作者:全国信息安全标准化技术委员会主任委员 曲维枝
2007年,信息安全标准化工作成绩明显:完成了21项国家标准的制定工作;组织实施了《2007年信息安全标准制定工作专项计划》;举办了信息安全标准宣贯培训会,召开了三项标准新闻发布会;国家标准委和国务院信息化工作办公室联合发布了《国家信息安全标准化“十一五”规划》,全国信息安全标准化技术委员会(以下简称信安标委)还承办了研究起草《国家信息安全标准化“十一五”规划实施意见》的工作;还有,在国际标准化工作方面取得了突破,有两项中国提案被列入国际信息安全标准新项目!这是信安标委刚成立时,我们的奋斗目标之一。
2008年,信安标委成立五年多了。五年来,我国信息安全标准化工作取得了长足进展和可喜的成绩:委员会已建立起了良好的工作机制,各项工作顺利开展;财政部的“信息安全标准制定工作专项”经费的实施,为信息安全标准化工作的顺利开展提供了经费保障;研究编制了《国家信息安全标准化“十一五”规划》及其“实施意见”,增强了信安标委工作的主动性、自觉性和预见性;完成了国家标准59项,还有56项国家标准在研制中,这批标准的研究制定,缓解了我国信息安全标准严重不足的矛盾,为全国信息系统安全等级保护分级、信息安全产品认证、信息安全风险评估、重要信息系统应急与灾难恢复及《电子签名法》的顺利实施等国家信息安全重点工作提供了有力的标准支撑。
五年发展的经验积累
回顾这五年所走过的历程,我们在维护国家信息安全,加强信息安全标准化工作方面积累了十分宝贵的经验。
1.必须站在维护国家信息安全的高度认识信息安全标准化工作
信息安全标准在信息安全保障体系建设中发挥着基础性、规范性作用,是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中保证其一致性、可靠性、可控性的技术规范、技术依据。没有信息安全标准,信息化建设的安全可靠就无法保证。信息安全标准化是支撑国家信息安全保障体系建设,关系国家信息安全的大事,也可说是网络时代保证网络安全的交通规则!因此我们必须站在维护国家信息安全的高度来认识和开展标准化工作。
2.必须高度重视顶层设计和体系的统筹规划
信息安全关系到国家安全和社会稳定,关系到国家信息化的健康发展。多个部门齐抓共管是我国信息安全管理工作的特色,在信息安全标准化方面,各有关部门、行业都积累了很多经验,也都有自己的工作特点。而信息化建设中,基础信息网络和重要信息系统互联互通、信息交换共享又是必需的,所以互联共享的安全保障往往是跨部门、跨行业的。这一特点决定了信息安全标准化工作必须在国家主导下,各有关部门分工协作,依托有实力的企业、科研机构的合作。因此,信息安全标准化的顶层设计和整体统筹规划尤其重要。这几年我们研究提出了《国家信息安全标准体系》、《国家信息安全“十一五”规划》等指导性文件,都是从顶层对信息安全标准化进行了设计和总体规划,对统筹协调今后的信息安全标准化工作具有重要意义。
3.必须紧紧依靠部门和社会各方面的力量推进信息安全标准化工作
根据我国的实际和信息化发展的需求,各部门大力支持和协同是信息安全标准工作成功的关键;科研机构和相关企业是标准制定和创新的主体;专家是保证标准科学性和先进性的中坚力量。五年多来,正是由于国信办、公安部、国家安全部、财政部、信息产业部、国家保密局、国家密码管理局、认监委等部门都从国家利益出发,团结协作,群策群力,共同支持信息安全标准化工作,才有今天的成绩和良好局面!同时这也是全国100多家科研院所和相关企业几年来共同努力的结果,是他们作为主体承担了这些标准的研究制定任务。
4.必须紧紧围绕国家信息安全保障体系和重大信息化工程建设开展信息安全标准化工作
信息安全保障体系和重大信息化工程建设既是信息安全标准的需求者,也是信息安全标准应用的推动力,信息安全标准化工作只有服务于信息安全保障体系和重大信息化工程建设才能发挥作用。几年来,我们围绕国家信息安全保障体系和重大信息化工程建设重点工作,积极研究制定的系列信息安全技术和管理标准,在支撑我国信息安全等级保护、网络信任体系建设、产品认证认可和《电子签名法》实施等信息安全保障体系建设重点工作,及电子政务、电子商务等信息化重大工程建设方面,保障国家信息安全发挥了重要作用,这是我们成功的一个宝贵经验。
5.必须正确处理自主制标与采用国际标准的关系
与发达国家相比,我国在信息安全标准制定方面,差距还是比较大的。我们在信息安全标准化工作中,要充分吸收借鉴国际信息安全标准化的成功经验和好的做法,在积极采用国际先进标准的基础上,要始终结合自己的国情,加强创新;对涉及国家信息安全、属于世贸组织《技术性贸易壁垒协定》(TBT)合法目标的标准,都应该坚持自主制定。同时要积极寻求参与国际合作与交流,实质性地参与国际标准化工作,不断提高我们的水平和能力,积极把具有我国自主知识产权的信息安全技术提升为国际标准。这样不仅能提高我国在国际标准化领域的影响力,而且对推动具有我国自主知识产权的信息安全技术应用,促进信息安全产业的发展具有重要意义。
体系建设的努力方向
2008年是中国奥运年,也是信息安全保障体系建设全面深入年,信安标委要更加努力工作,争取多出好标准、系统性大标准及全局急需的标准,为奥运做贡献!
