国家信息安全认证认可体系.doc

附件：国家信息安全认证认可体系建设方案国家认证认可监督管理委员会二七年四月二十八日按照国家信息化领导小组以及国家网络与信息安全协调小组2006年和2007年工作部署，根据国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）、国家中长期科技发展规划纲要、国民经济和社会发展信息化“十一五”专项规划、国家信息化发展战略、国家信息安全战略报告、国家“十一五”信息安全专项规划（征求意见稿）、国务院信息化工作办公室关于落实国家信息化领导小组2007年工作要点分工的通知（国信办20077号）等文件精神，结合八部委关于建立国家信息安全产品认证认可体系的通知（国认证联200457号）的要求，为建立与我国信息化发展水平相适应的国家信息安全认证认可体系，实现维护国家信息安全和社会稳定，保障公民合法权益，规范信息安全市场，促进国家信息化建设和信息安全产业的健康发展。国家认监委组织相关部门和专家在对国家信息安全认证认可体系建设工作进行充分研究和论证的基础上，制定本方案。一、编制依据1国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文件）为提高信息安全保障工作的能力和水平，促进信息化建设健康发展提出了十点意见，在第六点加强信息安全技术研究开发，推进信息安全产业发展中，提出“要推进认证认可工作，规范和加强信息安全产品测评认证”的要求。2国家信息化领导小组2006年工作要点提出“切实做好信息安全保障工作，加强综合协调和督促检查，确保国家信息安全保障体系建设取得新进展”、“加快信息安全产品认证认可工作”。3国家网络与信息安全协调小组2006年工作要点提出“制定支持信息安全产业发展的意见措施，加快开展信息安全产品认证认可工作”，“国家认监委会同公安部、国家安全部、信息产业部、国家环保局、国家密码管理局、国务院信息办等部门，尽快建立国家信息安全产品认证机构，抓紧研究制定并及时发布信息安全产品认证目录，下半年启动信息安全产品认证工作”。4国家信息化领导小组2007年工作要点在第八点“突出重点，切实加强信息安全工作”中提出要“加快信息安全产品、服务认证认可工作和中国信息安全认证中心建设”；国务院信息化工作办公室关于落实国家信息化领导小组2007年工作要点分工的通知中明确该项工作由“国家认监委牵头，会同有关部门负责”。5国家网络与信息安全协调小组2007年工作要点提出“国家认监委会同有关部门加快信息安全产品、服务认证认可工作和中国信息安全认证中心建设。加强信息安全服务资质管理”。6国家“十一五”信息安全专项规划（征求意见稿）在发展目标中提出“国家信息安全标准体系和认证认可体系初步建成”；在主要任务中提出“建立健全市场化信息安全服务机制。培育信息安全咨询、工程监理、测评认证、风险评估、容灾备份、电子认证、应急响应等第三方服务”、“开展信息安全的就业资格和岗位资质培训”、“建立信息安全测评认证制度”、“完善信息安全产品、服务认证和企业资质认定的管理办法，健全信息安全市场准入和监管制度”。二、指导思想国家信息安全认证认可体系建设的指导思想是：以党的十六届三中、四中、五中全会精神为指导，坚持科学发展观，落实国家信息化领导小组关于加强信息安全保障工作的意见的工作部署，以“坚持统筹规划，完善协调机制，支持自主创新，保障安全可靠、强化监管有效、促进产业发展、服务社会公众”为指导方针，加强国家信息安全认证认可体系建设力度，加快建设步伐，保证国家信息安全认证认可体系建设快速持续发展，维护国家信息安全和社会稳定，保障公民合法权益，规范信息安全市场，促进国家信息化建设和信息安全产业的健康发展，为国家信息安全保障体系建设提供技术支撑和技术手段。