1997年初,经×××信息化工作领导小组批准,×××信息办立项筹建“中国互联网络安全产品测评认证中心”。1998年7月,中心建成并通过国家验收。×××副总理专门发来贺信。1998年10月,经国家质量技术监督局授权,成立“中国国家信息安全测评认证中心”。再经过4个月的评审、整改和复查,通过“中国产品质量认证机构国家认可委员会”和“中国实验室国家认可委员会”的认可。
1999年2月,国家质量技术监督局批准了中国国家信息安全测评认证管理委员会的组成及其章程,批准了信息产品安全测评认证管理办法、首批认证目录和国家信息安全认证标志。自此,中国国家信息安全测评认证中心可正式对外开展信息安全测评认证工作。
中国国家信息安全测评认证中心(CNISTEC)是依据《×××产品质量法》、《×××产品质量认证管理条例》和国家有关信息安全管理的政策、法律、法规,按照国际通用准则建立的代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评价的技术职能机构。
-
CNISTEC按照国家质量技术监督局发布的认证产品目录,依据有关标准和规范开展国家信息安全测评认证。中国国家信息安全测评认证中心对外开展四种认证业务:
产品型式认证:
对认证申请者送达的样品进行型式试验(测试评估),若符合标准要求,即予认证。获取证书后,认证中心再从市场和或工厂(车间)抽样,对其进行核查试验即监督检验,若检验合格即维持认证,否则取消认证。
产品认证:
对认证申请者送达的样品进行型式试验(测试评估),同时对申请者的质量体系(即质量保证能力)进行检查、评审。这两方面都符合有关标准要求,则予以认证。获取证书后,认证中心再从市场和或工厂(车间)抽样进行核查试验,即监督检验,同时对其质量体系进行监督性复查,若两方面都合格,即维持认证,否则取消认证。
信息系统安全认证:
对认证申请者的信息系统设计方案和安全设计方案进行静态评估,对构成信息系统的物理网络及其有关产品进行认证(由产品生产商另行申请)、对信息系统的运行和服务进行实际测试评估,对信息系统的管理和保障体系进行评估验证。上述四方面若均符合有关标准和规范要求,则予以认证。获得证书后,对上述四方面进行监督检验、监督检查,若监督检验、检查合格,则维持认证,否则取消认证。
信息安全服务认证:
对认证申请者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,对其质量体系进行评审,若符合有关标准、规范,则予以认证,获取证书后,对上述各方面进行监督性核查、验证,核查、验证合格,即维持认证,否则取消认证。
中国国家信息安全测评认证中心具有两方面的服务功能。一方面面向社会,面向产业和市场,对有关厂商和用户提供技术服务;另一方面,则是面向国家,为信息安全各主管部门进行有关行政管理、执法时提供技术支持。经过半年多的运行,中国国家信息安全测评认证中心已在测试环境、测试设备、重要标准和基本测试方法、评估方法和专业人才培养等方面,基本形成了测评认证的能力,并有成效地开展了对外服务,下一步的工作重点,则是稳妥地推进相关测试分支机构的建设,更加主动地为业界服务,为信息安全各主管部门服务,全力推进我国的信息安全标准体系的建立健全,深入地研究总结信息安全测试技术,为国家进一步完善对信息安全的行政管理和技术管理作出应有的努力。
信息安全是一个涉及各方面利害关系甚深的敏感问题,大家都越来越强烈地关注这一问题,我们相信,按照国际惯例,我国的信息安全测评认证,经一段时间的运作,相应产品进入流通领域时将逐步实施强制性监督管理:即,不通过认证不得销售和使用。从而把国家信息安全综合管理中的质量监督、技术控制和产品市场准入、用户采购使用等方面,更科学的规范起来。