第一篇:国家方滨兴院士解读国家信息安全保障体系
方滨兴院士解读国家信息安全保障体系
“作为国家信息安全保障体系来讲,其包括积极防御、综合防范等多个方面的多个原则。因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。”中国工程院院士方滨兴指出,当前国家信息安全的保障体系需要围绕以下细节全面建设,具体为:要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。
当然了,要增强国家信息安全保障能力,还必须要掌握核心安全技术。此外还包括能力,如信息安全的法律保障能力、基础支撑能力等等。
简而言之,方院士称:“我们国家的信息安全保障体系可以从五个层面解读,又可以称之为‘一二三四五国家信息安全保障体系’”。
方院士的解读具体如下:
一,即一个机制,就是要维护国家信息安全的长效机制。
二,是指两个原则:第一个原则是积极预防、综合防范;第二个原则是立足国情,优化配置。
三,是指三个要素:人、管理、技术。
四,是指四种能力:核心技术能力、法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力。
五,是指五项主要的技术工作:风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备。
一、一个机制
所谓的一个机制,是说机制一定是一个完善长效的机制,一方面是在组织协调性上,另一方面是在支撑力度上。这需要宏观层面,包括主管部门予以支持。
二、两个原则
第一个原则是积极防御、综合防范。不难理解,综合是表现在整个产业的协调发展,也就是说网络信息安全与信息化的关系。在这个里面,积极当然有多种含义,虽然我们并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。但是值得注意的是,真正的积极是指一旦出现一个新的技术,我们就立即要想到研究这个新技术会带来什么安全性问题,以及这样的安全性问题该怎么办?比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说Ipv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么„„所以说这些信息化新技术的出现同时也都呼唤新的安全技术。
另外技术解决不了的还得靠管理,比如说等级保护,当然等级保护主要是面向政府部门的。那么反过来管理做不了的也得靠技术,你说有病毒,光嘴上说不行,还得有技术防范。再有就是强调了核心保障。
第二个原则是立足国情,这里面主要是强调综合平衡安全成本与风险,如果风险不大就没有必要花太大的安全成本来做。在这里面需要强调一点就是确保重点的,如等级保护就是根据信息系统的重要性来定级,从而施加适当强度的保护。此外,当你在发展的时候必须要考虑到涉及到安全问题的时候该怎么办,但你做安全也是为了促进发展,而不是说限制发展,所以尽管我们现在觉得需要物理隔离的方式,但同时也在研究一系列的技术来替代这么一个简单的方式,这个就是国情的需要。三、三个要素
三个要素包括人、管理、技术。
从人才角度来说强调了两个方面,一个方面是培养,培养你的人、才、水平,那么包括学历教育、研究、以及学科层面,无论是培养研究生还是其他研究人才,都和社会服务人才不一样。再有就是培训和网络教育。还有加强信息安全宣传工作和网络文明建设,也都需要相关的支持,基本上跟信息相关的底下都有这个。此外,就是论坛、媒体的努力。当然,吸引和用好高素质的信息安全管理和技术人才的机制也很有有用。
就管理这一点而言,其实互联网上的管理主要是靠四句话:法律保障、行政监管、行业自律、技术支撑。我们还可以把管理分为三级措施,那么从宏观的角度来说出现的是什么?方针,国家说积极预防、综合防范,这是一种方针,还有就是政策引导,我们现在制订这方面的政策等,再有就是具体的法规,就是要严格规章制度。此外还有标准,标准是从技术角度、管理角度引导你,你不会做按照这个做就行了。也就是说标准解决怎么做,法规解决做什么的问题。到微观方面就是说各个管理机构,要做好规章、制度、策略、措施。