三、工作目标总体目标：以信息安全产品、信息安全管理体系和信息安全服务资质管理三类业务为核心，加强基础环境建设（法规制度、组织机构、基础设施等）和五大核心能力建设（认证认可技术能力、公共服务能力、监管能力、决策支持能力、自我发展能力），计划用五年的时间分两期完成国家信息安全认证认可体系初步建设。国家信息安全产品认证、信息安全服务资质认证、信息安全管理体系认证等工作全面开展，国家信息安全保障能力建设的技术支撑和技术手段得到加强，努力实现维护国家信息安全利益、保障用户合法权益、规范信息安全市场、促进信息安全产业全面健康发展的目标。具体目标：国家信息安全认证认可基础环境得到完善。信息安全认证认可法律法规体系基本形成，信息安全产品、信息安全管理体系和信息安全服务资质认证实施规则和管理办法进一步完善；中国信息安全认证中心和认证认可技术委员会基本建成，基础设施、执行能力不断加强。国家信息安全认证认可技术能力不断加强。国家信息安全认证认可标准化体系框架初步建成，技术标准和技术规范基本建立；自主可控的获得信息安全产品和信息安全服务资质认证企业数量大幅增加，我国信息安全产业的技术水平和规模得到提高，为政府采购自主创新产品提供依据；国家信息安全产品认证、信息安全管理体系认证、信息安全服务资质认证得到普及和推广，信息安全管理意识得到增强，并获得政府和社会的普遍认同；信息安全合格评定能力不断提高，信息安全认证和检测机构通过合格评定能力评价获得国家合格评定认可，使获证企业和检测报告纳入国际认可互认体系，帮助我国信息安全产业和产品走向国际市场；信息安全保障技术能力得到加强，信息安全认证的信任体系和认证中心的信息安全保障体系初步形成。面向政府、企事业单位和社会公众的信息安全公共服务体系基本建成。风险评估、安全咨询与培训、系统集成、安全管理服务、应急响应与灾难恢复等信息安全服务体系初步建立。国家信息安全认证认可监管能力得到提高，监管制度、执法能力不断加强，信息安全认证有效性得到保证。决策分析能力不断加强。在实现数据采集的基础上，通过有效的综合分析和预测，对国家整体的信息安全防范和规划进行系统而科学的决策支持。国家信息安全认证认可体系不断完善，自我发展能力得到加强，政府宏观调控和国家信息安全保障的技术支撑能力得到提高；管理、技术、执法人才队伍建设进一步完善，信息安全管理人员、从业人员岗位和资格培训逐步普及。四、主要任务根据国家信息化领导小组关于加强信息安全保障工作的意见和国家信息安全战略报告要求，按照国家信息化领导小组和国家网络与信息安全协调小组2006、2007年工作部署和国家“十一五”信息安全专项规划（征求意见稿），国家信息安全认证认可体系建设的主要任务是：（一）加快开展信息安全认证认可基础环境建设1法规制度保障体系加快建立、健全国家开展信息安全认证认可相关法律和制度。建立技术、管理配套措施，规范、统一、协调相关管理制度，建立和完善信息安全产品、信息安全管理体系和信息安全服务资质的相关管理办法。通过政府部门间的相互配合、协调合作，建立健全信息安全市场准入、退出和监管机制，完善合格评价体系，使信息安全认证认可工作有法可依、管理有序、监管有效。具体建设内容如下：（1）确定国家信息安全强制性产品认证目录，制定信息安全产品强制性认证和自愿性认证的认证制度和实施规则。（2）起草并发布信息安全认证机构、检测机构（检查机构与实验室）补充认可规则。（3）参照国外先进经验，结合我国国情，对信息安全相关的认证认可制度、分级认证制度等法规制度进行深入研究。（4）制定信息安全认证认可管理办法，涵盖信息安全产品认证、信息安全管理体系认证、信息安全服务资质认证等业务的相关制度、实施规则、收费标准、合格评定程序、行政执法检查以及认证标志管理等内容。