2006年11月17日
尊敬的李兆焯副主席,各位领导、各位来宾、新闻界的朋友们:
大家好!
今天我们怀着十分激动的心情,向前来参加中国信息安全认证中心成立大会的各位领导、来宾表示最衷心的感谢!将近五年的时间,在国信办的统一协调下,在公安部、国家安全部、信息产业部、国家保密局、国家密码管理局、国家质检总局和国家认监委的密切配合下,我国信息安全认证认可体系已经初步建立,并即将付诸实施。中国信息安全认证中心的成立意味着在我国信息安全认证认可体系的框架下,统一的信息安全产品认证工作即将正式启动。借此机会我把中国信息安全认证中心的情况向各位领导和来宾做一简要汇报。
一、中心成立的背景和筹备过程
“十五”期间,国家认监委按照党中央、国务院的要求,负责履行统一管理、监督和综合协调全国认证认可的工作职能,在国务院有关部门和社会各界的大力支持下,认证认可事业有了长足的发展。认证认可被写入国务院颁布的多部法律法规和重要文件之中,在WTO体制下发挥越来越重要的作用。认证工作已经覆盖了社会经济生活的多个领域,在与国民经济和社会发展密切相关的领域和行业内,发挥着越来越重要的作用,认证结果正在被越来越多的政府机关、行业部门、社会和广大消费者所采用。以强制性产品认证为代表的认证制度的设立,也是我国行政管理体制改革的一个成功的实践,为我国政府职能转变提供了有益的借鉴。认证认可在落实国家“十一•五”规划中,担负着更加重要的使命和责任,包括建立和完善信息安全认证认可体系。
在信息安全领域实施认证认可制度,已经成为当今经济全球化和信息化趋势下维护国家主权的重要手段。信息安全认证认可体系是建设国家信息安全保障体系的重要组成部分,加快我国信息安全认证认可制度的实施是当务之急。
国家质检总局和认监委受国信办和相关部委的委托,担负起牵头建立国家信息安全认证认可体系的工作。国家认监委通过函商、召开座谈会、走访交流等多种形式,广泛征求了国务院有关部门、相关省市信息安全主管部门、产品认证机构、检测机构、生产企业和社会相关方面的意见,提出了体系建设的基本框架,得到了八部委的认同,共同发出了《关于建立国家信息安全产品认证认可体系的通知》。该《通知》明确了体系建立的四个基本原则:一是统一管理、共同实施的原则。统一管理解决重复测评和多头管理的问题;共同实施确保体系建设的科学性,满足各有关部门的管理和使用需要。二是统一规范的原则。根据信息安全产品的安全性和应用的领域,统一的认证制度分为强制性认证和自愿性认证两种方式。对于重要的信息安全产品实行强制性认证,凡列入强制性认证目录内的产品,未经认证合格的不得出厂、进口、销售和使用;对于虽未列入强制性认证目录,但在特定领域和具有一定等级保护要求的网络、系统中应用的信息安全产品,应通过实施自愿性认证保证相应的安全要求。因此,要求特定领域的用户、相关的管理部门(包括政府采购)和具有一定安全等级保护的单位在制定诸如政府采购办法和等级保护规定时明确制定采购或使用经过自愿性认证的信息安全产品。三是政事分开的原则。国家专门建立信息安全产品的认证机构从事认证工作,利用现已存在的多个检测机构具体从事检测业务。对信息安全产品的监督执法工作与认证工作相分离;把现由政府部门执行的发证工作中凡是可由中介机构承担的认证活动,逐步过渡到由认证机构去发证。四是发挥认可制度作用的原则。从事信息安全产品认证活动的认证机构、检查机构和检测实验室以及相关人员必须通过国家认可机构的认可和人员注册资格。
按照四条原则,认监委筹备并组建了“国家信息安全产品认证管理委员会”,该委员会由国务院有关部门、生产方、用户方、研究开发以及标准等方面的代表组成。2005年4月,管委会成立大会召开,代表们一致通过了管委会章程。随后国家认可机构的信息安全认可分技术委员会也正式成立。今天中国信息安全认证中心的成立,完成了体系建设中的重要一环。至此,国家信息安全产品认证认可体系的基本框架已经形成。因此可以说,中国信息安全认证中心的成立是时代发展的产物,不仅是国家认证认可工作的需要,也是国家信息化发展的需要,更是建立和完善国家信息安全保障体系的需要。
中国信息安全认证中心于今年6月获中编办正式批准,国家质检总局和认监委受国信办和相关部委之托,担负起了筹建中国信息安全认证中心的工作。国家质检总局随即成立了由认监委孙大伟主任牵头,总局人事司、财务司和认监委有关部门组成的中心筹备组,抽调有关人员,积极开始了中心的各项筹备工作。经过四个多月的努力,这项工作已取得阶段性成果,中心正式成立的条件已经具备,并围绕业务开展等有关工作,正在积极推进制度建设和队伍建设工作。
二、中心的主要职能
中国信息安全认证中心是经中编办批准的事业单位,编制65人,受国务院信息化工作办公室和有关部委委托,隶属国家质检总局,由国家认证认可监督管理委员会管理。作为第三方公正机构和法人实体,中心的主要职能是:依据国家信息安全管理的法律法规、《中华人民共和国认证认可条例》、信息安全标准及认证实施规则,在指定的业务范围内,对信息安全产品实施认证,并开展信息安全有关的管理体系认证和人员培训、技术研发等工作。具体包括:
1.在信息安全领域开展产品、管理体系等认证工作;
2.对认证及与认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训;
3.开展信息安全认证、检测技术研究、开发工作;
4.提供信息安全产品测评基准服务;
5.依据法律、法规及授权从事其他相关工作。
中国信息安全认证中心办公地址设在朝阳区朝外大街甲10号中认大厦,英文缩写ISCCC。
中心内部设置9个职能处室。依据组建原则,结合工作实际,拟先启动产品认证处、培训管理处和科技处等5个职能部门,并积极创造条件开展信息安全管理体系认证业务工作。
中心将本着“为保障国家信息安全,提供评价与认证服务”的宗旨,贯彻“客观公正,科学规范,优质高效”的质量方针,履行其应有的职责,为建立国家统一的信息安全认证认可体系做好基础性工作。
三、中心下一步工作计划
当前和今后一段时间,中国信息安全认证中心的主要任务是:认真贯彻执行党中央国务院有关领导的指示精神和全国信息安全工作会议精神,依据《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于设立中国信息安全认证中心的批复》和《关于建立国家信息安全产品认证认可体系的通知》等文件的要求,按照国信办等有关部委的授权和质检总局、认监委的统一部署,主动协调各方面关系,认真做好组建工作,大力推进各项业务工作。当前,要着重做好以下五方面的工作:
1.进一步做好组建工作。要按照“立足高起点,坚持高标准,确保高质量,力争高水平”的要求,尽快做到三个到位:一是要科学设置组织机构,广泛吸纳和选调政治素质好,业务能力强的骨干人员,做到人员到位。事业发展,关键在人。完成好今后和“十一五”期间的工作目标,必须依靠一支政治合格、思想过硬、技术精湛、作风扎实、清正廉洁的队伍,必须加强队伍建设,努力提高队伍的创造力、凝聚力和战斗力。为此,我们要强化学习意识,强化责任意识,强化忧患意识,强化以人为本的意识,强化团结协作的意识。二是要根据国家对认证机构的有关规定,结合中心实际,尽快建立健全各项规章制度,做到制度到位。三是要依据授权和有关规定,积极协调有关部委,明确业务范围,理顺业务关系,做到职能到位。努力用最短的时间,使中心工作步入正轨。
2.加强协调与沟通,营造良好的外部工作环境。在我国现行的信息安全管理体系中,认证认可推行的评价制度在一定程度上还是新事物,相互之间需要一个磨合过程。我们将按照“多方参与、共同实施”的原则,积极走访有关部委和单位,广泛征求并认真听取意见和建议,充分借鉴原有工作中好的做法和经验,积极稳妥地做好业务延续、转化和衔接工作,调动一切积极因素,形成合力,共同做好信息安全认证工作,做好相关的宣传工作。
3.认真履行职责,确保认证质量。要按照《认证认可条例》和国家有关规定,根据有关部委授权和中心的职能定位,严格程序,规范管理,加强自律,确保认证质量和服务质量,确保认证结果公正、公信。要切实做到坚持原则不动摇,执行标准不走样,履行程序不变通,遵守纪律不放松。
4.加强认证技术的研发,提高认证检测水平。要针对信息安全产品的特殊性,下大力气抓好标准的跟踪和研究工作,下大力气抓好认证技术与合格评定程序、基准测试技术的研究开发工作,下大力气抓好专业人才的培养和使用工作,并努力争取条件,推进高水平的国家信息安全测试实验室的建设工作,确保中心的认证技术能力满足业务发展的需要。
5.推进国际合作与交流。积极跟踪和研究国际信息安全标准、规范的变化和发展趋势,广泛开展与国际信息安全认证机构的交流与合作,努力提升我国信息安全认证能力,使我们的工作尽快与发达国家同步,与世界先进水平接轨。
中国信息安全认证中心是我国信息安全认证认可体系的重要组成部分,是实施信息安全认证制度的重要基础和执行机构,它的成立,标志着我国信息安全认证认可工作已进入实际运作的阶段,将为我国信息安全认证认可工作体系的建设和完善奠定基础,为统一的信息安全认证制度的顺利实施提供有力的保障。
在国家质检总局、认监委的领导下,在公安部、国家安全部、信息产业部、国家保密局和国家密码管理局、国务院信息化工作办公室等部委的关心指导和社会各界的大力支持下,我们决心不辱使命,以保障国家信息安全为己任,以打造一流的专业认证机构为目标,团结一心,锐意进取,扎实工作,为信息安全认证认可工作体系的顺利实施发挥应有的作用。
我们相信,在各部委的领导下,在信息安全管理委员会的指导下,在社会各界的大力支持下,通过我们的共同努力,我国信息安全认证工作一定能够开创崭新的局面,为国家信息安全保障体系建设做出应有的贡献!
谢谢大家!
