统一认证认可工作重要推进 ——中国信息安全认证中心在京揭牌

人们期盼已久的国家信息安全统一认证认可工作经过一年半左右的前期准备，终于进入到实质性阶段。
　　11月17日，中国信息安全认证中心成立大会在京隆重召开。全国政协副主席李兆焯到会祝贺并为中心成立揭牌，国务院信息化工作办公室常务副主任曲维枝、国家质检总局党组书记李传卿、公安部副部长张新枫、信息产业部副部长娄勤俭、中国认证认可协会会长王凤清、国家保密局局长助理李历、国家密码管理委员会办公室总工程师王长喜等出席会议并讲话。国家信息安全各主管部门及相关单位领导和有关方面的代表100余人在国家质检总局出席了这一高规格的成立大会。
　　信息安全认证中心的成立，是我国信息安全认证认可体系建设的重大推进，它对于规范国内信息安全认证检测市场，推进信息安全产品的产业发展，维护国家安全和经济利益具有重要意义。
 

　　成立大会上，国家认监委副主任兼中国信息安全认证中心主任刘卓慧作中心筹建工作汇报。
　　刘卓慧主任介绍说，近几年，我国有关部门对全球信息安全管理的发展进行了积极的跟踪和研究，并分别实施了一些信息安全产品的评价、许可或采购管理制度,为信息安全的保障工作起到了一定的积极作用。但由于多部门管理和重复检测与评估,迫切需要建立国家统一的信息安全认证认可体系。按照2004年10月18日国家认监委、公安部、国家安全部、信息产业部、国家保密局、国家密码管理委员会办公室、国家质检总局、国务院信息化工作办公室联合通知要求建立国家信息安全产品认证认可体系的精神，2005年4月认监委筹备并组建了由国务院有关部门、生产方、用户方、研究开发以及标准等方面的代表组成的国家信息安全产品认证委员会，委员们一致通过了管委会章程；随后信息安全认可分技术委员会也正式成立；组建了“目录、标准、规则专项工作组”，提出了我国信息安全产品认证目录并成立了规则编制项目组。中国信息安全认证中心于今年6月获中编办正式批准，国家质监总局和认监委受国信办和相关部委之托，担负起筹建中心的工作，国家质检总局随即成立了由认监委孙大伟主任牵头，总局人事司、财务司和认监委有关部门组成的中心筹备组，抽调有关人员积极开始了中心的各项筹备工作，经过四个多月的努力，这项工作已经取得了阶段性的成果，中心成立的条件已经具备，并围绕业务开展等有关工作，正在积极推进制度建设和队伍建设工作。今天信息安全认证中心的成立，完成了体系建设中的重要一环，至此，国家信息安全产品认证、认可体系的基本框架已基本形成。因此可以说中国信息安全认证中心的成立是时代发展的产物，不仅是国家认证认可的需要，也是国家信息化发展的需要，更是建立和完善国家信息安全和保障体系的需要，它标志着我国信息安全认证认可工作已进入实际运作阶段。
　　刘卓慧主任指出，中国信息安全认证中心（英文缩写ISCCC）受国务院信息化办公室和有关部委委托，隶属国家质检总局，由国家认证认可监督委员会管理，作为第三方公证机构和法人实体，中心的主要职能是：依据国家信息安全管理的法律法规，中华人民共和国认证认可条例，信息安全标准及认证实施规则，在指定的业务范围内，对信息安全产品实施认证，并开展信息安全有关的管理体系认证和人员培训、技术研发等工作，具体包括：在信息安全领域开展产品、管理体系的认证工作；对认证及与认证有关的检测、检察、评价人员进行认证标准、程序及相关要求的培训；开展信息安全认证，检测技术研究开发工作；提供信息安全产品测评基准服务；依据法律、法规及授权从事其它相关工作。中心将本着为保障国家信息安全提供评价与认证服务的宗旨，贯彻客观、公正、科学规范、优质高效的质量方针，履行其应有的职责，为建立国家统一的信息安全认证认可体系作好基础性工作。
　　刘卓慧表示，当前中心要着重做好以下五方面的工作：
　　第一，进一步做好组建工作，要按照立足高起点，坚持高标准，确保高质量，力争高水平的要求，尽快做到三个到位：一是要科学设置组织机构，广泛吸纳和选调政治素质好业务能力强的骨干人员，做到人员到位；二是要根据国家对认证机构的有关规定，结合中心实际，尽快建立健全各项规章制度，做到制度到位；三是依据授权和有关规定，积极协调有关部委和机构，明确业务范围，理顺业务关系，做到职能到位，努力用最短的时间使中心的工作步入正轨。
　　第二，加强协调与沟通，营造良好的外部工作环境。在我国现行的信息安全管理体系中，认证认可推行的评价制度，在一定程度还是新事务，相互之间还需要一个磨合的过程，中心将按照多方参与，共同实施的原则，积极走访有关部委和有关单位，广泛征求和听取意见和建议，充分借鉴原有工作中好的做法和经验，积极稳妥地做好业务延续、转化和衔接的工作。调动一切积极因素，形成合力共同做好信息安全认证工作，做好相关的宣传工作。
　　第三，认真覆行职责，确保认证质量，要按照认证认可条例和国家有关规定，根据有关部委授权和中心的职能地位，严格程序，规范管理，加强自律，确保认证质量和服务质量，确保认证结果的公正公信，要确实做到坚持原则不动摇，执行标准不走样，履行手续不变通，遵守纪律不放松。
　　第四，加强认证技术的研发，提高认证检测水平。
　　第五，积极推进国际合作与交流，研究和跟踪国际信息安全标准，规范的变化和发展趋势，广泛开展与国际信息安全机构的交流与合作，努力提升我国信息安全认证能力，使我们的工作尽快与发达国家同步，与世界先进水平接连轨。
 

