中國信息安全認證中心福建分中心

2015年8月19日，中國信息安全認證中心和廈門市質量技術監督局聯合舉 辦信息安全認證體系建設座談會，並宣布成立中國信息安全認證中心福建分中心。

福建是信息化套用大省、信息產業大省、信息消費大省。加快信息安全認證的套用與推廣，對於進一步促進福建信息化建設、引導信息產業發展和安全消費具有較強的現實必要性和緊迫性。與會代表對福建分中心的成立給予高度評價，並圍繞如何利用福建分中心這一平台，加快信息安全認證進行了研討。代表們在發言中表示，要通過政策引導、部門合作、強化採信等途徑，為信息安全認證的推廣創造條件。

福建分中心成立後，將立足福建，輻射周邊，致力於為政府、廣大企事業單位提供信息安全產品認證、管理體系認證、服務資質認證、人員認證及培訓、信息安全產品檢測等保障服務。

電子招標投標系統交易平台，是指按照《電子招標投標辦法》及所附《電子招標投標系統技術規範》相關要求建設和運營，由軟體、硬體及軟、硬體的組合產品所組成的，供招標投標當事人通過數據電文形式完成招標投標交易活動的平台。

依據《電子招標投標辦法》（國家發展改革委等八部委第20號令）和《電子招標投標系統檢測認證管理辦法（試行）》（國認證聯[2015]53），中國信息安全認證中心對電子招標投標系統開展認證工作。

認證依據：CTS-EBS01-2016《電子招標投標系統交易平台認證技術規範》（簡稱《認證規範》）

依據《認證規範》對檢測內容的規定，將認證劃分為一星、二星和三星三個級別。

一星：基礎級，具備以線上方式完成招標投標全部過程的基本功能。

二星：標準級，具備實現全流程無紙化線上招標投標的功能。

三星：最佳化級，在標準級基礎上具備其他相關最佳化服務功能。

認證模式：檢測+試運行+現場審查+獲證後監督

認證的基本環節：

（1）認證申請

（2）檢測

（3）試運行

（4）現場審查

（5）認證結果評價與批准

（6）獲證後監督

信息安全管理體系（InformationSecurityManagementSystems,ISMS）是組織整體管理體系的一個部分，是基於風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動，是組織在整體或特定範圍內建立信息安全方針和目標，以及完成這些目標所用的方法的體系。

信息安全管理體系適用於所有類型的組織（例如：商業企業、政府機構、非盈利組織），包括但不限於，銀行、證券、保險等金融機構；交通、能源等大型國有企業；網際網路數據中心(IDC)服務提供商；軟體和信息技術服務企業；公共管理、社會保障和社會組織等。

ISO/IEC27001是建立和維護信息安全管理體系的標準，它要求組織通過一系列的過程，如確定信息安全管理體系範圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，是組織達到動態的、系統的、全員參與的、制度化的，以預防為主的信息安全管理方式。

ISO/IEC 27001認證能為組織帶來如下收益：

1、符合法律法規要求

證書的獲得，可以向權威機構表明，組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、智慧財產權、商業秘密等。

2、維護企業的聲譽、品牌和客戶信任

證書的獲得，可以強化員工的信息安全意識，規範組織信息安全行為，減少人為原因造成的不必要的損失。

3、履行信息安全管理責任

證書的獲得，本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關責任。

4、增強員工的意識、責任感和相關技能

證書的獲得，可以強化員工的信息安全意識，規範組織信息安全行為，減少人為原因造成的不必要的損失。

5、保持業務持續發展和競爭優勢

全面的信息安全管理體系的建立，意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護，並且建立有效的業務持續性計畫框架，提升了組織的核心競爭力。

6、實現風險管理

有助於更好地了解信息系統，並找到存在的問題以及保護的辦法，保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護，確保信息環境有序而穩定地運作。

7、減少損失，降低成本

ISMS的實施，能降低因為潛在安全事件發生而給組織帶來的損失，在信息系統受到侵襲時，能確保業務持續開展並將損失降到最低程度

信息技術服務管理體系（InformationTechnologyServiceManagementSystems,ITSMS）的目標是以合適的成本提供滿足客戶質量要求的IT服務，從流程、人員和技術三方面提升IT的效率和效用，強調將企業的運營目標、業務需求與IT服務提供相協調一致。

