CISP-01-信息安全测评服务介绍中国信息安全测评中心2010年01月-2-主要内容主要内容中国信息安全测评中心简介中国信息安全测评中心资质国家信息安全测评体系信息安全保障服务研究与实践-3-中国信息安全测评中心简介中国信息安全测评中心简介中国信息安全产品测评认证中心是经中央批准成立的、代表国家专门从事信息技术安全测试和风险评估的权威职能机构。测评中心是国家信息安全保障体系中的重要基础设施之一,在国家专项投入的支持下,拥有国内一流的信息安全漏洞分析资源和测试评估技术装备;建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室;具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。-4-中心标志中心标志中国信息安全测评中心标志英文名称为:ChinaInformationTechnologySecurityEvaluationCenter简称:CNITSEC。-5-中心的筹备与建立中心的筹备与建立中国信息安全产品测评认证中心筹建于1997年1998年7月以“中国互联网络安全产品测评认证中心”的名称试运行1998年10月经国家质量技术监督局授权成立了“中国国家信息安全测评认证中心”2001年5月,中编办字[2001]51号文件正式批准了认证中心的职能任务和机构编制,将认证中心正式定名为“中国信息安全产品测评认证中心”2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。-6-胡锦涛同志批示:信息安全事关国家安全,必须予以高度重视。在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心”国家领导批示国家领导批示-7-2006年10月25日国家主席胡锦涛同志再次批示:加强测评中心的建设,明确职责,发挥其作用,以排除隐患和漏洞。国家领导批示国家领导批示-8-测评服务范围测评服务范围依据中央授权,测评中心的主要职能包括:;信息安全漏洞分析;信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务。-9-序号服务内容信息技术安全性测评认证测评分级测评自主原创证明源代码安全性测试选型测试定制测试信息系统安全性测评风险评估风险评估网银评估等级保护测评系统测评系统渗透性测试信息安全服务资质认定信息安全工程服务资质信息安全灾备服务资质信息安全运营服务资质注册信息安全人员认定注册信息安全专业人员资质注册信息安全员资质信息安全咨询与监理信息系统安全工程监理涉密信息系统安全工程监理信息安全管理体系咨询信息安全保障体系规划-10-信息安全产品认证(共667个)629款产品通过型号认证16款产品通过EAL3级认证22款产品通过EAL4/EAL4+级认证•信息安全服务资质认证(共124家)139家信息安全服务商通过信息安全服务资质一级(安全工程类)认证12家信息安全服务商通过信息安全服务资质二级(安全工程类)认证•注册信息安全人员认证(共2050人)约2050余人通过注册信息安全专业人员(CISE/CISO/CISA)认证•信息系统安全测评与认证(共141项)国内近120个信息系统通过信息系统安全测评,其中•19个系统达到信息系统安全保障能力级一级•6个系统达到信息系统安全保障能力级二级•以上数字截至2008年7月-11-信息安全领域研究信息安全领域研究技术研究:中心的科研队伍一直致力于信息安全领域尤其是信息安全测评技术领域的深入研究。自成立至今,已承担了国家“863”计划、国家“973”计划、国家自然科学基金委员会、科技部、国家发展和改革委员会等多个国家重点科研项目。其中《国家信息安全发展战略研究》、《系统安全风险分析和评估方法研究》等国家“863”计划课题受到国务院信息化工作办公室等指导单位的高度赞扬。