信息安全中心陈晓桦:安全服务资质认证

本文讲的是信息安全中心陈晓桦:安全服务资质认证,2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,中国信息安全中心陈晓桦主任谈论了有关信息安全应急处理服务资质认证的问题,下面为谈话实录:

  周勇林:大家有所了解,信息安全认可认证,是我们国家信息保障体系一个重要内容,通过信息安全成立以来,我们做大量的工作,下面请陈晓桦主任来谈一下信息安全应急处理服务资质认证介绍。大家欢迎。

  陈晓桦:为了做好这个报告,我重新更新一些内容,加入新的内容。刚才报告当中,也提到一个电子政务。无论是外包还是内包涉及一个安全的问题,是一个信息安全服务的问题。

  跟大家交流一下,我们做信息安全处理服务资质认证介绍。这么几个方面:

  第一,什么是信息安全服务?

  第二,信息安全服务分类原则。

  第三,信息安全服务资质管理意义及思路。

  第四,信息安全应急处理服务资质认证工作介绍。

  我们来介绍中国信息安全中心,在信息安全应急处理服务资质认证方面开展的工作。信息安全应急处理服务资质认证:是安全的服务,服务的安全。实际上大家可以理解,现在医院动手术,是一个良好组织要承担责任,这个是服务安全。但是我们说今天讨论信息安全服务有一个国际标准,现在信息安全服务是经营商等安全组织,企业事业单位等提供一个过程,在这个期间当中,所干的事情。那么国家尤其是重要行业包括个人涉及个人数据的时候,个人委托信任的问题,讨论是这么一个含义。服务的资质,重复讲是资质,人要有身份证。有这种资源,它的管理水平跟制度等,应该考虑这么多方面。比如法律地位,税收政策,员工社保证明等,这是国家跟行业需要考虑的问题。比如说工信部要考虑人员的问题。CNCERT电子建设的单位,你应该采取什么?你应该有什么管理模式?所以管理角度是不一样。我现在提的方面,从国家、行业来说,谁为我们用户提供的服务。资质认证是根据国家标准或者行业标准和技术规范,按照技术规范跟认证规则提供服务组织机构。人员也要管,就是通过资质方式来做。

  下面简单了来谈一下,结合我国信息安全服务现存的类别及可以归结无以下几种主要服务类型:1、应急处理;2、风险评估;3、灾难恢复;4、系统测评;5、安全监理;6、安全咨询;7、安全培训;8、安全审计;9、安全运维;10、其他服务。分类的目的不是给厂家发一个证书。随着社会发展和专业化,我们觉得仅仅提一个信息服务,这个概念不够。现在主要哪些服务类型?我们要立即处理。全世界出现最早的问题,计算机效应安全小组,出现之后,当时是一个大学跟BSA合作。应急效应,拿一个保障不出问题。信息有很多,有出现很多意想不到的问题,也需要人应急处理。在国际上出现这种管理,制度化也是比较标准。在国际上出现是事件描述方式。

  第一,标准技术规范跟经验,包括队伍的管理。

  第二,我们国家开展比较多,也是以前工信办提供风险评估,人家的出发点等一些问题,反正在我国风险评估也是很重视这一块。那么灾难跟应急不一样,灾难出问题跟事件不同,灾难是出现非常危机的情况。比如说安全运行、安全培训等。我在这里接你一个电话,回答你一个问题,我叫做应急服务。还有到现场做一次扫描也是一次服务。现在来说,这几种,现在叫得出名字,如厂家也好都是用这种服务。由于时间的原因,因为国家的标准,行业的标准也出来。应急处理对计算机的系统或者网络不当的行为进行了一个标识,进一步处理,让这个系统恢复的正常。

