此文献给中国信息安全认证中心成立三周年

大鹏一日同风起 ——谨以此文献给中国信息安全认证中心成立三周年        信息安全产品强制性认证顺利实施；信息安全服务资质认证破茧而出；信息安全管理体系认证实现快速发展；信息安全系列培训课程依次开班；承担的国家863计划、国家科技支撑计划重大课题等捷报频传；“中国信息安全认证中心战略研究报告”发布实施……从成立到步入正轨仅仅3年时间，中国信息安全认证中心励精图治、勇立潮头、求新求变，实现跨越式发展，取得了一系列骄人成绩。     3年“蓬勃发展”、3年“蒸蒸日上”、3年“硕果累累”，翻开中国信息安全认证中心的大事记，你会发现，用这样的词汇概括中国信息安全认证中心这一认证新锐毫不为过。     3年来，中国信息安全认证中心踏着改革创新的节拍快速成长，以弯道超越的速度实现业务大发展，在一切从零开始的起点上，从小到大、从弱到强，为认证事业描绘了更加多彩的篇章。     以保障国家信息安全为己任     2009年，信息安全界似乎就没有真正安宁过。到7月份的韩国各大网站遭黑客攻击而瘫痪4小时，以及频繁发作的病毒破坏、信息诈骗、网络攻击和窃密、垃圾信息骚扰事件及信息安全问题层出不穷。有调查表明，目前我国与互联网相联的网络节点95%都遭到过攻击或侵入，其中银行、金融机构和政府网站是攻击重点，信息安全问题已经引起人们的高度关注。     信息安全产品和技术是保障信息安全的重要支撑。在信息安全领域，采取认证制度来保障产品和系统的安全性是各国的通用做法。党中央、国务院对信息安全认证工作高度重视，提出要进一步推进认证认可工作，规范和加强信息安全产品测评认证工作，并作出了一系列重大部署。2006年11月17日，经中编办批准，中国信息安全认证中心正式成立。     信息安全认证中心成立之始，首先面临的是制度环境、技术环境和市场环境带来的严峻挑战。如何才能冲破阻力、推动工作有序发展，从而在保障国家信息安全的进程中发挥应有作用？受命于关键时刻的中心领导班子审时度势，科学决策，带领一支年轻的队伍，打响了奠定基础、开发技术、拓展业务的攻关战役。     产品认证业务是一种非盈利性业务，是中心的先导业务，也是一块难啃的“硬骨头”。突破产品认证既可体现中心核心价值，也可“牵一发而动全身”带动其他业务发展。     启动统一的产品认证可谓困难重重。既涉及与相关部委原评价、许可或采购管理的衔接，又涉及与检测机构、政府采购的合作与配合，协调工作量大、面广、环节多，而诸多技术文件欠缺，更需从头起步。     责任在肩，使命如磐。困难只能让弱者低头，强者只会迎难而上。协调工作难，但协调一次不成，再来第二次，有异议再继续……缺标准、缺规范、缺规则怎么办？加班加点，集体攻关；面对国外的质疑，顶住压力，沉着应对。短短3年的时间里，中心在协助国家认监委大力推动信息安全产品认证制度实施的同时，编制了近百万字的技术文件，中心“四大业务”全面启动，亮点频现。     ——信息安全产品认证顺利启动。2009年4月27日，国家质检总局、财政部、国家认监委联合发布公告，决定从2010年5月1日起，对防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种产品，在政府采购法规定范围内实行强制性认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。短短4个月后，首批国家信息安全产品认证证书问世。中心8月28日在京召开颁证大会，向北京启明星辰信息安全技术有限公司等14家企业颁发了首批34张认证证书。这表明，国家信息安全产品认证制度顺利实施。同时，根据市场需求，中心还确定了自愿性认证的9类、近20种重点产品，启动了自愿性产品认证业务。     ——信息安全管理体系认证实现快速发展。