追逐信息安全認證強國夢

十年來，從積極爭取承擔政策研究和制度設計工作，到積極推動中歐、中俄雙邊信息安全互認機制的建立，再到多次通過參事提案、政協提案、院士提議等多種渠道為信息安全認證建言獻策……信安中心克服重重困難，全力支撐國家質檢總局和國家認監委落實中央和國務院的要求，配合相關部委推動國家信息安全產品認證制度在政府采購領域的強制實施，實現了“發揮作用、規范服務、嚴格把關、降低收費”的制度目標，使信息安全認證認可在國家網絡安全保障工作中占據重要位置。
“經過這十年發展，算是真正‘立起來了’，最根本的一點是，國家統一的信息安全認證制度立住腳了?！毙虐仓行闹魅挝宏辉诮邮懿稍L時欣慰地說。
建立健全認證體系
信息安全保障涉及多個環節，不僅僅是國家信息安全產品的采購準入，而且還有管理環節的信息安全管理體系認證、資質審查環節的信息安全服務認證、人員能力評價環節的信息安全保障人員認證。針對國家和社會需求，信安中心在推動國家信息安全產品認證的同時，以滿足國家網絡安全重大需求、順應社會需要為導向，既遵循國際通行規則，又兼顧網絡安全領域的特殊敏感性，創新建立了產品認證、體系認證、服務認證、人員認證“四大業務”體系，涵蓋了網絡安全認證服務的所有門類。
有個日子至今讓信安人記憶猶新。2007年11月1日，一個寒冷的冬日。體系認證處工程師景育明只身南下赴深圳，去參加在那里舉辦的深圳證券交易所信息安全管理體系認證項目競標。他的行程牽動了中心全體員工的心，因為此行他將代表信安中心在招標會上與外資認證機構同臺競爭，這是對信安中心實力的一次公開的檢驗！一天后消息傳來：中國信息安全認證中心中標！員工們歡呼雀躍，慶祝來之不易的勝利。

而今，中心體系認眾智戶已覆蓋銀行、郵政、證券、電信、資產管理、計算機服務、軟件、電力、熱力生產和供應、信息傳輸服務等十大重要領域，頒發證書近600張，在國家重要信息基礎設施中的占有量更達到85%以上，大大減少了由于境外認證引入的安全風險，塑造了權威認證品牌。

從2008年開始，信安中心針對社會需求，按照分級分類原則，啟動了服務資質認證。這既是業務創新，也是制度創新。依據國內現有信息安全標準或行業技術規范，中心從完善技術文件著手，率先開展了應急處理服務資質認證。2008年7月8日，中心為北京啟明星辰信息安全技術有限公司等企業頒發信息安全應急處理服務資質認證證書，滿足了啟明星辰等公司進入北京奧運會提供網絡安全服務的資質要求。目前信息安全服務資質認證已擴展到風險評估、災難備份、安全集成、軟件開發、安全運維等領域，頒發證書近700張，塑造了權威服務認證品牌，并成為政府機構及企業采購招標的重要條件。
信息安全從業人員的信息安全意識和專業技能是決定信息安全防護水平的關鍵因素，對此西方國家都建立了信息安全人員認證制度，并不遺余力推動。在我國，由于國家政策要求和各機構加強自身安全保障的雙重驅動，這一需求尤其強烈。信安中心急企業之所急，創新開展了信息安全保障人員認證，目前已涵蓋安全集成、安全管理、風險管理、安全運維、軟件安全開發、電子政務安全、CA認證等16個專業方向，頒發證書5000余張，較好地滿足了社會需求，為我國信息安全保障事業的發展交上了一份滿意的答卷。
信息安全認證高度依賴檢測技術，加強信息安全技術研發，著力提高核心競爭力是信息安全認證中心主動開辟的又一戰場。
與國外相比，國內檢測技術方面的短板還是比較明顯的。具體表現為“三缺”：一是對某些關鍵產品和服務，因缺少基于度量理論的評價指標體系和標準，或缺少檢測所需的技術和方法等，存在“評價不了”的問題；二是因缺乏一致性溯源，檢測結果不確定度未知，存在“評價不準”的問題；三是因缺乏對關鍵產品和服務整體質量風險的監測技術手段，難以評估認證有效性，存在“評價效果不明”的問題。同時由于信息安全的敏感性，檢測技術的國際交流十分困難，沒有現成的經驗可以借鑒。信安中心緊密跟蹤國內外最新政策和技術發展動態，堅持自主創新并持續發力，籌建了國家信息安全基準實驗室和國家信息安全產品質量監督檢驗中心，于2015年正式獲批，其能力建設水平被專家評定為“國際先進、國內領先”?；鶞蕦嶒炇?、國家質檢中心的建成及投入使用，填補了國內外信息安全檢測領域結果質量控制、溯源體系的空白。2015年質檢中心首次承擔了網閘產品的質量監督抽查工作，2016年又首次承擔了無線路由器、移動支付終端（軟件）2種重點工業產品信息安全風險監測任務，首次將國家產品質量監督手段引入到了網絡安全領域，進一步強化了質檢對國家網絡安全保障的支撐作用。
十年間，信安中心申請并承擔了國家863計劃、“十二五”科技支撐計劃、國家發改委信息安全專項等24項重大課題，產出了一批重要成果，制定發布了29項國家、行業標準，獲得軟件著作權9項；持續開展基準樣機、檢測工具、基準庫指標管理系統、基準檢測方法等技術研究，不斷完善和提升技術實力，檢測能力覆蓋率超過85%，為國家信息安全保障工作提供了強有力支撐。
十年間，信安中心不斷強化自身建設，設立了7個分支機構，建立了一支專業化人才隊伍；建立起了一體化、全覆蓋的質量管理體系、行之有效的戰略性績效管理制度、客戶服務體系和營銷體系；扎實推進黨建工作和黨風廉政建設，在質檢總局直屬單位中率先建立了廉政風險防控管理體系，率先發布了《風險管理程序》，推進了廉政風險防控與質量管理體系的融合。中心連續獲得并保持“國家機關文明單位”稱號，中心黨委多次獲評國家質檢總局和國家認監委先進基層黨組織。
當前，網絡安全成為熱點話題，政府關注，企業重視，群眾關心。而“十三五”期間，信息安全認證對象、認證模式、檢測認證手段等都將面臨著變革和發展的嚴峻考驗。
11月7日，我國發布了《網絡安全法》，從法律層面進一步的明確了檢測認證工作在網絡安全領域的重要作用，這對信息安全認證的推廣和采信將帶來前所未有的機遇，也將帶來新的發展動力。