详细内容4月14日,中欧信息安全管理体系认证研讨会在浙江省杭州市召开。此次会议由工业和信息化部信息安全协调司与国家认监委认可监管部指导,中欧信息社会项目和中国信息安全认证中心联合主办。会议由欧盟驻华代表团一等参赞、工业和信息化部信息安全协调司欧阳武副司长、国家认监委认可监管部生飞主任以及中国信息安全认证中心陈晓桦副主任分别致辞。来自工业和信息化部、国家认监委、欧盟驻华代表团以及地方政府各相关部门、研究机构和企业界的代表共约200人参加了会议。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)将“管理与技术并重”作为加强我国信息安全保障工作的一项重要原则。为了推动各单位加强信息安全管理体系建设,原国务院信息办于2006年3月组织开展了“信息安全管理标准应用(ISMS)试点”,并于2007年1月进行了试点总结。这次研讨会是自“信息安全管理标准应用(ISMS)试点”总结会以来,又一次旨在推动信息安全管理标准应用、促进各单位提升信息安全管理水平的业内重要会议。会议围绕信息安全管理体系认证进行了研讨,包括信息安全管理体系标准动态、欧洲信息安全管理体系认证的经验与进展、国内信息安全管理体系认证发展现状、信息安全管理体系认证的国际互认等议题。会议还交流了实施信息安全管理体系以及获得信息安全管理体系认证的经验。
据与会专家介绍,我国信息安全管理体系建设工作近年来取得很大进步,一是我国完成了信息安全管理体系国际标准ISO27001:2005和ISO27002:2005的转化工作,等同采用上述国际标准的国家标准GB/T22080-2008和GB/T22081-2008已于2008年11月1日实施。二是我国在参与信息安全管理体系国际标准化活动方面取得突破,由我国提交的国际标准提案《信息安全管理体系审核指南》已经成为国际标准项目(ISO27007)。三是我国信息安全管理体系认证需求明显增长,据不完全统计,目前我国获得信息安全管理体系认证证书的机构约有200家,2008年同比增长率超过100%。
专家们也对目前我国信息安全管理体系认证行业发展中存在的一些问题进行了讨论,指出未经批准开展认证、恶意降价、卖证等现象已经在这个新兴行业中时有出现,此外还有一些机构故意混淆国际认证的概念,扰乱甚至影响到了行业的健康发展。专家们呼吁及早对这些现象予以重视。 国家认监委认可监管部生飞主任在会议上透露,认监委在2005年开展了信息安全管理体系认证工作的试点,其间共批准了六家认证机构。近期国家认监委在总结试点工作的基础上,将采取具体措施,正式全面推进信息安全管理体系认证工作。 具体措施是,一要完善信息安全管理体系认证机构的审批条件,根据信息安全管理体系的特殊情况,制定认证机构的从业条件和认证人员的能力要求,同时加强对于信息安全管理体系认证工作的监管,进一步规范认证机构的行为,提高认证机构审核的有效性、一致性,提高认证的公信力,推进认证机构的社会采信度。 第二是加快信息安全管理体系认可制度和人员注册制度的完善与实施,加强信息安全管理体系国家标准的制定工作,以解决对标准理解的差异,避免造成在认证过程中对于标准把握不一致,以提高信息安全管理体系在具体工作中的实际效果。 第三是研究制定一些相关的认证实施规则,要与有关部门协商,制定一些在特定领域开展信息安全管理体系认证的相关要求。