2组织机构和基础设施建设重点规划和建设国家信息安全认证机构、检测机构，形成国家信息安全保障技术支撑体系的国家级骨干力量。（1）中国信息安全认证中心建设一个由国家认证认可主管部门及相关部委领导的中国信息安全认证中心（已于2006年11月17日成立）。中心由国家认监委认可授权，受国家信息安全认证管理委员会管理，对外开展信息安全产品认证、信息安全管理体系认证、信息安全服务资质认证等认证业务以及认证相关的复核工作。认证中心同时还统一负责对各测评机构的授权、技术指导及对认证申请者证书的颁发与撤销。加强测评基准实验室、信息安全产品认证处、信息安全管理体系认证处、信息安全服务资质认证处等内部组织机构和重要基础设施建设，使信息安全认证中心有能力对各检测机构所出具的检测结果进行复核验证，对其重要数据指标进行再验证，以保证检测结果的真实性，保证认证工作的有效性。对于经确认存在虚假或有问题的检测报告，认证中心不得据此出具认证证书，并有责任及时向国家信息安全认证认可监督管理部门和相关部门通报有关情况。（2）国家信息安全检测（测评）机构以现有各部委检测（测评）机构为基础，建设一批为信息安全产品实施检测（测评）的重点实验室，形成国家信息安全认证检测技术支撑体系。（3）信息安全认证认可技术委员会成立信息安全认证认可技术专家委员会。委员会集中各授权测评机构、信息安全主管部门、科研院所的技术力量，组织信息安全领域专家定期汇总与协商，对信息安全认证认可进程中遇到的技术难题提供有效的专业指导，并分析我国信息安全产业的发展态势，为信息安全认证认可工作的发展和我国信息安全行业的发展提供建设性意见。（二）加强国家信息安全认证技术能力建设1国家信息安全认证技术标准体系在国家信息安全认证认可体系建设和运行各环节推行标准化，建立和完善信息安全相关标准。主要工作包括：（1）研究制定适合我国国情的信息安全认证标准化体系框架；（2）大力依靠自主创新，形成一批具有自主知识产权、体系化的信息安全认证标准；（3）在保护自主知识产权基础上，积极促进信息安全认证标准与国际接轨，推动信息安全认证工作向国际化方向发展；（4）研究能够覆盖信息安全认证标准整个生命周期的过程管理体系，逐步实现标准/技术规范及认证实施规则的编制、使用、监督过程的统一管理和标准化。2信息安全认证核心业务建设通过加强信息安全产品认证、信息安全管理体系、信息安全服务资质认证，促进信息安全产品技术水平、信息安全管理水平和信息安全服务的专业化水平的提高。鼓励自主创新，提升我国信息安全产业的核心竞争能力。（1）加强对自主可控的重点信息安全产品的认证对国家亟需的重点信息安全产品如网络防护（防火墙、防毒墙、入侵检测）、安全审计、网络隔离、VPN、智能卡、卡终端、高速密码与安全传输、可信计算机与终端保护、网络设备、系统软件等产品实施强制性认证，加强对自主可控的信息安全产品的扶持和认证力度。（2）开展信息安全管理体系认证开展对国家重要的部门与行业（如国家机关、国有企业、电信、金融机构等）及对信息安全管理要求高的其他企事业单位（机构）进行信息安全管理体系的评定，从机构的安全策略、组织结构、信息资产安全、人员安全、物理与环境安全、通讯与操作管理、访问控制、系统开发与维护、业务连续性管理、法规遵从性等多个方面和环节，对机构信息安全全面管理体系做出综合的评定。（3）建立健全信息安全服务资质认证加大对从事信息安全服务活动的机构及从业人员服务资质能力的评定力度。规范和建立包括风险评估、系统测评、咨询（如系统设计、配置管理、规划等）、应急响应、灾难恢复、系统集成、安全管理服务以及与信息安全相关的系统运行、雇员和用户培训、设备维修和维护等信息安全服务市场。