1.ISO27001信息安全認證的重要性。
世界各國關(guān)注的焦點(diǎn)是信息安全技術(shù)、信息安全產(chǎn)品和服務(wù)：
1)進(jìn)一步增強了信息和網(wǎng)絡(luò )系統的基礎和整體作用。信息安全問(wèn)題日益突出。
2)信息安全產(chǎn)品、服務(wù)和信息系統的固有敏感性和特殊性直接影響著(zhù)國家的安全和經(jīng)濟利益。
3)隨著(zhù)信息技術(shù)的快速發(fā)展，移動(dòng)互聯(lián)網(wǎng)、云計算、企業(yè)遷移到IPV6等新問(wèn)題不斷出現，信息安全面臨著(zhù)新的考驗。

措施之一：各國政府采取頒布標準，實(shí)施許可證和認證制度，嚴格控制信息安全產(chǎn)品和服務(wù)。
在當今經(jīng)濟全球化和信息化趨勢下，成為當今經(jīng)濟全球化和信息化趨勢下維護國家主權的重要手段。
信息安全認證認證體系是建設國家信息安全保障體系的重要組成部分，加快實(shí)施我國信息安全認證認證體系是當務(wù)之急。

 

2.介紹國內外信息安全服務(wù)相關(guān)工作:
(1)介紹國內信息安全服務(wù)相關(guān)工作:
國家保密局機密計算機信息系統集成資質(zhì)管理：機密信息系統信息安全服務(wù)提供商資質(zhì)管理。
工業(yè)和信息化部計算機信息系統管理：從事計算機信息系統集成業(yè)務(wù)的單位資質(zhì)管理制度。
工業(yè)和信息化部電子認證服務(wù)管理：監督管理電子認證服務(wù)機構和電子認證服務(wù)。
公安部信息安全等級保護評價(jià)管理：管理等級評價(jià)機構、人員及其評價(jià)活動(dòng)。
原國信辦對風(fēng)險評估工作的管理：對我國信息安全風(fēng)險評估工作提出了總體要求，包括服務(wù)機構。
中國信息安全認證中心信息安全服務(wù)資質(zhì)認證。
中國信息安全評估中心信息安全服務(wù)資質(zhì)評估。
網(wǎng)絡(luò )安全應急服務(wù)支持單位管理：通信行業(yè)和公共互聯(lián)網(wǎng)應急服務(wù)技術(shù)支持系統。
地方政府安全服務(wù)管理：北京市信息安全評價(jià)中心對北京市非保密系統信息安全服務(wù)提供商的信息安全服務(wù)能力進(jìn)行評價(jià)；廣東省公安廳認定廣東省信息安全服務(wù)提供商的信息安全服務(wù)能力；江蘇省信息辦公室風(fēng)險評估管理及服務(wù)機構備案。

 

(2)美國對信息技術(shù)服務(wù)的管理。
1)美國保護網(wǎng)絡(luò )空間的國家戰略。
優(yōu)先事項3：國家網(wǎng)絡(luò )空間安全意識和培訓計劃。
優(yōu)先事項4：保護政府部門(mén)的網(wǎng)絡(luò )空間安全。
①不斷評估聯(lián)邦網(wǎng)絡(luò )系統的威脅和脆弱性。
②提高政府外包和采購的安全性。
③制定獨立安全審查認證專(zhuān)用標準。
聯(lián)邦政府將考慮是否有必要認證聯(lián)邦政府的安全服務(wù)提供商，以檢查他們是否有最小的能力，包括他們是否有足夠的獨立性。

 

2)聯(lián)邦信息安全管理法案(FISMA)
FISMA實(shí)施計劃：
第一階段：制定標準和指南。NIST標準和指南文件幫助聯(lián)邦機構建立和完善其信息安全體系，有效管理和處置機構運營(yíng)、機構資產(chǎn)和人員面臨的風(fēng)險。
第二階段：機構認可制度。建立公共和私營(yíng)機構的認可制度，包括評估產(chǎn)品和服務(wù)保證體系，為聯(lián)邦機構提供安全評估服務(wù)。

 

3)政府工作人員背景調查。
美國人力資源管理辦公室（OPM）發(fā)布了相關(guān)表格，政府部門(mén)可能聯(lián)系分級信息背景調查，分別為國家安全職位和非敏感職位制定調查表，要求政府部門(mén)調查相關(guān)人員的詳細信息，必要時(shí)采訪(fǎng)并從相關(guān)渠道收集信息，證明政府員工或按合同從事相關(guān)工作。

 