-12-信息安全领域研究信息安全领域研究标准制定:中心组织并参与了包括国家标准GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》、《信息安全保障等级评估框架》、《电子政务信息系统安全保障评估准则》、《网上银行系统安全保障要求》、《网上证券委托系统安全保障要求》、《应用级防火墙安全技术要求》、《信息安全服务评价准则》、《信息安全工程质量管理要求》、《电信智能卡安全技术要求》等在内的多个信息安全测评标准的编制工作。-13-中心出版物中心出版物编写并出版了《信息安全理论与技术》、《信息安全工程与管理》、《信息安全标准与法律法规》,国家注册信息安全专业人员资质认证选用了该丛书作为参考教材。-14-中心出版物中心出版物作为国家测评认证服务职能的一个重要体现,中心每年都出版《信息安全产品政府采购指南》,该指南现已广泛应用于国家各级政府部门及重要行业单位的信息安全采购工作中。-15-中心出版物中心出版物从2003年开始,中心以双月刊形式推出《国家信息安全测评认证》杂志,为业界提供了一个信息安全技术交流平台。-16-组织编写了《信息安全国际视野丛书》《信息安全保障的手段和工具-俄罗斯信息安全产业情况(上、下册)》《关键信息基础设施保护-十四国安全保护政策陈述和分析》《信息安全的科技支撑-美国信息安全产业研究》《信息时代的国家安全防护网-美国访客系统》《网络时代的安全治理-美国信息安全管理体制研究》编委会顾问包括(按姓氏笔画排列):曲维枝、何德全、周仲义、沈昌祥、蔡吉人、王渝次等-17-国际交流国际交流中心自成立以来,一直担负着国家赋予的与世界各国相应测评认证机构进行国际交流与合作的职责。目前,中心已代表我国参加第一届(美国)、第二届(英国)至第八届“信息安全测评认证标准与互认国际会议”。与美国、俄罗斯、英国、法国、德国、新加坡、日本等国家开展信息安全测试评估技术的交流、讲学等技术交流活动。-18-国际交流国际交流2003年2月,中国信息安全测评中心受国家发展和改革委员会委托,代表中国政府与美国微软公司签署了政府安全计划(GSP)源代码协议,并于2006年2月将该协议续签。-19-主要内容主要内容中国信息安全测评中心简介中国信息安全测评中心资质国家信息安全测评体系信息安全保障服务研究与实践-20-认证中心的资质认证中心的资质中国信息安全测评中心——是正局级事业单位,隶属于国家质量监督检验检疫总局;其职能任务和机构编制是经中央编制委员会正式批准的;中国信息安全测评中心及其所属的两个测评实验室均已获得了国家相关机构的认可证书,其服务范围与测评技术能力经过国家严格审查与认可-21-《《中国实验室国家认可委员会认可证书中国实验室国家认可委员会认可证书》》((11))中国信息安全测评中心信息安全实验室,获得中国实验室国家认可委员会颁发的《中国实验室国家认可委员会认可证书》-22-《《中国实验室国家认可委员会认可证书中国实验室国家认可委员会认可证书》》((22))中国信息安全测评中心系统工程实验室,获得中国实验室国家认可委员会颁发的《中国实验室国家认可委员会认可证书》-23-《《涉及国家秘密的计算机信息系统集成资质证书涉及国家秘密的计算机信息系统集成资质证书——工程监理工程监理》》2007年9月中国信息安全测评中心获得国家保密局颁发的涉及国家秘密的计算机信息系统监理资质。-24-主要内容主要内容中国信息安全产品测评认证中心简介中国信息安全产品测评认证中心资质国家信息安全测评认证体系信息安全保障服务研究与实践-25-国家信息安全测评认证体系国家信息安全测评认证体系为适应全球经济一体化的发展趋势和我国加入WTO的客观要求,我国于1997年依循国际惯例开始启动国家信息安全测评及认证体系筹建工作。