  再一个风险评估,灾难恢复、系统经营、审计等其他的部门。随着信息技术的发展,随着厂家的创新,服务模式创新,我们还会提供其他的服务。那么国际上也对这些服务有一些分类:技术管理服务、服务等管理是关注组织机构内,管理安全风险能力,这种管理可以做外包,也可以自己做管理安全程序。另外是一个技术服务,新型技术系统的服务比如流动清晰,安全监控是否正常运行,今天的安全服务都在服务模式创新。你这样外包过我,我从远程来监督你,这也是比较好的方式。

  再一个是安全运行,定义也非常清楚。人所执行安全服务。那么,实际上在我们国家从行政部门来说,技术是外包,或者是购买其他的服务,出台的政策是防火墙如何?你的自己结构管理水平如何?你的安全是否符合国家标准?会有很多方面的考虑。对于国际上的服务,还有其他的对比。刚才的对比,如果分两部分:哪些属于管理?风险管理体系架构。技术类也讲几种,比如整个事件的处理过程等。我们国家信息安全应急处理资质怎么管理?但是我们回顾一下管理系统。先说外国,比如说英国跟美国,发达国家他们的组织机构跟人员安全背景进行了审查。这个安全背景的审查比较严格,尤其是工业机密还没有涉及国家机密。它会涉及到这些,比如偷税、漏税全部在里面,你在国外居住的时间或离多次婚。尤其这些接触国家机密,这是国外的管理。

  另外,对机构实施安全管理。通过采购政策进行的管理。那么采购政策,尤其是政府采购,我们国家还没有加入JPC。当初,联想要兼并某一个公司,也造成封杀,联想也有受到很多苛刻的条件。在国内也有,但是我们国家信息化服务资质有通信不足的问题。那么后来就出现国家保密局的,对于政府摄利行为也受到的一定的影响。再一个,工信部做CP避免了另外一个问题,证书服务的管理。北京信息化办公厅也做一些类似的事情。

  那么是否对于我们国家几级以上风险评估工作有一些资质管理,也存在这种工作。在今天主办方协调中心对于应急处理服务管理,也有一个管理中心,是协调共同互联网的管理中心。协调中心依托全国很多应急处理有的力量,也是授权管理。这些都是为国家应急服务资格管理,这是最大的地方包括行业的管理标准。第三方的政务管理中心,还有我原来工作的单位——中国信息安全认证中心,发了一个资质认证。这些存在什么样的问题?法制法律的安全问题、服务机构可信度、包括名誉问题等还有市场缺乏有效的规范,服务标准的问题。现在看到具体的服务标准能够找到是什么?行业标准等。其他都是国家标准技术标准,不是服务标准。你要把技术标准系统标出来:一个是互联网迅速发展,这些网络成为生活当中离不开网络化。那么应急也是强调在医院动手术一样,处理不当,正常器官切出来,在现场造成不可挽回的东西。应急对它的要求跟法律要多加考虑,能接触的东西,跟你正规接触的东西是一样。你把核心的东西打开比如救火一样。它会道路不当,要加强管理,对应急的要求是比较高。在昆明某一个会议,我也参加,获得证书授权是一种光荣,更是一种责任。