管理体系认证是中心率先开展的业务，继2007年10月22日向中国信达资产管理公司颁发第一张证书以来，中心针对当前信息安全管理体系认证市场的具体情况，采取“扬长避短，培育重点客户，以点带面，由面到区域”的市场策略，将政府、行业主管部门对有关企业的获证要求、资助政策作为开拓体系认证市场的第一推动力，优先发掘大中型客户，同时兼顾优质小型客户，体系认证市场正稳步扩大。截至目前，中心已颁发信息安全管理体系和信息技术服务管理体系认证证书19张。认证企业类型已从原先的以金融为主，到现在的覆盖金融、电力、软件外包等多个领域，呈现出快速增长态势。     ——信息安全服务资质认证取得突破。从参与制订YD/TI1799-2008“网络与信息安全应急处理服务资质评估办法”着手，对承担奥运应急保障服务的支撑单位开展了资质认证工作，于2008年7月8日颁发了国内首批、23张信息安全应急服务资质认证证书，为奥运会的顺利举办作出了贡献。中心还计划适时开展其他类信息安全服务资质认证业务。     ——信息安全系列培训业务逐步展开。为满足政府和企业需求，先后启动了信息安全标准培训、信息安全管理体系审核员培训、信息安全咨询师培训。同时借力引智，与北京邮电大学签订联合培训协议。规模培训可望迅速展开。     此外，中心还立足认证需要，瞄准国际前沿，紧密跟踪国内外信息安全动态，取得了一批科研性成果。     中国信息安全认证中心，一个知名的认证品牌正在叫响。     以打造一流的认证机构为目标     推进事业发展，必须打造翱翔之翼。     信息安全认证是交叉学科，涉及门类多，技术含量高，需要大量既懂认证管理、又掌握信息安全知识、还熟悉认证业务的复合型人才。成立之初，中心坚持“多条腿走路”策略，从相关部委、社会机构、应届毕业生中选用了部分专业骨干，组建起信息安全认证基本队伍。具有相关专业背景、硕士以上学历者达到了70%，博士超过20%。     “但学历不等于能力，事业要想发展，必须大力实施专业技术人才岗位教育和能力素质建设计划。”中国信息安全认证中心主任魏昊表示。     认准的目标马上实施。于是，一系列力度大、内容多、3年贯穿始终的培训计划从成立伊始就迅速铺开。采用邀请外部专家举办讲座、安排内部专家授课等方式，中心连续3年策划安排了几十个培训项目，内容涉及认证技术培训、营销业务培训、管理知识培训，同时采取送学培训、参观见学、轮岗锻炼等方法，多渠道、多层次地提高员工能力和素质，建立了包括国家科技进步一等奖获得者在内的一支高素质的职工队伍、专兼职体系审核员队伍、信息安全资质认证评审员队伍、信息安全产品检查员队伍、信息安全培训教师队伍，为信息安全认证事业发展提供了人才保证和智力支撑。     围绕提高认证质量和有效性，中心建立运行了质量管理体系，并持续通过了中国合格评定国家认可委员会每年组织的现场监督评审。同时建立健全了内部规章制度，形成了有章可循、运转有序、持续改进的管理秩序。     坚持以客户为关注点，进一步完善认证前、中、后服务体系。完善受理申请途径，从客户一般性问题咨询、技术问题咨询，到认证计费、合同签署，到证书发放、认证公告，到客户售后服务等，实行“一站式服务”。通过调查，获证企业对中心提供服务的满意度达到100%。     努力加强信息化建设。通过招标方式确定了承建商，以“网上申报、网上办公”为主要功能的业务信息系统可望于年底建成并投入运行。同时，中心建立了自己的网站，通过技术创新和改版，进一步强化了网站在发布信息、强化宣传、服务组织等方面的功能。为确保中心自身的信息安全，还加强软硬件建设，严格落实内外网物理隔离措施，既方便了职工日常使用，又确保了全年信息安全无事故。     努力加强党建工作。充分发挥党组织的战斗堡垒作用和党员的先锋模范作用。