机构 采信 体系认证 人员认证与 培训 检测机构 用户 服务认证 产品认证 一、我国的认证认可体系 5、为什么要进行认证？  ISO9001，解决组织在达到一定规模后，制约发展的流程规 范性方面的问题;  ISO20000，解决组织在信息化建设达到一定水平，信息技术 在持续高效支撑业务发展方面的问题；  ISO27001，解决组织在信息化水平提高的过程中，所带来的 信息安全管理问题。 一、我国的认证认可体系 5、为什么要进行认证？ 信息安全风险 招投标需求 业务复杂性提高 合同要求 提高管理规范性 与高水平客户同步 提高管理水平 行业主管部门要求 获得领导认可 同行机构竞争要求 内部因素 外部因素 内 容 提 纲 一、我国的认证认可体系 二、国外信息安全认证发展情况 三、我国信息安全认证认可工作进展 10 二、国外信息安全认证发展情况 1、国外信息安全产品认证情况  美国 为落实信息安全政策、法律，美国将政策执行、监督、管理 权分批给多个部门，其中与IT产品信息安全审查、管理最为密切 的部门为国家标准技术研究院（NIST）和国家安全局（NSA）。 1997年，NIST和NSA联合建立国家信息保障联盟（NIAP），在国 家安全系统中强制使用经过NIAP评估的产品。 11 二、国外信息安全认证发展情况 1、国外信息安全产品认证情况  美国 12 二、国外信息安全认证发展情况 1、国外信息安全产品认证情况  德国 德国的信息安全评估和认证由国家信息安全局（BSI）全权 负责。与其他欧盟国家类似，德国对IT产品的信息安全管理主要 通过CC认证和TR认证实现。欧盟国家积极参与开发和维护保护轮 廓（PP）和技术指南（TR)，并依据认可制度评定检测实验室的 资格。 基于TR的认证尤其适用于应用于联邦政府部门安全敏感领域 的IT产品或系统。 13 二、国外信息安全认证发展情况 1、国外信息安全产品认证情况  CC认证实施情况（截至2014年底） 14 二、国外信息安全认证发展情况 2、国外信息安全管理体系认证情况  根据ISO Survey相关数据，截至2014年底，全球已颁发 ISO27001信息安全管理体系认证证书23972张。  自2011年开始，ISMS 颁证数量已进入平稳增长 期。2014年的增长速度降 为7%。 15 二、国外信息安全认证发展情况 2、国外信息安全管理体系认证情况  ISMS证书数量排名前十名的国家和地区（见下图）  2006年至2013年整体呈现增长趋势，其中日本在证书数量 和增长速度均表现 出绝对的领先地位， 8000 日本 7000 印度 6000 英国 中国 英国、印度和中国 处于第二阵营。 5000 意大利 中国台湾 4000 罗马尼亚 3000 西班牙 德国 2000 美国 1000 0 2006 2007 2008 2009 2010 2011 2012 2013 16 二、国外信息安全认证发展情况 3、国外信息安全服务审查认证情况 据调查，国外对服务的审查认证主要集中在云计算、身份鉴 别和通信等服务领域。特别是对为政府部门、重要基础设施服务 的提供商，有较为严格的审查认证要求。 下面以云服务为例，简要介绍美国、英国的做法。 17 二、国外信息安全认证发展情况 4、国外信息安全人员认证情况 人员认证认可作为一种国际通行的认证认可制度，得到大多 数国家的认可和采信。大量认证机构获得以ISO/IEC17024为标准 的认可，并得到国际互认。其中： 美国、英国、德国获得人员认证认可的机构分别达到49家、 23家、63家。人员认证的范围不仅涵盖了认证认可从业人员（审 核员、评审员、检查员），还涵盖了信息技术、医疗、化工、消 防等不同行业的专业人员。 18 二、国外信息安全认证发展情况 4、国外信息安全人员认证情况 美国获得认可的IT人员认证类别： Cisco和ISC2所开展的人员认证在我国有较大影响。 19 二、国外信息安全认证发展情况 4、国外信息安全人员认证情况 2011年9月，美国土安全部和人力资源办公室牵头提出《网 络安全人才队伍框架（草案）》，明确了网络安全专业领域、岗 位人员应具备的“知识、技能、能力”；2012年美国发布《网络 安全教育战略计划》（NICE），明确提出了对普通公众、在校学 生、网络安全专业人员三类群体进行教育和培训，以提高全民网 络安全的风险意识、扩充网络安全人才储备、培养具有全球竞争 力的网络安全专业队伍。 20