  下面,汇报一下,开展应急处理服务资质认证的活动。当时对信息安全应急处理服务经过资质,那么觉得授权是一个很好的办法,授权之后,对这些服务有效的评价,怎么对他们科学的评价,也可以引见一些国际跟我国的认证标准。首先根据协调中心一个规范,做成一个行业标准,依据行业标准才做认证。认证、它的授权、技术处理上,中国信息安全中心也有审核。比如一个评审员,用一些专业的问题来回答,在现场的观摩等情况,是否按照你写的文件来执行,回答之后有一个回顾,授权跟我们认证结合之后,我们对这个队伍管理,规范性提升了一个层次。刚才周局长也讲很多情况,然后安全事件总得了一个结论,信息安全事件也逐年增长。我们国家公布一个数据,我们网络数据已达到3.38个亿。介绍一下,周局长没有介绍完之后,CNCERT做三次选拔,在04年,国家对公共互联网运营单位这一块出的问题,影响就很大。他搞一个试点单位,07年6月,就搞一个改选活动,一共27家省级,那么当时就有35家。在08年奥运会之前,认证之后,38家有资质认证书。当然依据的标准主要是行业标准。信息安全应急资质认证依据行业标准来进行了规范。应急资质认证也有什么重要性,在这里就不展开了。在这个标准里面,我们回顾一下,服务资质评估办法。从行业标准角度做比较概念的来讲:程序事件,网络攻击事件,信息破坏事件,信息内容安全事件,设备设施故障,突发性事件,其他信息安全事件。有的时候,单位要求四小时之内能够清除掉,这个资质要求里面,提出来四个方面:基本要求,基本能力,管理能力,技术能力,应急服务能力等,这个技术能力根据国际标准来,当时分布六个点。从规范性程度来讲,我们提出经验的总结,应该有六个总结的阶段。通过工具的方式,也一一带过,包括应急处理完之后,你该不该做意见,或者提出其他的要求之内,都在标准里面做到。评价方法有这么多内容,要一一了评价。

  比如说,在去年八月,协调中心跟我们一起联合发布认证书的经过一年之后,我们这些标准也提出一些修改。对于在更大范围,不仅是通讯行业,可能在其他行业有一定的参考。由于时间的原因,我也不讲,标准方面有很多修改,就不讲。

  那么由于时间原因,我今天就介绍这些。谢谢大家。

作者:King

来源:it168网站

原文标题:信息安全中心陈晓桦:安全服务资质认证

时间: 2024-11-05 12:13:00

信息安全中心陈晓桦:安全服务资质认证的相关文章

什么是信息安全服务资质认证,企业怎么获取认证

问题描述 什么是信息安全服务资质认证,企业怎么获取认证 解决方案 解决方案二:信息安全服务资质认证介绍一.信息安全服务(工程)资质认证的必要性:1.信息系统的核心是什么?答:是安全2.如何保证系统是安全的?答:按照安全需求把安全需求等级化:在建设和加固时按照标准实施:需要精通安全技术.管理.安全法规的集成企业3.谁能来给我进行安全等级保护安全设计和施工?答:信息安全服务(工程)资质告诉你二.安全等级介绍1.国家法规和标准对信息安全保护分几级?答:分5级2.如何在集成中应用?根据系统影响划分↓确定

娱玩游戏陈晓影:平台以量取胜对中小开发者不利

娱玩游戏平台执行副总裁 陈晓影 和讯科技消息 第八届全球移动游戏及渠道大会于4月10日在北京召开,本次大会将以"干货与签约"为主题.娱玩游戏平台执行副总裁陈晓影在演讲中表示,大多数的平台是以量取胜的,不管有多少游戏,可能根本不经过测试.不经过筛选,都会让你上平台.可是实际上这种以量取胜的平台,会让一些中小开发商的产品很难吸引到用户,很有可能游戏在上线以后没多长时间,就已经会石沉大海. 以下为陈晓影演讲实录: 娱玩是一个完全全新的平台和名字,所以其实在今天,我也许不是像上方网说的那个主题

“风车网”CEO陈晓峰书写经验

引子 去年4月份,因为种种原因,离开了干了4年的百度.当初也没有想过创业或者内部创业,正如许多百度技术出生的经理一样,厌倦了各种系统架构与协调配合,也厌倦了与一群PM合作,希望能够做点自己喜欢的事情.离开百度后进入了一个社交游戏公司,这个时候人人HR找到了我,说是高层希望见面认识认识,结果过去一顿面试,开始让我过去负责糯米的产品和技术,我拒绝了(不是不喜欢团购,是这些产品都太像了,糯米那个时候是半个pm兼职) ,然后说有个人人和艺龙合资的内部创业项目"风车"(开始叫蜻蜒,后来由于一些原

