信息安全認證要求

一、中心性質及概況

中國信息安全認證中心為國家質檢總局直屬事業單位。

中心簡稱為信息認證中心；英文全稱：China Information Security Certification Center;英文縮寫：ISCCC。

中心的質量方針是：客觀公正，科學規范，優質高效。

二、中心主要業務

依據國家信息安全管理的法律法規、《認證認可條例》及實施規則，在指定的業務范圍內，對信息安全產品實施認證，并開展信息安全有關的管理體系認證和人員培訓、技術研發等工作。具體包括：

1、在信息安全領域開展產品、管理體系等認證工作；

2、對認證及與認證有關的檢測、檢查、評價人員進行認證標準、程序及相關要求的培訓；

3、對提供信息安全服務的機構、人員進行資質培訓、注冊；

4、開展信息安全認證、檢測技術研究工作；

5、依據法律、法規及授權從事其他相關工作。

質量方針

編輯

客觀公正，科學規范，優質高效

主要職責

編輯

1、在國家認證認可監督管理委員會（以下簡稱國家認監委）批準的業務范圍內，開展認證工作；

2、開展信息安全認證相關標準和檢測技術、評價方法研發工作，為建立和完善信息安全認證制度提供技術支持；

3、在批準的業務范圍內，開展認證人員培訓工作。開展信息安全技術培訓工作；

4、依據法律、法規及授權開展涉及信息技術安全領域的相關工作；

5、承擔對本中心委托檢測和檢查機構的監督與管理工作；

6、依據國家法律、法規及授權開展信息安全相關領域的國際合作與交流活動；

7、承辦總局和國家認監委交辦的其他事項。 [1]

業務

編輯

強制性產品認證

2001年12月，國家質檢總局發布了《強制性產品認證管理規定》，以強制性產品認證制度替代原來的進口

商品安全質量許可制度和電工產品安全認證制度。中國強制性產品認證簡稱CCC認證或3C認證。是一種法定的強制性安全認證制度，也是國際上廣泛采用的保護消費者權益、維護消費者人身財產安全的基本做法。在實施強制性產品認證的產品范圍中，無線局域網產品和信息安全產品的指定認證機構為中國信息安全認證中心。 信息安全管理體系

病毒破壞、黑客攻擊、系統癱瘓、員工失誤和惡意破壞、商業間諜等，越來越多的信息安全問題成為威脅組織生存和發展的重要的安全隱患?；谧钚聡H標準ISO/IEC27001:2005的信息安全管理體系（Information Security Management System, ISMS）是目前國際上先進的信息安全解決方案，正在被越來越多的組織所采用。它運用PDCA過程方法和133項信息安全控制措施來幫助組織解決信息安全問題，實現信息安全目標。ISMS認證是一個組織證明其信息安全水平和能力符合國際標準要求的有效手段，它將幫助組織節約信息安全成本，增強客戶、合作伙伴等相關方的信心和信任，提高組織的公眾形象和競爭力。

ISO/IEC 27001標準適用于所有類型的組織（例如，商業企業、政府機構、非贏利組織）。ISO/IEC 27001從組織的整體業務風險的角度，為建立、實施、運行、監視、評審、保持和改進文件化的ISMS規定了要求。它規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。

ISO/IEC 27001認證能為組織帶來如下收益：
1.使組織獲得最佳的信息安全運行方式；
2.保證組織業務的安全；
3.降低組織業務風險、避免組織損失；
4.保持組織核心競爭優勢；
5.提供組織業務活動中的信譽；
6.增強組織競爭力；
7.滿足客戶要求；
8.保證組織業務的可持續發展；
9.使組織更加符合法律法規的要求。

服務資質認證

中國信息安全認證中心是國家認證認可監督管理委員會批準的一家可以從事信息安全服務資質認證的機構

（詳見CNCA-R-2007-138《認證機構批準書》）。在國認可函[2007]150號《關于批準中國信息安全認證中心從事信息安全服務資質認證和培訓試點工作的批復》中明確了中心是作為開展信息安全服務資質認證業務的試點單位。同時，中心也獲得了中國合格評定國家認可委員會的認可，證書編號：No. CNAS CO66-V。信息安全服務資質認證是依據國家法律法規、國家標準、行業標準和技術規范，按照認證基本規范及認證規則，對提供信息安全服務機構的安全服務資質進行評價。認證標準：開展信息安全服務資質認證的依據是國家法律法規、國家標準、行業標準和技術規范。目前中國信息安全認證中心開展了信息安全應急處理資質認證業務，依據標準是YD/T 1799-2008《網絡與信息安全應急處理服務資質評估方法》。

YD/T 1799-2008《網絡與信息安全應急處理服務資質評估方法》是根據我國網絡與信息安全應急處理服務管理的需求，同時考慮到國內網絡與信息安全應急處理服務提供商的實際情況，參考YD/T 1621-2007《網絡與信息安全服務資質評估準則》、《計算機信息系統集成資質管理辦法》等文件和相關國際國內標準制定而成。該標準的評估對象是為信息系統所有者提供網絡與信息安全應急處理服務的組織。

