質量方針
客觀公正,科學規範,優質高效
主要業務
依據國家信息安全管理的法律法規、《認證認可條例》及實施規則,在指定的業務範圍內,對信息安全產品實施認證,並開展信息安全有關的管理體系認證和人員培訓、技術研發等工作。具體包括:
1、在信息安全領域開展產品、管理體系等認證工作;
2、對認證及與認證有關的檢測、檢查、評價人員進行認證標準、程式及相關要求的培訓;
3、對提供信息安全服務的機構、人員進行資質培訓、註冊;
4、開展信息安全認證、檢測技術研究工作;
5、依據法律、法規及授權從事其他相關工作。
具體業務
強制性產品認證
2001年12月,國家質檢總局發布了《強制性產品認證管理規定》,以強制性產品認證制度替代原來的進口商品安全質量許可制度和電工產品安全認證制度。中國強制性產品認證簡稱CCC認證或3C認證。是一種法定的強制性安全認證制度,也是國際上廣泛採用的保護消費者權益、維護消費者人身財產安全的基本做法。在實施強制性產品認證的產品範圍中,無線區域網路產品和信息安全產品的指定認證機構為中國信息安全認證中心。
信息安全管理體系
病毒破壞、黑客攻擊、系統癱瘓、員工失誤和惡意破壞、商業間諜等,越來越多的信息安全問題成為威脅組織生存和發展的重要的安全隱患。基於最新國際標準ISO/IEC27001:2005的信息安全管理體系(Information Security Management System, ISMS)是目前國際上先進的信息安全解決方案,正在被越來越多的組織所採用。它運用PDCA過程方法和133項信息安全控制措施來幫助組織解決信息安全問題,實現信息安全目標。ISMS認證是一個組織證明其信息安全水平和能力符合國際標準要求的有效手段,它將幫助組織節約信息安全成本,增強客戶、合作夥伴等相關方的信心和信任,提高組織的公眾形象和競爭力。
ISO/IEC 27001標準適用於所有類型的組織(例如,商業企業、政府機構、非贏利組織)。ISO/IEC 27001從組織的整體業務風險的角度,為建立、實施、運行、監視、評審、保持和改進檔案化的ISMS規定了要求。它規定了為適應不同組織或其部門的需要而定製的安全控制措施的實施要求。
ISO/IEC 27001認證能為組織帶來如下收益:1.使組織獲得最佳的信息安全運行方式;2.保證組織業務的安全;3.降低組織業務風險、避免組織損失;4.保持組織核心競爭優勢;5.提供組織業務活動中的信譽;6.增強組織競爭力;7.滿足客戶要求;8.保證組織業務的可持續發展;9.使組織更加符合法律法規的要求。
服務資質認證
中國信息安全認證中心是國家認證認可監督管理委員會批准的一家可以從事信息安全服務資質認證的機構(詳見CNCA-R-2007-138《認證機構批准書》)。在國認可函[2007]150號《關於批准中國信息安全認證中心從事信息安全服務資質認證和培訓試點工作的批覆》中明確了中心是作為開展信息安全服務資質認證業務的試點單位。同時,中心也獲得了中國合格評定國家認可委員會的認可,證書編號:No. CNAS CO66-V。信息安全服務資質認證是依據國家法律法規、國家標準、行業標準和技術規範,按照認證基本規範及認證規則,對提供信息安全服務機構的安全服務資質進行評價。
認證標準:開展信息安全服務資質認證的依據是國家法律法規、國家標準、行業標準和技術規範。目前我中心開展了信息安全應急處理資質認證業務,依據標準是YD/T 1799-2008《網路與信息安全應急處理服務資質評估方法》。
YD/T 1799-2008《網路與信息安全應急處理服務資質評估方法》是根據我國網路與信息安全應急處理服務管理的需求,同時考慮到國區域網路絡與信息安全應急處理服務提供商的實際情況,參考YD/T 1621-2007《網路與信息安全服務資質評估準則》、《計算機信息系統集成資質管理辦法》等檔案和相關國際國內標準制定而成。該標準的評估對象是為信息系統所有者提供網路與信息安全應急處理服務的組織。
網路與信息安全應急處理服務是保障業務連續性的重要手段之一,它涵蓋了在安全事件發生後為了維持和恢復關鍵的套用所進行的系列活動。網路與信息安全應急處理服務資質等級是衡量服務提供方應急處理服務資格和能力的尺度。資質等級分為三級,一級最高,三級最低。
網路與信息安全應急處理服務資質評估是對網路與信息安全應急處理服務提供方的資格狀況、經濟實力、技術能力和實施應急服務過程能力等方面的具體衡量和評價。該標準規定了為信息系統所有者提供網路與信息安全應急處理服務的組織應具備的服務資質要求,以及對提供網路與信息安全應急處理服務的組織進行評估的方法。該標準適用於第三方評估機構對提供網路與信息安全應急處理服務的組織進行網路與信息安全應急處理服務資質評估,可作為信息系統所有者選擇提供網路與信息安全應急處理服務組織的依據,可以作為有關主管部門對提供網路與信息安全應急處理服務的組織進行管理的技術性規範,可供認證機構認證提供網路與信息安全應急處理服務的組織時參考,也可為提供網路與信息安全應急處理服務的組織改進自身能力提供指導。
YD/T 1621-2007《網路與信息安全服務資質評估準則》規定為電信運營企業提供網路與信息安全服務的組織應具備的網路與信息安全服務資質要求,適用於為電信運營企業提供網路與信息安全服務的組織進行網路與信息安全服務資質評估,可以作為國家有關主管部門對網路與信息安全服務的組織進行管理、檢查的技術性規範,也可為網路與信息安全服務的組織改進自身能力的指導。該標準涉及到了信息安全諮詢服務、信息安全工程服務、信息安全培訓服務、信息安全運行支持服務。
內設機構
中心內設9個處室,分別為辦公室(人事部)、財務處、黨委辦公室(工會)、綜合業務處、科技處、產品認證處、體系認證處、服務資質處、質量監督處。
法律法規
法律和行政法規
國務院辦公廳關於加強認證認可工作的通知
中華人民共和國計量法實施細則
中華人民共和國標準化法實施條例
中華人民共和國進出口商品檢驗法實施條例
中華人民共和國認證認可條例
中華人民共和國計量法
部門規章
認證諮詢機構管理辦法
認證培訓機構管理辦法
強制性產品認證機構、檢查機構和實驗室管理辦法
認證及認證培訓、諮詢人員管理辦法
行政規範檔案
認證技術規範管理辦法
強制性產品認證檢查員管理辦法
認證認可申訴、投訴處理辦法
地理位置
中國信息安全認證中心