4)國家工業(yè)安全計劃(NISP)
國家工業(yè)安全計劃的目標是保護政府供應商和許可方獲得的分級信息。制定統一的安全程序，向機構和人員發(fā)放許可證，消除重復或不必要的機構檢查要求，降低安全成本。國家工業(yè)安全計劃及其操作手冊對接觸和存儲分級信息的供應商及相關(guān)人員提出了嚴格的安全審查要求和程序。

 

簡(jiǎn)而言之，美國對信息安全和安全服務(wù)提供商的管理非常具體和嚴格，認可了機構和服務(wù)人員的服務(wù)能力，有些人也進(jìn)行了嚴格的背景審查，特別是對具有外國背景的機構。

 

(3)英國信息保障管理。
基于國家信息保障戰略，為了協(xié)調應對網(wǎng)絡(luò )安全面臨的挑戰，重組成立了兩個(gè)新機構，并于2010年開(kāi)始運：內閣辦公室網(wǎng)絡(luò )安全辦公室（OCS）、國家通信總局（GCHQ）網(wǎng)絡(luò )安全運營(yíng)中心（CSOC）。整合現有功能，監控網(wǎng)絡(luò )空間安全，協(xié)調事件處理。

 

目前，CCTM、CHECK、CLAS、CTAS、CAPS、CC&ITSEC等國家信息保障技術(shù)管理局保障、提高保障能力的有效措施。

CESG(CESG)信息保障評價(jià)活動(dòng)：
IT檢查服務(wù)評價(jià)體系(CHECK):政府和公共機構對IT系統檢查服務(wù)的需求不斷增加，因此建立了CHECK服務(wù)評價(jià)體系，確保高質(zhì)量的IT服務(wù)。
CESG聲明檢測標志認證(CCTM):測試信息系統(IS)產(chǎn)品和服務(wù)安全功能的有效性。
CESG名稱(chēng)咨詢(xún)系統(CLAS):建立了CESG認可的高質(zhì)量咨詢(xún)團隊，為政府部門(mén)和其他機構提供信息保障建議。

 

3.政府的規范要求。
《中華人民共和國國民經(jīng)濟社會(huì )發(fā)展第十二五年規劃綱要》明確提出完善信息安全標準體系和認證認可體系。
在國家認證認可事業(yè)發(fā)展十二五規劃中，國家認證監督管理委員會(huì )對信息安全認證認證提出了新的要求，強調完善信息安全認證認證體系，進(jìn)一步完善涵蓋產(chǎn)品、管理體系、服務(wù)、人員和信息系統的信息安全認證體系。實(shí)現信息安全認證認證體系與國家信息安全相關(guān)管理體系的有效銜接，促進(jìn)認證結果的社會(huì )信任，充分發(fā)揮認證認證在國家信息安全保障中的基本作用。

 

4.相關(guān)政策法規文件。
十二五規劃進(jìn)一步明確了建立國家實(shí)施的信息安全服務(wù)資質(zhì)認證制度。

 

5.政策文件和標準相繼出臺。
(1)政策文件。
①《關(guān)于加強信息安全工作的意見(jiàn)》
②《國務(wù)院辦公廳關(guān)于加強政府信息系統安全保密管理的通知》
③《國務(wù)院辦公廳關(guān)于印發(fā)國家網(wǎng)絡(luò )和信息安全事件應急預案的通知》
④《關(guān)于加強黨政機關(guān)計算機信息系統安全保密管理的若干規定》

 

(2)技術(shù)標準。
信息系統保護輪廓和信息系統安全目標指南
信息安全服務(wù)分類(lèi)
《安全漏洞等級劃分指南》
《信息安全漏洞管理規范》
《信息系統安全通用評估指南》
《安全漏洞標識描述規范

 

應用軟件系統通用安全技術(shù)要求
《信息安全風(fēng)險管理指南》
《信息系統安全等級保護基本要求》
《信息安全管理體系要求》
《信息安全管理實(shí)用規則》
《信息安全風(fēng)險評估規范》
《信息安全事件分類(lèi)分類(lèi)指南》

信息系統安全管理要求
信息系統通用安全技術(shù)要求

 

6.我國信息安全認證的意義:
心中有數，控制市場(chǎng)準入；
促進(jìn)信息安全產(chǎn)業(yè)的進(jìn)步和成熟；
提高信息安全產(chǎn)品和服務(wù)的市場(chǎng)競爭力；
加快信息安全技術(shù)標準化進(jìn)程；
政府采購等信息安全管理服務(wù)；
提高全民信息安全意識。