建立了党委、党支部两级组织，建立健全了包括学习制度、“三会一课”制度、民主生活会制度、党员培养发展制度在内的各项工作制度，卓有成效地开展了党务活动。党组织的凝聚力不断增强，中心三分之二的群众向党组织递交了入党申请书。     努力加强机构文化建设。设立了乒乓球室、文化阅览室，成立了篮球队、乒乓球队、羽毛球队，开展了丰富多彩的文化活动。面对国内外市场竞争的新形势，中心总结、提炼和培育了鲜明的中国信息安全认证中心核心价值观和认证机构精神，树立了与市场经济相适应的管理理念、发展理念、质量理念、人才理念、创新理念、安全理念等，形成了关注细节、追求卓越的认证机构文化精神，构建起了和谐的机构文化。     中国信息安全认证中心，一个和谐、务实、进取的团队形象日渐突显。     以科学发展战略为引领     当前，信息安全形势日新月异，各类组织对信息安全认证的需求日益高涨。     如何才能适应信息安全认证新形势的需要，理清发展思路，确保信息安全认证科学发展？这是摆在信息安全认证中心领导班子面前的一项重要课题。     未雨绸缪，彰显智慧。     2008年10月，中国信息安全认证中心在开展学习实践科学发展观的同时，同步启动了“中心发展战略规划项目”。为推进这一工作，中心成立了以主任魏昊为组长的战略研究领导小组来组织领导，成立了由全体员工参与的若干项目小组分头推进，同时聘请专业咨询公司协助和指导。项目研究组着眼当前，立足长远，采取外部调研与内部调研相结合、案例分析与比较分析相结合、国际视野与国内分析相结合的方法，对信息安全认证的实际社会需求、制度环境、技术基础、市场环境、发展趋势进行了深入探讨，并通过科学评估，多层面、分阶段、有的放矢地确定了中心未来发展目标、战略任务、保障措施以及战略管理机制等，使战略规划体现出了较强的针对性、可操作性和前瞻性。     战略制订中，中心领导亲历亲为，全体员工热情参与，建言献策。战略的制订过程，是中心上下结合、内外联动、全面调研的过程；是自我剖析、明确方向、确定目标的过程；是凝聚智慧、统一思想、提升信心的过程。     5个月后的2009年4月7日，这部凝聚中国信息安全认证中心全体职工心血的《战略研究报告》结题成文并发布实施。对此业内专家给予广泛好评，称“报告设计科学，方向明确，措施具体，表明中国信息安全认证中心的事业发展步入了战略管理轨道，开始运用战略管理机制，推进战略目标的实现”。     “努力开创一个更安全的信息社会，成为信息安全的信心保障者”     ——这是战略中的“中心愿景”。     “因信而立，以诚得远，有聚乃强，常新至善”     ——这是中心“价值观”。     “通过我们的努力，使认证制度成为保障信息安全的有效机制；使认证服务成为促进信息安全产业发展的强大动力；使认证结果成为信息安全市场采信的权威信息；使我们每一项业务成为传播信息安全认知的专业平台”     ——这是战略中的“中心使命”。     客户的评价是对使命最好的诠释。     “在中国信息安全认证中心的帮助下，该公司于2008年通过了ISO20000IT服务管理体系和ISO27001信息安全管理体系认证。借助这一手段，该公司在保障信息安全、提高IT服务质量和管理效率方面取得了长足的进步，赢得了监管部门和社会各界的信任，为提高公司的信誉和市场影响力，为公司走向国际大舞台发挥了重要的作用。”首张信息安全管理体系认证证书获得者——中国信达资产管理公司信息技术部缴远总经理如是说。     让更多的像信达公司一样的各类组织借助信息安全认证手段规范管理、提升资质优势，实现更好更快地发展，正是中心的使命。     3年时光，中国信息安全认证中心已经立足市场，展露影响；3年时光，中国信息安全认证中心已经羽翼渐丰，欲展翅翱翔。3年后，中国信息安全认证中心必将蒸蒸日上，铸就辉煌。     始于足下的路，日积跬步，终致千里。