需要说明的是,机制就是怎么管,我们现在是通过一些认证测评、市场准入来对安全做管理,这里面对产品服务做认真测评,包括政府采购也是受一定的限制。而措施则是,你到底管哪些事情,如等级保护这个是要管的,这个是没有问题的;再比如系统安全、产品的采购包括测评、密码技术等都在管理范畴。
第三个层面是信息安全技术,信息安全技术在这里面特别强调的是对引进的产品的安全问题,如它的安全可控必须要有人管。同时我们还要研究新技术、新业务,包括网络安全、内容安全、密码、安全隔离手续等。当然这其中也少不了需要政策导向和市场机制,当然最终的目标就是信息安全还应该以自主知识产权为主。
四、四个核心能力
四个核心能力,主要是信息安全的法律保障能力,信息安全的基础支撑能力,网络舆情宣传和驾驭的能力。再有一个就是国际信息安全的影响力,就法律保障能力而言,业内一致认为要以信息安全为纲,你一定要有一个信息安全法,有了这个核心法你才能做一系列的工作,包括制订相应的制度。
第二个能力叫做基础支撑能力,就是说国家要有一系列的相应的基础支撑,比如说数字证书、计算机网络应急响应体系、灾难恢复体系等等,再比如说密钥管理、授权管理等等,这些都是做得很成功的,而网络舆情掌控的体系,一些部门也都有,你它的运行效果还有很多需要改进的余地。
第三个能力是舆情驾驭能力,我们在网上可以看到这句话,要关注三个如何,如何引导网络舆论,如何对网上的热点话题做访问,如何提高处置网络的能力。这些实际上都是我们舆情驾驭能力的标志。舆情驾驭的具体目标是首先要能够发现和获取,然后要有分析和引导的能力,之后要有预警和处理的能力。
第四个是国际影响力。只有在信息安全较量中才能体现出一个国家的信息安全影响力。所以,这就需要发挥信息安全整体资源的优势,这其中包括对有害信息的应对能力、技术手段。用逆向思维的话,就是说假如出现最坏的情况网络被恶意中断,那么至少能保持一个封闭体系还能继续运转,这可能必须要有域名的解析,当然这个国内现在已经做到了。
五、五项工作
五项工作包括:加强风险评估工作,建立和完善等级保护制度;加强密码技术的开发利用,建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作;灾难备份等。
第一,风险评估和等级保护,两者相辅相成需要一体化考虑。因为风险评估是出发点,等级划分是判断点,安全控制是落脚点,所以风险评估和等级保护这两件事儿是不可分的,只有知道了系统的脆弱性有多大,等级保护才能跟上去。
第二,网络信任体系主要是靠密码技术,还要强调密钥体系。
第三,网络监控系统,强调国家对各个运营单位都要求有相应的信息监控系统,要有处理信息的能力,这样起码对一些网络攻击,防范失泄密可以提供支持。
第四,应急响应体系,国家在2003年SARS之后就开始建立应急响应体系,2008年的1月份出现了凝冻灾害天气,充分考验了这个体系。所以信息安全也有国家级的预案,或许将来会做更多的宣贯。
第五,灾难备份,这个里面最重要的目标是力保恢复,其次是及时发现,接下来才是快速响应。
第二篇:方滨兴院士简介
方滨兴院士简介
一、基本情况
方滨兴,男,中共党员,中国工程院院士,第十一届全国人大代表,现任北京邮电大学校长。籍贯江西省万年县,汉族,1960年出生于哈尔滨市。
主要研究内容是网络安全、信息内容安全、并行处理、互联网技术等,首先提出了建设国家网络与信息安全基础设施的理念,并组织研制、实现了相应的系统,作为第一完成人,先后获得国家科技进步一等奖1项、二等奖2项。在信息安全理论方面,将涉及了物理安全、运行安全(网络安全)、数据安全(狭义的信息安全)及内容安全的信息安全概念给出了统一的形式化定义,同时着手提出并研究信息安全属性可计算性的思想。
二、学习简历
1978-1981年哈尔滨工业大学计算机系77级本科生,获学士学位; 1982-1984年在清华大学计算机系81级研究生,获硕士学位;
1986-1989年在哈尔滨工业大学计算机系85级在职博士研究生,获博士学位; 1990-1993年在国防科学技术大学计算机科学与技术博士后流动站在职研究学习; 2003年,在中央党校地厅级干部进修班第41期脱产学习半年;
