| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
安全服务同样需要认证
张志斌 安全服务日益得到人们的重视,但如何选择安全服务对用户来说却是个挑战。安全服务包括的范围广,例如安全工程、安全咨询、安全运营管理、安全培训等多个方面, 而且,安全服务还是个复杂的过程,不像安全设备可以通过性能和功能进行简单比较,因此用户常常为如何选择安全服务而犯难。因此,中国信息安全产品测评认证中心于2002年10月28日推出了信息安全服务资质认证,目前通过认证的已经有30多家。 记者发现,这种服务资质的安全认证却不是强制性的。这是为什么?而且,目前所有通过认证的厂商全部是最低级别——第一级,这是什么原因?带着这些疑问,近日记者采访了中国信息安全产品测评认证中心(以下简称“中心”)系统工程实验室主任江常青。 “我们推出服务资质认证是考虑了国家建立信息安全保障体系的内在需要。对于最终用户来说,要搭建一个安全的系统,建立安全保障体系,要把好几道关:首先,要保证构成系统的部件即产品的安全;再有,为系统提供设计、集成和服务的企业要有一定的能力;还有,从事信息安全的技术与管理人员要有一定的水平;最后,系统安全性到底如何,要对系统进行评估。”江常青说。他认为,安全是一个过程,是一环扣一环的链,只有保证了每个环节的安全,才能保证系统的安全。其中一个重要的环节就是安全服务单位的可靠性,表现在他们是否具有一定的安全服务水平。他们推出服务资质认证就是为了对组织的安全服务水平提供一个客观的评价。 中心第一次颁发一级认证时,有20多家厂家申请,有16家通过了认证。江常青解释说:没通过认证的组织主要是因为没有建立基本的安全服务管理体系。做得较好的组织应将安全服务产品化,建立一套完整的安全服务管理体系,有一套安全服务的方法和规范,保证每次安全服务的质量是可控的。 现在总共只有30多家通过了一级认证。对于这个现状,江常青认为:这表明目前我国安全服务的整体水平不高,其主要原因却在于用户。“中国的用户不愿意为服务付费。服务能力的提升需要服务的产品化。服务产品化意味着跟开发软件产品一样,需要研究、设计、服务。所以安全服务企业要做很多的研究,因为它涉及的面比较广,有些时候,甚至比开发软件还要难。这些都需要得到用户的承认,愿意为服务付费,企业才会去开发。” 从今年10月底开始,中心已经开始受理二级资质的企业服务认证,现在已有三家提出了申请,今年12月底左右会有结果。江常青认为,根据国外的经验和国内安全服务企业的现状,我国企业从一级升格到二级还有很长的路要走。一级是基本执行级,是表明一个有无的问题。到二级后,每一步都要有明确的规范、计划,执行和跟踪,对每个服务项目要进行定义,明确定义每一步的输入和输出,要求较高。 安全服务资质认证这项服务的推出,最终目的是为用户着想。江常青解释说:用户招标时,如果要求竞标企业具有相应的认证级别,他们对厂商安全服务资质的评价能成为用户在选择安全服务时的重要参考标准。 |
||||||||||||||||||||||||||||
