来源:信息安全与保密通信
从2003年中央颁发的第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》开始算起,至今已逾七载。俗语常说“7年之痒”,7年的时间往往意味着曾经的一腔热血在经历了瓶颈之后,渐渐忘记初衷,变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后,是否依然坚定当初的决心和发展信念呢?最初设定的那些目标和任务,完成情况如何?下一步工作如何开展?当前我国信息安全形势又是怎样?
在采访中,陈博士既谈到了国家信息安全保障工作取得的成绩,也谈到了对工作中有关问题的反思。他对我国信息安全形势发展的思考,有更多源自产业现实的感悟,虽然这次采访内容覆盖面有限,但正是从他所探究的这些细节上,业内人士可以见微知著,得到启发。
用他本人的话来讲,信息安全工作涉及面非常广,从政策法规建设到政府指引、从战略规划到实施方案,从产业规模到技术专利、从标准制定到人才培养,方方面面都需要加以总结,汲取经验和教训,作为我国十二五甚至更长远工作规划的出发点。
陈晓桦博士告诉记者,建立并完善信息安全认证认可制度,是建设我国信息安全保障体系工作当中的一项重要任务。几年来,在国家相关部门的坚强领导和大力支持下,这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力,但信息安全认证中心还是克服了重重困难,积极配合相关领导部门,应对国外的种种质疑与不合理要求,为制度的实施做了大量的技术性支撑工作。2009年4月底,根据国内外形势的发展,国家对该项制度的实施范围作了调整,即调整到了在政府采购法所规定的范围,首先对13类信息安全产品强制要求认证,并把实施的时间推迟了一年。2010年5月前,财政部、工信部、质检总局和认监委联合发布了财库48号文件《关于信息安全产品实施政府采购的通知》,这标志着国家信息安全产品认证制度终于在经历曲折和反复后顺利实施和运行。
记者了解到,截止到2010年11月30日,信息安全认证中心共颁发国家信息安全产品认证证书158张,国家强制性产品(无线局域网产品)认证证书105张,信息安全产品认证的覆盖面有了长足提高,信息安全产品认证的把关作用得到了体现。
不仅如此,陈晓桦博士透露,前些年,国内的信息安全管理体系认证几乎被外资机构垄断,其潜在安全风险不可低估。而信息安全认证中心积极服务于国家重要信息系统的安全保障,在强化认证质量和服务的基础上,积极开展ISMS认证,得到了众多关系到国计民生重要行业客户的普遍认同。另外,继2008年为服务奥运安保工作推出应急处理服务资质认证后,信息安全认证中心还开展了信息安全风险评估服务资质认证,国家信息中心等18家从事风险评估的企事业单位在2010年6月获得了首批认证证书。“风险评估服务资质认证业务的推出,顺应了社会的需求,得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。
陈晓桦博士对记者表示,“我们在2010年底已初步完成了中心发展的十二五战略规划的制定和论证工作,希望能够指导今后5年相关工作的开展,大力推进各项建设工作,充分发挥信息安全认证在国家信息安全保障体系中的基础性作用,努力开创信息安全认证工作新局面。”
启示一:信息安全需要从国家层面制定整体发展战略;
启示二:健全法律法规需集思广益;落实相关政策需科技支撑;
启示三:信息安全解决方案要开“药方”而不是开“药房”;
启示四:需要绷紧的那根弦不是安全知识而是安全意识;
启示五:加强科研项目和专项主管部委的协调和交流,避免重复建设和浪费;
启示六:对涉及国计民生的基础设施而言,其信息系统的安全运行与设施本身同等重要。
原文链接:
http://www.cismag.com.cn/info/viewpoint/2011-04-02/2227.html |