陈晓离职张大中出山黄氏管理复兴在即

阳春二月,北京昌平小汤山附近的秦城监狱,杨树还都没有发芽,于此服刑的黄光裕心里却满满鼓荡着春的气息.3月9日晚间,国美电器(0493.HK)正式对外发布公告称,陈晓辞任董事会主席.执行董事.执行委员会成员兼主席及授权代表职务:孙一丁辞去执行董事,但继续留任公司副总裁职务.张大中出任国美电器非执行董事及董事会主席,各项人士变动均于2011年3月10日生效.至此,由黄光裕 提出.2010年国美电器"9·28"特别股东大会的五项动议,分 三步完全兑现,黄光裕获得了国美争夺战表面上的"

靠做连锁发家永乐董事长陈晓身价从70万增到8亿

1992年,陈晓就任永乐家电公司的常务副总经理,4年后该公司倒闭. 之后,由所属的"上海永乐精品商厦"."上海南汇精品商厦"."上海永丰房地产开发公司"为主体,与陈晓.束为.刘辉.束唯一.孙文娟等12个自然人,共同投资600万元重新建立了新的家电批发公司---上海永乐家用电器联销有限公司(现在永乐的前身),重新打起了"永乐"的旗号.陈晓当时仅出资70万元占股11.6667%,束为出资25万元,刘辉40万元. 彼时,黄光裕已经完

联手陈晓与君联资本李海超做二手车

本报记者 郝凤苓 上海报道2012年3月15日,再次见到李海超.相比两年前,他的变化挺大:不仅体重增加了,头衔也变"重"了,作为51汽车创始人,李海超又创办了一家公司--车王二手车,前者是一个互联网信息平台,后者是二手车零售超市,属于不折不扣的重资产型企业.要在中国二手车市场有所作为,李海超的这个想法始于2005年.是年9月,他创立了51汽车网,目标是打造中国最大的二手车信息平台.2006年1月,51汽车即获得德同资本等约500万美金的投资,不久后又引入第二笔资金,两轮共融资约1000

陈晓燕:妙用五线谱编奏精彩课件

■ 文/陈晓燕 众行集团课件的质量,决定了课程的效果.AACTP(美国培训认证协会)运用"五线谱"编奏课件,再加上培训师的演绎,让课程的"乐谱"立体地呈现在学员眼前.课程设计的"五线谱"究竟与音乐世界中的"五线谱"有怎样的异曲同工之妙?课程设计新手和企业内训师,该如何运用"五线谱"原理进行课程设计呢?怎样才能验证"五线谱"设计的课程的合理性和质量呢?课程设计的五线谱在音乐的世界里,五线谱

未申请互联网地图服务资质的单位不得从事互联网地图服务

国家测绘地理信息局近日通知要求,自2月1日起,未申请互联网地图服务资质的单位一律不得从事互联网地图服务. 记者今天从国家测绘地理信息局获悉,截至1月31日,全国共有151家单位获得了甲级互联网地图服务测绘资质证书,有128家单位获得乙级资质证书,国家测绘地理信息局已基本完成了对目前已知互联网地图服务单位的资质发证工作.受到外界关注的谷歌合资公司北京谷翔信息技术有限公司的互联网地图服务测绘资质正在审批过程中. 国家测绘地理信息局有关负责人表示,互联网地图服务基本纳入了法制化.规范化管理的轨道,对提

国美:陈晓路演完成 获42%股份机构投资者支持

黄光裕方面回应"9月28日方见分晓"前日晚间,国美在香港公告发布关于本月28日临时股东大会的登记公告,而以陈晓署名的这份公告仍不忘拉票,呼吁全体股东支持国美现有管理层的3项提议,反对大股东黄光裕家族的5项提议.本报讯 (记者刘新宇)国美发言人昨日称,陈晓目前已基本完成海外路演工作,近两日就将回到国内.陈晓"通过路演和日常沟通的方式","已经与持有国美42%的股份的机构投资者交流过,其中没有一位基金经理赞成以黄先生提名的人选替换我们现有的董事".听