網絡與信息安全應急處理服務是保障業務連續性的重要手段之一，它涵蓋了在安全事件發生后為了維持和恢復關鍵的應用所進行的系列活動。網絡與信息安全應急處理服務資質等級是衡量服務提供方應急處理服務資格和能力的尺度。資質等級分為三級，一級最高，三級最低。

網絡與信息安全應急處理服務資質評估是對網絡與信息安全應急處理服務提供方的資格狀況、經濟實力、技術能力和實施應急服務過程能力等方面的具體衡量和評價。該標準規定了為信息系統所有者提供網絡與信息安全應急處理服務的組織應具備的服務資質要求，以及對提供網絡與信息安全應急處理服務的組織進行評估的方法。該標準適用于第三方評估機構對提供網絡與信息安全應急處理服務的組織進行網絡與信息安全應急處理服務資質評估，可作為信息系統所有者選擇提供網絡與信息安全應急處理服務組織的依據，可以作為有關主管部門對提供網絡與信息安全應急處理服務的組織進行管理的技術性規范，可供認證機構認證提供網絡與信息安全應急處理服務的組織時參考，也可為提供網絡與信息安全應急處理服務的組織改進自身能力提供指導。

YD/T 1621-2007《網絡與信息安全服務資質評估準則》規定為電信運營企業提供網絡與信息安全服務的組織應具備的網絡與信息安全服務資質要求，適用于為電信運營企業提供網絡與信息安全服務的組織進行網絡與信息安全服務資質評估，可以作為國家有關主管部門對網絡與信息安全服務的組織進行管理、檢查的技術性規范，也可為網絡與信息安全服務的組織改進自身能力的指導。該標準涉及到了信息安全咨詢服務、信息安全工程服務、信息安全培訓服務、信息安全運行支持服務。

內設機構

編輯

中心內設10個處室，分別為辦公室、綜合業務處、產品認證處、體系認證處、服務認證處、培訓處、質量監督處、科技與國際處、人事處、財務處，設立黨委辦公室，與辦公室合署辦公。

法律法規

編輯

法律和行政法規

國務院辦公廳關于加強認證認可工作的通知

中華人民共和國計量法實施細則

中華人民共和國標準化法實施條例

中華人民共和國進出口商品檢驗法實施條例

中華人民共和國認證認可條例

中華人民共和國計量法

部門規章

強制性產品認證標志管理辦法

認證咨詢機構管理辦法

認證培訓機構管理辦法

強制性產品認證機構、檢查機構和實驗室管理辦法

認證證書和認證標志管理辦法

認證及認證培訓、咨詢人員管理辦法

行政規范文件

認證技術規范管理辦法

強制性產品認證檢查員管理辦法

認證認可申訴、投訴處理辦法

三級等保是國家對非銀行機構的最高級認證，屬于“監管級別”，對于非銀行類企業最高級別的安全要求。

早在2016年8月，銀監會發布《網絡借貸信息中介機構業務活動管理暫行辦法》中規定網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試。

網貸平臺只有在完成定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查等嚴格的審查工作后，才能獲得等保三級認證。

截至2018年2月底，國內網貸行業正常運營平臺數量已降至1700余家，其中已經通過信息系統安全等保三級備案認證的平臺為164家，僅占在運營平臺數量的9%。

由此可見，網貸平臺想要的三級等保認證到底有多難拿了。

看具體的崗位要求了，基本上對于語言并沒有專門的要求，當然會幾門網絡編程語言更好。

認證的話，CISCO的CCSP就是專門的安全工程師認證，或者CEAC網絡與信息安全系統工程師認證，國家承認的；

另外還有很多，如：

CIW網絡安全認證

NISC國家信息化網絡安全工程師

NSACE網絡信息安全工程師認證體系

INSPC信息網絡安全專業人員認證

CISSP這個認證比較牛，國際注冊信息系統安全專家，由國際信息系統安全認證協會((ISC)2)組織和管理，是目前全球范圍內最權威，最專業，最系統的信息安全認證。

在這方面，拿到CISM注冊信息安全經理認證證書還是比較不錯的，好像要求最少要有5年信息安全管理的經驗吧。

ISO27001信息安全管理體系（ISMS），是組織依據GB/T22080/ ISO/IEC27001（信息技術安全技術信息安全管理體系）的要求，是組織整體管理體系的一個部分，是基于風險評估，來建立、實施、運行、監視、評審、保持和改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。

ISO/IEC27001是建立和維護信息安全管理體系的標準，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。

ISMS認證針是對組織ISMS符合GB/T 22080/ ISO/IEC27001要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001標準的要求。通過認證的組織，將會被注冊登記。

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及保險、證券、銀行、金融產業鏈所涉及的行業（票據印刷、IC卡制造）以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件外包、軟件開發等行業。規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。

ISO27001信息安全管理體系將整個信息安全管理體系建設項目劃分成五個大的階段，并包含25項關鍵的活動，如果每項前后關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。

一：現狀調研階段：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。

二：風險評估階段：對組織信息資產進行資產價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當的措施、方法實現管理風險的目的。

三：管理策劃階段：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。