信息技術—服務管理體系適用於所有類型的組織（例如：商業企業、政府機構、非盈利組織），組織可以以全組織範圍實施，也可以選取組織信息技術部門實施，包括但不限於，銀行、證券、保險等金融機構或是其數據中心（信息技術部門）；交通、能源等大型國有企業或是其數據中心（信息技術部門）；網際網路數據中心(IDC)服務提供商；軟體和信息技術服務企業；以及對外提供信息技術服務的企業等。

ISO/IEC 20000-1是建立和維護信息技術服務管理體系的標準，規定了IT組織在向其內外部客戶提供IT服務和支持過程中所需完成的工作。通過這些規定，信息技術服務管理體系展示了一套完整的IT服務管理流程，旨在幫助IT組織識別並管理IT服務的關鍵流程，保證向業務和客戶有效地提供高質量的IT服務。

企業建立IT服務管理體系的目標是為了企業建立起一套行之有效的以客戶為中心的自我完善的體系。在實施認證ISO20000管理體系後，在各個流程中，各個工作崗位上都建立了一個自我完善的循環，工作的策劃、執行、檢查，以及持續的發現問題改善問題的體系建立起來，使每個員工都擁有問題意識，自覺的發現自己工作當中的問題，並通過系統的解決問題的方法，將問題一個一個的解決。IT服務提供商通過實施IT服務管理體系，可以獲取如下收益：

·保持服務目標與企業業務目標一致，有效的支持業務戰略

·建立規範的服務流程，提高信息技術服務和運營效率

·有效及高效地整合和利用信息、基礎架構、套用及人員等IT資源

·建立持續改進的服務管理機制，快速應對市場需求，提供客戶滿意度

·向國際標桿靠齊，增強市場競爭力，提高組織聲譽，提升投資回報

·控制IT風險及相關的成本，提高與控制IT服務質量、降低長期的服務成本

·靈活應對來自客戶、認證機構、內部機構等不同的合規審核要求，增加投資者信心

對於眾多IT服務提供商，ISO20000認證的意義並不僅僅限於IT服務符合規程和提高服務質量。它在服務量化，員工績效考核，衡量IT部門投資回報方面更具有積極的意義。

中國信息安全認證中心的願景是，努力開創一個更安全的信息社會，成為信息安全的信心保障者。

中國信息安全認證中心的使命是：
——通過我們的努力，使認證制度成為保障信息安全的有效機制。
——通過我們的努力，使認證服務成為促進信息安全產業發展的強大動力。
——通過我們的努力，使認證結果成為信息安全市場採信的權威信息。
——通過我們的努力，使我們每一項業務成為傳播信息安全認知的專業平台。

中國信息安全認證中心的價值觀是：因信而立，以誠而遠，有聚乃強，常新至善。
其具體含義是：
——因信而立：以建立信任為中心存在的核心價值；以信用、信譽獲得信任，立足社會。
——以誠而遠：以最大誠意服務社會，誠實對待客戶；以不斷滿足國家和社會需求而得以長盛不衰。
——有聚乃強：以聚合內外力量為發展壯大之道；內以團結、和諧為根基，外以協作、共贏為方略。
——常新至善：以創新為動力，追求卓越，在學習中不斷成長；持之以恆，以不懈努力追求至善。

為提升廈門中小企業信息安全管理水平，近日，福建分中心聯合廈門市經信局中小企業服務中心，在廈門舉辦中小企業信息安全管理體系培訓班。來自廈門市信息、軟體等行業60餘家企業參加培訓。

為企業服務是分中心的重要工作方向。下一步，福建分中心將結合企業需求，進一步加強與廈門市中小企業服務中心的協作，以更豐富的服務方式及內容，助力中小企業信息安全管理水平提升。

廈門市經信局正式發布《軟體和信息服務業企業的個人信息保護備案工作流程及指南》（簡稱《指南》），啟動個人信息備案工作。在此次《指南》的擬定過程中，福建分中心積極配合廈門市經信局,依據《廈門市軟體和信息服務業個人信息保護管理辦法》相關要求，製作了個人信息備案審查細則及配套的個人信息保護管理檔案參考範本，為廈門市軟體和信息服務業規範、合理使用個人信息，加快市信息化法制建設，提供了有效的技術支撐。

國務院辦公廳關於加強認證認可工作的通知

強制性產品認證機構、檢查機構和實驗室管理辦法

認證及認證培訓、諮詢人員管理辦法

認證技術規範管理辦法

強制性產品認證檢查員管理辦法

認證認可申訴、投訴處理辦法

中國信息安全認證中心福建分中心，辦公地點：廈門市湖濱南路170號（質監大廈101-103）