信息安全认证要求

一、中心性质及概况

中国信息安全认证中心为国家质检总局直属事业单位。

中心简称为信息认证中心；英文全称：China Information Security Certification Center;英文缩写：ISCCC。

中心的质量方针是：客观公正，科学规范，优质高效。

二、中心主要业务

依据国家信息安全管理的法律法规、《认证认可条例》及实施规则，在指定的业务范围内，对信息安全产品实施认证，并开展信息安全有关的管理体系认证和人员培训、技术研发等工作。具体包括：

1、在信息安全领域开展产品、管理体系等认证工作；

2、对认证及与认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训；

3、对提供信息安全服务的机构、人员进行资质培训、注册；

4、开展信息安全认证、检测技术研究工作；

5、依据法律、法规及授权从事其他相关工作。

质量方针

编辑

客观公正，科学规范，优质高效

主要职责

编辑

1、在国家认证认可监督管理委员会（以下简称国家认监委）批准的业务范围内，开展认证工作；

2、开展信息安全认证相关标准和检测技术、评价方法研发工作，为建立和完善信息安全认证制度提供技术支持；

3、在批准的业务范围内，开展认证人员培训工作。开展信息安全技术培训工作；

4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作；

5、承担对本中心委托检测和检查机构的监督与管理工作；

6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动；

7、承办总局和国家认监委交办的其他事项。 [1]

业务

编辑

强制性产品认证

2001年12月，国家质检总局发布了《强制性产品认证管理规定》，以强制性产品认证制度替代原来的进口

商品安全质量许可制度和电工产品安全认证制度。中国强制性产品认证简称CCC认证或3C认证。是一种法定的强制性安全认证制度，也是国际上广泛采用的保护消费者权益、维护消费者人身财产安全的基本做法。在实施强制性产品认证的产品范围中，无线局域网产品和信息安全产品的指定认证机构为中国信息安全认证中心。 信息安全管理体系

病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍等，越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于最新国际标准ISO/IEC27001:2005的信息安全管理体系（Information Security Management System, ISMS）是目前国际上先进的信息安全解决方案，正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段，它将帮助组织节约信息安全成本，增强客户、合作伙伴等相关方的信心和信任，提高组织的公众形象和竞争力。

ISO/IEC 27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISO/IEC 27001认证能为组织带来如下收益：
1.使组织获得最佳的信息安全运行方式；
2.保证组织业务的安全；
3.降低组织业务风险、避免组织损失；
4.保持组织核心竞争优势；
5.提供组织业务活动中的信誉；
6.增强组织竞争力；
7.满足客户要求；
8.保证组织业务的可持续发展；
9.使组织更加符合法律法规的要求。

服务资质认证

中国信息安全认证中心是国家认证认可监督管理委员会批准的一家可以从事信息安全服务资质认证的机构

（详见CNCA-R-2007-138《认证机构批准书》）。在国认可函[2007]150号《关于批准中国信息安全认证中心从事信息安全服务资质认证和培训试点工作的批复》中明确了中心是作为开展信息安全服务资质认证业务的试点单位。同时，中心也获得了中国合格评定国家认可委员会的认可，证书编号：No. CNAS CO66-V。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的安全服务资质进行评价。认证标准：开展信息安全服务资质认证的依据是国家法律法规、国家标准、行业标准和技术规范。目前中国信息安全认证中心开展了信息安全应急处理资质认证业务，依据标准是YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》。

YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》是根据我国网络与信息安全应急处理服务管理的需求，同时考虑到国内网络与信息安全应急处理服务提供商的实际情况，参考YD/T 1621-2007《网络与信息安全服务资质评估准则》、《计算机信息系统集成资质管理办法》等文件和相关国际国内标准制定而成。该标准的评估对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。

网络与信息安全应急处理服务是保障业务连续性的重要手段之一，它涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。网络与信息安全应急处理服务资质等级是衡量服务提供方应急处理服务资格和能力的尺度。资质等级分为三级，一级最高，三级最低。

网络与信息安全应急处理服务资质评估是对网络与信息安全应急处理服务提供方的资格状况、经济实力、技术能力和实施应急服务过程能力等方面的具体衡量和评价。该标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求，以及对提供网络与信息安全应急处理服务的组织进行评估的方法。该标准适用于第三方评估机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估，可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据，可以作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范，可供认证机构认证提供网络与信息安全应急处理服务的组织时参考，也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。

YD/T 1621-2007《网络与信息安全服务资质评估准则》规定为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求，适用于为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估，可以作为国家有关主管部门对网络与信息安全服务的组织进行管理、检查的技术性规范，也可为网络与信息安全服务的组织改进自身能力的指导。该标准涉及到了信息安全咨询服务、信息安全工程服务、信息安全培训服务、信息安全运行支持服务。

内设机构

编辑

中心内设10个处室，分别为办公室、综合业务处、产品认证处、体系认证处、服务认证处、培训处、质量监督处、科技与国际处、人事处、财务处，设立党委办公室，与办公室合署办公。

法律法规

编辑

法律和行政法规

国务院办公厅关于加强认证认可工作的通知

中华人民共和国计量法实施细则

中华人民共和国标准化法实施条例

中华人民共和国进出口商品检验法实施条例

中华人民共和国认证认可条例

中华人民共和国计量法

部门规章

强制性产品认证标志管理办法

认证咨询机构管理办法

认证培训机构管理办法

强制性产品认证机构、检查机构和实验室管理办法

认证证书和认证标志管理办法

认证及认证培训、咨询人员管理办法

行政规范文件

认证技术规范管理办法

强制性产品认证检查员管理办法

认证认可申诉、投诉处理办法

三级等保是国家对非银行机构的最高级认证，属于“监管级别”，对于非银行类企业最高级别的安全要求。

早在2016年8月，银监会发布《网络借贷信息中介机构业务活动管理暂行办法》中规定网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试。

网贷平台只有在完成定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等严格的审查工作后，才能获得等保三级认证。

截至2018年2月底，国内网贷行业正常运营平台数量已降至1700余家，其中已经通过信息系统安全等保三级备案认证的平台为164家，仅占在运营平台数量的9%。

由此可见，网贷平台想要的三级等保认证到底有多难拿了。

看具体的岗位要求了，基本上对于语言并没有专门的要求，当然会几门网络编程语言更好。

认证的话，CISCO的CCSP就是专门的安全工程师认证，或者CEAC网络与信息安全系统工程师认证，国家承认的；

另外还有很多，如：

CIW网络安全认证

NISC国家信息化网络安全工程师

NSACE网络信息安全工程师认证体系

INSPC信息网络安全专业人员认证

CISSP这个认证比较牛，国际注册信息系统安全专家，由国际信息系统安全认证协会((ISC)2)组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。

在这方面，拿到CISM注册信息安全经理认证证书还是比较不错的，好像要求最少要有5年信息安全管理的经验吧。

ISO27001信息安全管理体系（ISMS），是组织依据GB/T22080/ ISO/IEC27001（信息技术安全技术信息安全管理体系）的要求，是组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。

ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001标准的要求。通过认证的组织，将会被注册登记。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISO27001信息安全管理体系将整个信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。

一：现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

二：风险评估阶段：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

三：管理策划阶段：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。