　　国信办常务副主任曲维枝在讲话中指出，我国信息安全认证认可工作取得了很大的进步，理清了工作思路，制定了工作的推动方案，逐步形成了新的工作机制。就加强和推进信息安全认证认可工作，曲维枝讲了两点意见。
　　第一，要从维护国家信息安全的高度重视信息安全认证认可工作。前不久召开的党的十六届六中全会再一次明确提出要针对传统安全威胁和非传统安全威胁的因素相互交织的新情况，增强国家安全意识，完善国家安全战略，抓紧构建维护国家安全的科学、协调、高效的工作机制，坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动，有效地防范和应对来自国际经济领域的各种风险，确保国家的政治安全、经济安全、文化安全和信息安全。我们必须认真贯彻落实党中央的的指示，从保证国家安全的战略高度来认识和把握信息安全工作，全力以赴来做好信息安全的保障工作。
　　信息安全产品测评和认证是信息安全保障基础性的工作，特别是在当前我国信息技术及产业的核心竞争力还不强，关键技术、关键设备还要受制于人的情况下，严格把住信息安全产品的市场准入关犹为重要。在信息安全领域采用认证认可机制是保证网络和信息系统安全的重要手段，也是世界各国的普遍作法，通过认证手段有利于在WTO规则下，将敏感的政治问题、安全问题转化为技术性的问题和非关税性的问题，提高国家对国内外信息产品及其安全性的掌控能力，也有利于改革政府管理方式和手段，创建公平竞争的环境，有效的保护和促进我国信息安全技术与产业的发展。
　　第二，以务实的态度继续推进信息安全认证认可体系建设。各有关部门要以57号文件为基础，统一认识，相互支持，团结合作，共同推进信息安全认证认可体系的建设。一是要坚持共同实施和集中统一的原则，坚持集中统一，统一产品录入，统一技术规范的强制性要求、标准和合格评定程序，统一标准、标志，统一收费标准。二是要处理好三个关系：要处理好认证认可与行政许可的关系，按照行政许可法和转变政府职能的要求，凡是能够通过认证认可手段加以规范的，原则上不再设立行政许可；要处理好全局和部门的关系；要处理好管理和服务的关系。认证是市场准入的门槛，根本的目的是通过认证引导和帮助企业提高管理水平和产品的质量，因此我们既要有严格的认证程序，严把认证质量关，不但要提高认证的有效性，又要充分发挥认证促、帮、扶的效应，努力减轻企业的负担，提供优质服务，为企业发展创造公平、透明、公正的环境。
　　据悉，国家信息安全认证中心成立后，将依据国家信息安全管理的法律法规、《认证认可条例》及实施规则，结合产品的信息安全性和应用领域，实行全国统一的认证制度，采取强制性产品认证和自愿性产品认证两种方式对产品进行认证。