-26-国家信息安全测评认证体系国家信息安全测评认证体系计算机测评中心上海测评中心东北测评中心华中测评中心深圳测评中心西南测评中心武汉互操作测评中心身份认证测评中心云南测评中心重庆测评中心西北测评中心河南测评中心山东测评中心通讯安全测评中心-27-主要内容主要内容中国信息安全产品测评认证中心简介中国信息安全产品测评认证中心资质国家信息安全测评认证体系信息安全保障服务研究与实践-28-信息安全保障服务信息安全保障服务中国信息安全测评中心自成立至今,一贯致力于国家信息安全保障体系的建设工作,依托测评服务平台,整合各类资源,为各政府机构、社会用户提供多方面、多角度、多层次的信息安全服务,为国家的信息安全保障体系建设提供有力的技术支持。测评中心曾先后参与国家税务总局、国家财政部、最高人民检察院、国家铁道部、中国人民银行、中国证监会、中国民航、国家广电总局等多家单位的网络信息系统安全建设工作,在总体安全方案制定、安全咨询顾问、安全工程项目监理、信息系统安全性测试评估等方面为这些用户提供了专业服务。-29-专业测评技术服务队伍专业测评技术服务队伍中国信息安全产品测评认证中心拥有一支高素质的测评队伍。所有测试评估人员都经过严格的专业培训并通过“注册信息安全专业人员(CISP)”的国家资质考核,其扎实的专业知识、技术和技能,是确保测评工作质量的重要保证,曾出色完成多个政府机构、银行、证券、电信等组织机构的信息安全测评项目,具有丰富的测评经验。同时中心还拥有一支强大的专家队伍,包括中国工程院院士、研究员、博士、归国留学人员等来自信息安全各领域的专家学者。对中心的测评技术研究、测评标准制定、测评工作评审以及大型信息安全测评项目等进行专业指导和顾问-30-信息安全风险评估信息安全风险评估2005年中心受国务院信息化工作办公室委托,承担了国家税务系统风险评估以及云南省政府办公网络系统风险评估的试点工作。并参加了国家信息系统安全风险评估实施指南、实施标准、评估方法等系列标准的研究与开发工作。2006年7月在国家网络与信息安全协调小组办公室下发的信安通[2006]16号《关于对国家基础信息网络和重要信息系统开展安全检查的通知》中,中心作为国家专门队伍承担了铁道部铁路货票信息管理系统和中国民航离港信息系统的安全抽查评估任务。其评估方法和结果将为国信办落实对国家基础信息网络和重要信息系统开展安全检查工作提供重要依据。-31-2006年8月在中国证监会组织的证券期货业的信息安全风险评估试点工作中,中心积极参与了制定《证券行业信息安全风险评估工作指南》的编写,并承担证券行业试点国泰君安证券有限公司集中交易系统风险评估的项目实施,为探索证券期货业信息系统安全的适用性、合理性,积累了宝贵经验。2007年7月中国信息安全产品测评认证中心在国务院信息化领导小组工作办公室组织的2007年度国家基础信息网络和重要信息系统检查评估工作中,作为国家专门队伍承担了:《深圳国税信息系统安全检查评估》、《中国证券登记结算公司信息系统安全检查评估》。信息安全风险评估信息安全风险评估-32-2008年国家部委级安全服务项目1.国家税务总局委托我中心开展税务信息系统2008年度日常信息安全及特殊时期(两会、奥运会、法定长假)安全服务,查找漏洞排除隐患,制订漏洞修补建议,以确保税务信息系统的正常稳定运行。2.2008年3月分别承担了国家税务总局应用安全咨询与风险评估项目、总局风险评估项目、税务系统安全检查评估等安全服务项目。3.2008国家财政部涉密网络整合项目安全工程咨询与监理。-33-党政系统党政系统最高人民检察院国家发展与改革委员会国家统计局国家安全部全国政协国家税务总局国家财政部海关总署国家新闻出版总署国家铁道部建设部国家知识产权局科技部中共中央对外联络部国家外汇管理局证监会江苏省政府办公厅……-34-关键基础设施关键基础设施北京第29届奥运会组织委员会中国金融认证中心(CFCA)中国互联网络信息中心(CNNIC)铁道部全国客票预订与发售系统铁道部铁路货票信息系统中国民航离港信息系统中国电信CA系统中国网通中国联通中国移动