为国家基础信息网络和重要信息系统的规划设计、建设改造和运行管理提供安全、可靠的技术支持。（4）重点建设内容主要包括制定认证的流程和方法，开发或采购相应的流程控制和管理工具和专用工具，建立相应的验证系统和信息系统，做为专家知识与自动化辅助工具相结合的认证技术支撑能力。信息安全认证相关验证方法和技术包括信息技术产品安全性测评基准技术、软件安全性测评验证技术、信息安全服务资质认证的程序和方法、信息安全人员审核与注册的程序和方法、机构信息安全管理体系认证程序和方法的制定等内容，通过加强认证相关验证方法和技术建设，为国家信息安全认证工作提供技术保障。验证系统建立信息安全产品验证系统、信息安全管理体系验证系统和信息服务验证系统，开发相应的配套管理工具和验证工具，保障测评验证的严格规范和自动化。3认可技术能力建立和完善国家信息安全合格评定体系，组建由有关专家组成的中国合格评定国家认可委员会（CNAS）的信息安全认证领域认可专业委员会，负责制定并发布信息安全认可工作的规则、准则、指南等规范性文件，并对认证机构、检查机构、检测实验室开展能力评价，实施认可与注册。加强对获得认可的信息安全相关认证机构、检测机构的认可监督管理。通过国际互认，使获证企业和产品获得国际认可，提升获证企业和产品的国际影响力。（1）认可基准实验室和检测机构，通过能力验证方式，可以发现检测机构检测中存在的问题，提高检测机构的检测能力和确保各个检测机构检测的一致性。（2）通过定期或不定期监督管理，提高指定机构的技术能力。（3）对于指定机构的技术能力变更或认证技术要求的变更，认可机构应当组织对其进行能力的确认，以确保其符合要求。（三）加强国家信息安全认证决策支持能力建设为了对国家整体的信息安全防范和规划进行决策支持，需要加强信息安全认证认可决策支持能力建设，建立有效的信息渠道，从信息安全产品生产和认证状况、信息安全管理状况、信息安全服务机构和人员资质状况等方面进行有效的综合分析和预测，从而为国家行业调控提供依据。具体内容包括信息安全产业布局的分析与评价、信息安全认证认可体系布局及其有效性的分析与评价、信息安全产业对其他相关产业发展的影响力分析与评价、国外信息安全产业发展对比分析与评价、我国信息安全行业发展的决策辅助分析与建议、具有中国特色的信息安全产品与服务的市场准入与退出机制、制定各级政府采购信息安全产品与服务的制度与规范等。（四）建立以行政许可、授权，地方执法监督为主体的行政监督体系，强化监管在充分利用信息安全认证管理系统提供的数据资源的基础上，建立以行政许可、授权，地方执法监督为主体的行政监督体系，监督信息安全认证队伍、获证企业（单位）和获证产品。对于已列入信息安全强制性产品认证目录但未经认证合格的产品，严格限制其进口、出厂、销售和使用；对于虽未列入强制性认证目录，但在特定领域和具有一定等级保护要求的网络、系统中应用的信息安全产品，通过自愿性认证保证相应的安全需求。加大对国内市场和进口信息安全产品的监督检查力度，加强对获得信息安全服务资质和信息安全管理体系认证的企业和单位的监督抽查，健全信息安全市场准入和监管制度，规范信息安全市场行为，促进信息安全产业健康发展。1监管制度建设实施统一的行政监督制度，有助于提高信息安全认证的有效性。为此，需要大力加强认证认可监管制度建设，完善认证认可监督管理的条例和规章制度，强化监管能力建设，加大惩戒力度，使认证认可监管有据可依，切实有效。对于指定机构在监督中发现的问题要限期进行整改，根据问题的性质，在整改期间，采取暂停或限制授权项目等方式，对于其他严重的违法、违规问题按认证认可条例等进行处理。