1.看清信息安全趋势,提高对标准化认识
随着信息化建设的不断推进,特别是国民经济越来越依赖重要信息系统,国家管理也越来越依托网络系统,信息安全会越来越重要,保障信息安全的任务会越来越繁重!一方面信息安全事件发生的频率有可能大大增加,另一方面信息安全事件造成的损失和影响会越来越大;公共信息安全会成为国际上越来越关注的问题,成为各国面临的共同挑战。我们应在这方面早作对策研究,积极参加国际信息安全秩序的制定。目前,依据有关技术和管理标准对信息安全产品和信息系统实行管理,已成为全球化和信息化趋势下维护国家信息安全的重要手段。党的十七大报告中提到:要求我们树立世界眼光,加强战略思维,把握发展机遇,应对风险挑战。这对我们搞好信息安全工作具有非常重要的指导意义。信息化是世界发展的大趋势,一手抓发展,一手抓安全的原则,我们时刻不能懈怠。
信息安全标准化是信息安全保障体系建设的基础技术和管理支撑,是保障国家信息安全保障体系建设的大事。我们要认清形势,增加责任感、使命感,按照国家关于加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系的要求,加倍努力,为国家信息安全标准化工作作出更大贡献。
2.要认真落实“规划”,抓好重点工作
“十一五”期间,国家财政将根据工作开展需要,继续重点支持国家信息安全战略研究、标准预编制、标准基础研究、重点标准试点、国际标准化跟踪和专项研究等工作。我们要围绕27号文件提出的各项任务,按照《国家信息安全标准化“十一五”规划》的要求,重点抓好基础类、管理类和系统类等急需标准的制修订工作,认真开展标准基础理论和跨系统安全的研究,大力加强标准宣贯与服务,推进标准实施,提高应用效果,最大限度地发挥标准的基础性和规范性作用,加强信息安全标准的自主创新,积极推进信息安全国际标准化工作。
3.加强标准宣贯与服务
标准只有通过应用才能发挥作用。委员会成立以来已经完成了近60项标准制定,取得了很好的成绩,但用得怎么样?要做些科学评估。要加强标准的培训和宣传,配合相关部门开展的信息安全重点工作和标准实践,做好标准服务支撑,促进标准在我国信息安全保障体系建设中的应用是目前我们的一项重要任务。要充分利用委员会网站、召开标准新闻发布会、召开标准宣贯会议、举办标准培训班和结合国家重点工程建设举办标准研讨会等多种方式,加强信息安全标准的培训和宣传工作,推动标准应用。
4.认真筹办国际会议,推进国际标准化工作
国际标准不仅代表一个国家自主创新标准水平,也表明一个国家的技术和管理水平,同时还代表一个国家对世界的贡献和在世界上的地位。我们要积极参加信息安全国际标准化活动和对外交流与合作,主动参与信息安全国际标准的制定,积极推动我国自主创新标准成为国际标准。要认真筹备好2009年的SC27工作组会议和全体成员会,保证会议的圆满召开。
5.加强沟通协调,充分发挥各方面作用
国家标准委已经明确:全国信息安全标准化技术委员会负责统一协调申报信息安全国家标准年度计划项目,并组织国家标准的送审、报批工作。我们要按照这个要求认真开展工作,统一协调、统一受理、统一审查、统一报批信息安全国家标准,加强国家标准的应用推广。要加强与相关部门的和行业标准化组织的沟通和协调,妥善处理好国家标准与行业标准的关系,对那些涉及多个行业、多个领域、涉及全局的工作要通过国家标准来规范,同时要充分发挥行业标准制定机构的作用,支持和依靠他们工作,可将一些成熟的行业标准上升为国家标准,或委托他们制定国家标准。信安标委要主动向有关部门汇报工作,积极努力加强标准化工作与各有关部门工作的紧密结合,形成“依标准促工作,以工作推标准”的良好局面;主动与有关行业标准化组织做好沟通协调,加强国家信息安全标准化工作。