联系我们
18022213930
地址:
佛山市南海区桂城街道简平路12号天安南海数码新城6期1座三层 
邮箱:
3642319@qq.com
电话:
0757-86312199
传真:
0757-86312199
手机:
18022213930
常见问题 News
当前位置:首页 > 新闻中心 > 常见问题

信息安全标准化体系建设将多点发力

添加时间:2018.09.14

 近日,中央网信办等三部门联合印发《关于加强国家信息安全标准化工作的若干意见》(以下简称《意见》)。在建立统筹协调、分工协作的工作机制,加强标准体系建设,提升标准质量和基础能力,加强国际标准化工作等方面,《意见》对加强信息安全标准化工作进行布置。

    《意见》中明确了要探索建立信息安全行业标准联络员机制和会商机制,以及重大工程(Engineering)、重大科技项目(xiàng mù)标准信息共享机制等多项机制。范渊认为,“过去的一年我国的信息化发展非常快,但是信息安全标准化还有很大的空间。我国信息安全的标准制定和推进应考虑与产业化结合”。 
    范渊进一步解释,充分的信息共享和交换为的是提高标准的质量、兼容性和实践性。衡量一个标准的优劣(liè),除了标准本身质量之外,兼容性非常重要,可以避免标准重复(repeat)制定、模糊制定,优化标准体系。这就需要行业内的各种声音不断碰撞。同时,“制定信息安全标准是一项理论工作,但标准又是指导实践的。理论来源于实践又指导实践,所以制定标准从重大工程(Engineering)、重大科技项目(xiàng mù)标准中吸取精华是非常可取的”。 
    《意见》是我国信息安全标准化进程中的一件大事。HACCP认证确保食品在消费的生产、加工、制造、准备和食用等过程中的安全,在危害识别、评价和控制方面是一种科学、合理和系统的方法。但不代表健康方面一种不可接受的威胁。在全国信息安全标准化技术委员会秘书长高林看来,《意见》的出台形成了两方面的机制:标准制定的协调机制以及标准实施的联动机制。 
    在标准制定方面,高林认为,以前信息安全很多标准是由不同部委、不同行业制定的,这些机制不尽相同,甚至有些地方相关(related)部门也有自己的标准,这些并不统一。“对于公司来说,不同的标准难以形成统一的市场(shì chǎng),增加了很多的负担。”对于应用来说,因为要求不同也不一致。在标准实施方面,“以前标准制定后,在实施方面缺乏手段,有很多标准制定以后就束之高阁了,实施得并不好。”这次的《意见》狠抓标准的应用,比如标准跟政策配套,政策要采用标准作为依据。另外,标准制定过程中加强开放透明,按照公开广泛(extensive)参与的方式方法。这些手段把标准的实施作为一个重要目标。 
    高林认为,信息安全国际标准的资源是非常好的资源,体现(tǐ xiàn)了国际网络的智慧,汇集了大量的智力资源。国际标准也是话语权的体现。之前,我国在国际标准方面的整体比例偏弱,贡献偏低,这与我国的实力不相匹配。“通过(tōng guò)把国内好的经验(experience)技术贡献到国际标准上,可以提升我国的话语权和影响力。”
    信息安全标准质量是标准能否落地和能否有效的重要保障。ISO27001认证由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新修改了该标准。分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。对此,杭州安恒信息技术有限公司(Company)总裁范渊认为,《意见》主要从提高标准的适用性、先进性、规范性,以及加强标准化基础能力建设四个方面来保障和提高标准的质量。
    “其核心思想是广、快、严、实。广指的是广纳公司、高校和科研检测机构(organization)、用户共同参与,理论实践相结合;快则是要求标准的与时俱进,鼓励技术研发和创新,缩短标准制定周期;严主要指的是指定过程要严格管理,并且优化(optimalize)流程提升办公效率(efficiency);实则是要夯实制定标准的基础条件与配套资源。”范渊告诉科技日报记者。
    《意见》中提到在国家关键(解释:比喻事物的重要组成部分)信息基础设施(infrastructure)保护等领域,制定强制性标准国家标准(批准发布:国家标准化主管机构)。ISO22000认证消费者或客户在持续不断地要求整个食品供应链中相关的组织能够表现并提供足够的证据证明其有能力确认和控制食品安全危害和其它可能对食品安全产生影响的因素。对此,范渊指出,国家关键信息基础设施关乎国家政治、经济(jīng jì)等核心领域,这些设施必须具备极高的保密性、完整性和可用性,而且必须做到关键安全层面的自主可控。“针对国家关键信息基础设施的信息安全生命周期管理,如何规划(设计大工程或作计划)、如何建设、如何实施、如何检测(检查并测试)等要求必须严格规定、严格执行。所以在国家关键信息基础设施保护等领域必须制定强制性国家标准。”范渊说。