中国信息安全认证中心是经中央编制委员会批准成立,由
国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关
强制性产品认证、信息安全管理的法律法规,负责实施
信息安全认证的专门机构。中国信息安全认证中心为国家质检总局直属事业单位。
机构简介
一、中心性质及概况
中国信息安全认证中心为国家质检总局直属事业单位。
中心简称为信息认证中心;英文全称:China Information Security Certification Center;英文缩写:ISCCC。
中心的质量方针是:客观公正,科学规范,优质高效。
二、中心主要业务
依据国家信息安全管理的法律法规、《认证认可条例》及实施规则,在指定的业务范围内,对信息安全产品实施认证,并开展信息安全有关的管理体系认证和人员培训、技术研发等工作。具体包括:
1、在信息安全领域开展产品、管理体系等认证工作;
2、对认证及与认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训;
3、对提供
信息安全服务的机构、人员进行资质培训、注册;
质量方针
客观公正,科学规范,优质高效
主要职责
1、在国家认证认可监督管理委员会(以下简称国家认监委)批准的业务范围内,开展认证工作;
2、开展
信息安全认证相关标准和检测技术、评价方法研发工作,为建立和完善信息安全认证制度提供技术支持;
3、在批准的业务范围内,开展认证人员培训工作。开展信息安全技术培训工作;
4、
依据法律、法规及授权开展涉及信息技术安全领域的相关工作;
5、承担对本中心委托检测和检查机构的监督与管理工作;
6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动;
7、承办总局和国家认监委交办的其他事项。
业务介绍
2001年12月,国家质检总局发布了《
强制性产品认证管理规定》,以
强制性产品认证制度替代原来的进口
商品安全质量许可制度和电工产品安全认证制度。中国强制性产品认证简称
CCC认证或3C认证。是一种法定的强制性安全认证制度,也是国际上广泛采用的保护消费者权益、维护消费者人身财产安全的基本做法。在实施
强制性产品认证的产品范围中,
无线局域网产品和信息安全产品的指定认证机构为中国信息安全认证中心。
信息安全管理体系病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍等,越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于最新国际标准ISO/IEC27001:2005的信息安全管理体系(Information Security Management System, ISMS)是目前国际上先进的信息安全解决方案,正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。
ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力。
ISO/IEC 27001标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISO/IEC 27001认证能为组织带来如下收益:1.使组织获得最佳的信息安全运行方式;2.保证组织业务的安全;3.降低组织业务风险、避免组织损失;4.保持组织核心竞争优势;5.提供组织业务活动中的信誉;6.增强组织竞争力;7.满足客户要求;8.保证组织业务的可持续发展;9.使组织更加符合法律法规的要求。
服务资质认证
中国信息安全认证中心是国家认证认可监督管理委员会批准的一家可以从事
信息安全服务资质认证的机构
(详见CNCA-R-2007-138《认证机构批准书》)。在国认可函[2007]150号《关于批准中国信息安全认证中心从事信息安全服务资质认证和培训试点工作的批复》中明确了中心是作为开展信息安全服务资质认证业务的试点单位。同时,中心也获得了
中国合格评定国家认可委员会的认可,证书编号:No. CNAS CO66-V。
信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的安全服务资质进行评价。认证标准:开展信息安全服务资质认证的依据是国家法律法规、国家标准、行业标准和技术规范。目前中国信息安全认证中心开展了信息安全应急处理资质认证业务,依据标准是YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》。
YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》是根据我国网络与信息安全应急处理服务管理的需求,同时考虑到国内网络与信息安全应急处理服务提供商的实际情况,参考YD/T 1621-2007《网络与信息安全服务资质评估准则》、《计算机信息系统集成资质管理办法》等文件和相关国际国内标准制定而成。该标准的评估对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。
网络与信息安全应急处理服务是保障
业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。网络与信息安全应急处理服务资质等级是衡量服务提供方应急处理服务资格和能力的尺度。资质等级分为三级,一级最高,三级最低。
网络与信息安全应急处理服务资质评估是对网络与信息安全应急处理服务提供方的资格状况、经济实力、技术能力和实施应急服务过程能力等方面的具体衡量和评价。该标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。该标准适用于第三方评估机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可以作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,可供认证机构认证提供网络与信息安全应急处理服务的组织时参考,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。
YD/T 1621-2007《网络与信息安全服务资质评估准则》规定为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求,适用于为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估,可以作为国家有关主管部门对网络与信息安全服务的组织进行管理、检查的技术性规范,也可为网络与信息安全服务的组织改进自身能力的指导。该标准涉及到了信息安全咨询服务、信息安全工程服务、信息安全培训服务、信息安全运行支持服务。
内设机构
中心内设10个处室,分别为办公室、综合业务处、产品认证处、体系认证处、服务认证处、培训处、质量监督处、科技与国际处、人事处、财务处,设立党委办公室,与办公室合署办公。
法律法规
法律和行政法规
国务院办公厅关于加强认证认可工作的通知
部门规章
行政规范文件
认证技术规范管理办法
认证认可申诉、投诉处理办法
地理位置
中国信息安全认证中心
办公地点:北京市
朝阳区朝外大街甲10号中认大厦(100020)