2执法能力建设国家认监委和地方质检行政监督管理部门对各自所辖区域内的信息安全产品的认证企业和产品实施监督管理，对认证标志进行执法检查。地方各级质量监督管理部门负责对境内生产销售的产品负责监管，出入境检验检疫部门对进口销售产品实施监督管理。从源头上阻止未认证产品、假冒标志产品、不符合信息安全认证要求的产品生产、销售和使用，同时对通过执法监督对通过信息安全认证的产品的一致性和有效性进行监督。国家认监委和地方质检行政监督管理部门对各自所辖区域内的的信息安全服务机构和从业人员实施监督管理。（1）对指定机构、服务机构、从业人员的监管能力建设认监委依照认证认可条例及其他有关法律法规、规章规定对指定认证机构、指定检测机构的工作进行监督。监督方式年度监督、专项监督、同行评议和特殊监督。同时，地方信息安全认证的行政监督部门有权对所在地的指定机构进行监督工作。地方监管部门定期对指定认证机构、指定检测机构、指定检查机构以及相关机构从业人员进行监督检查，可以根据投诉或举报以及国家、地方检查抽查等情况，对其进行不定期的检查或抽查。（2）对认证企业、认证产品的监管能力建设对于境内生产销售企业进行监督管理，包括对信息安全产品生产企业的质量状况调查，生产能力情况评价，质量预警通报，出入境检验检疫部门实施的对进口的信息安全产品的入境验证要求和执行情况，证书验证、一致性验证和认证标志验证等。对认证企业、认证产品的行政执法监督包括各个质检行政监督部门的例行监督和专项监督。（五）加强信息安全认证认可自我发展能力1引入认证质量体系建立覆盖主要认证业务类型和范围（包括产品认证、服务资质认证和信息安全管理体系认证等）的质量管理体系，并保证质量体系的运行和持续改进。按计划的时间间隔对系统的所有程序和质量体系进行内部审核和管理评审，以确保质量体系和程序的有效性、适宜性和充分性。（1）分析研究法规制度、技术、监管、公共服务以及行业调控能力互相的关系，建立能力间互补、协调的有效发展机制。（2）从实际工作自省自律做起，强化责任意识，提高认证有效性。（3）通过引入ISO9000质量管理体系标准，提高认证机构、检测机构的管理与服务能力。2加国际交流与合作加强在国际互认、国际标准方面的国际合作，提高国际竞争力，维护国家在信息安全领域的利益；加强与国际信息安全认证机构、认可机构、检测（测评）机构、研究机构和企业间的管理、技术方面的交流合作。跟踪、研究和掌握在国际信息安全认证认可领域的先进理论、技术和发展动态，加快和提高我国信息安全认证认可体系的建设步伐。3加快信息安全认证人才队伍建设将信息安全认证人才培养纳入国家信息安全人才教育培养体系，壮大国家信息安全认证人才队伍，提高专业人员素质。加强对信息安全认证工作的宣传，提高全民的信息安全意识。通过选派培训、联合办学，参与国家信息安全人才教育培养体系建设等方式，加大信息安全专业人才队伍的培养；通过开展信息安全管理培训和评定考核，信息安全服务从业人员就业资格和岗位资质培训，信息安全认证执法人员的职业培训，提高社会信息安全管理、技术和执法人员的素质。（六）加强国家信息安全认证公共服务建设充分利用信息安全认证管理系统提供的数据资源，建设信息安全认证认可体系的公共服务平台，向各级政府和企事业单位、信息安全产品生产厂商、社会公众提供相关服务。加强对信息安全相关政策法规、标准的宣传，普及和提高公众的信息安全管理意识；发布信息安全强制性产品认证目录；公布信息安全产品认证、信息安全服务资质认证和信息安全管理体系认证相关获证信息；为基础信息网络建设、政府采购和相关信息系统建设提供技术支持；集中风险评估、灾难备份、应急响应、系统集成等信息安全服务信息，特性化检测服务、数据统计服务、咨询建议等服务内容，为社会提供服务。五、工作进度国家信息安全认证认可体系建设是一个庞大的系统工程，根据国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）、国家信息化领导小组以及国家网络与信息安全协调小组2006年和2007年工作部署、关于建立国家信息安全产品认证认可体系的通知的要求和目前的实际发展需要，计划用五年时间分两期完成信息安全认证认可体系初步建设，其中一期工程建设周期为三年。具体工作进度安排如下：（一）第一年工作计划1组建信息安全认证机构协调相关部委，组建中国信息安全认证中心（2006年6月26日获得中编办关于设立中国信息安全认证中心的批复（200670号）。认证中心已于2006年11月17日正式成立，目前需要进一步完善内部机构、干部和技术人才的选配，并尽快开展基础设施建设。2建立信息安全认证领域的认可专业委员会3开始对信息安全认证认可相关法规、制度、办法制修订工作，包括：确定并发布信息安全强制性产品认证的产品目录，制定信息安全强制性认证和自愿性认证的认证制度和实施规则，包括信息技术产品、信息安全管理体系，以及信息安全服务资质等方面。起草并发布信息安全认证机构、检测机构、检查机构补充认可规则。参照国外先进经验，结合我国国情，对信息安全相关的认证认可制度、分级认证制度等法规制度进行深入研究。制定信息安全认证管理办法，涵盖信息安全产品认证、信息安全管理体系认证、信息安全服务资质认证三项业务。4对信息安全检测机构、咨询机构、培训机构开始进行行政许可授权。5信息安全认证认可业务应用与服务平台建设初步建立（二）第二年工作计划1国家信息安全认证中心基础设施建设基本完成。2国家信息安全认证中心的开展认证的技术能力初步具备。3信息安全认证认可相关法规、制度、办法制修订工作基本完成。4完成信息安全产品认证认可业务统一网络建设，在保障安全的基础上实现认监委与国家信息安全产品认证中心、检查机构、检测机构、地方执法机构等的纵向互联；实现认监委与相关部委的横向互通。5开始对信息安全认证监管和执法队伍进行培训。6信息安全咨询机构、培训机构逐步开展业务。7对信息安全产品、信息安全管理体系，以及信息安全服务资质认证工作逐步展开。8适时开展对认证机构、检测机构、检查机构的认可工作。9信息安全认证认可业务应用与服务平台建设基本完成。10初步实现对信息安全认证社会公共服务。（三）第三年工作计划1加强国家信息安全认证能力建设，认证相关技术能力、技术研发及配备初步完成。2制定和完善信息安全认证相关制度、办法。3信息安全认证专业人才队伍培养体系初步建立。4信息安全认证市场监管体系初步形成，对信息安全产品的检控能力得到加强。5自主可控的获得信息安全产品和信息安全服务资质认证企业数量快速增长，信息安全产业的技术水平和规模得到提高。政府采购自主创新产品政策的相关环境和技术储备初步形成。6信息安全认证基本完成从行政许可向认证认可制度的有效过渡。（四）第四年工作计划1国家信息安全管理体系认证进一步普及和推广，信息安全管理意识得到增强，信息安全管理体系认证成为衡量国家政府部门和企事业单位信息安全管理水平的重要标准。2与国际信息安全认可机构、认证机构、检测（测评）机构、检查机构、研究机构和企业间的管理、技术方面的交流合作逐步开展，技术交流合作、业务培训得到加强。3国家信息安全认证服务体系初步建立。风险评估、安全咨询与培训、系统集成、安全管理服务、应急响应与灾难恢复等信息安全服务体系初步建立。4国家信息安全认证合格评定体系基本形成。5国家信息安全产业形成规模，通过认证的自主可控的信息安全产品市场占有率超过60%，产品质量和核心技术能力提升，并通过国际互认逐步打入国际市场。（五）第五年工作计划1对信息安全产品