三、工作经历
1984-1992年在哈尔滨工业大学计算机系任助教、讲师、副教授;其间任任教研室副主任; 1992-1995年在哈尔滨工业大学计算机系任教授;其间任教研室副主任、主任;
1995-1999年在 哈尔滨工业大学计算机与电气工程学院任教授,博士生导师;其间任教研室主任,副院长,网络中心主任;
1999-2000年在国家计算机网络应急技术处理协调中心任副总工;
2000-2002年在国家计算机网络应急技术处理协调中心任总工程师、副主任、教授级高级工程师;
2002-2006年在国家计算机网络应急技术处理协调中心任主任、总工程师,教授级高级工程师; 2003-2007年任信息产业部互联网应急处理协调办公室主任,其间被任命为国家计算机网络与信息安全管理中心名誉主任; 2005年起被遴选为中国工程院院士; 2007年12月起任北京邮电大学校长。
四、2001年以后的科研成果 1、2001年,“计算机病毒及其预防技术”获国防科学技术三等奖,排名第一; 2、2002年,“信息安全管理系统”获国家科学技术进步一等奖,排名第一; 3、2002年,“大范围宽带网络动态处置系统”获国防科学技术二等奖,排名第二; 4、2004年,“大规模网络信息获取系统”获国家科学技术进步二等奖,排名第一; 5、2004年,“国家信息安全展略研究”获国家发展改革委机关优秀成果三等奖; 6、2005年,“搜索引擎安全管理系统”获中国通信学会科学技术二等奖,排名第二; 7、2007年,“通信数据安全管理系统”获国家科学技术进步二等奖,排名第一。
五、当前的主要学术兼职
2003年起:中国通信标准化协会理事、网络与信息安全技术委员会(TC8)主席,专家咨询委员会委员、技术管理委员会委员;
2004年起:中国互联网协会副理事长、网络与信息安全工作委员会主任;
2005年起:中国通信学会会士、常务理事、通信安全技术委员会主任,学术工作委员会委员;
2005年起:清华大学计算机系兼职教授;
2006起:哈尔滨工业大学教授、博士生导师、哈工大国家计算机内容安全重点实验室主任; 2007年起:中科院计算所客座研究员、博士生导师、信息安全首席科学家; 2007年起:国防科学技术大学特聘教授、博士生导师; 2007年起:《通信学报》编辑委员会主任。
2008年起:中国计算机学会副理事长、计算机安全专业委员会主任;
六、当前的主要技术工作兼职
2003年起:财政部“金财工程”专家咨询委员会委员;
2004年起:中国下一代互联网示范工程(CNGI)项目专家委员会委员; 2005年起:全国人大信息化系统改造和建设工程专家咨询顾问组成员; 2005年起:国家863计划“十一五”信息技术领域专家委员会委员; 2007年起:国家自然科学基金可信软件重大专项专家组副组长; 2007年起:国家973计划“信息安全理论及若干关键技术”首席科学家。
七、当前的主要社会兼职
2002年起:信息产业部通信科学技术委员会常务委员;
2004年起:国家计算机网络与信息安全管理中心科学技术委员会主任; 2004年起:解放军总后勤部信息化专家咨询委员会委员; 2005年起:国家信息安全产品认证管理委员会委员; 2005年起:中国网络通信集团公司技术委员会委员;
2006年起:国家信息化专家咨询委员会委员,网络与信息安全专业委员会副主任; 2006年起:上海市互联网宣传管理技术咨询专家; 2006年起:北京市信息化专家咨询委员会委员; 2006年起:国家应急管理专家组成员; 2007年起:公安部信息安全特聘专家;
2007年起:“新世纪百千万人才工程国家级人选”评审委员会委员。2007年起:北京市公安交通管理局专家顾问团成员
六、2001年以后的主要奖励与荣誉 1、2001年获国务院政府特殊津贴; 2、2001年获中组部、中宣部、中央政法委、公安部、民政部、人事部等联合授予“先进个人”称号; 2、2001年获信息产业部“在信息产业部重点工程中做出突出贡献特等奖先进个人”称号; 3、2002 年获中组部中宣部、人事部、科技部联合授予全国“杰出专业技术人才”荣誉称号; 4、2004年获人事部、科学技术部、教育部、财政部、国家发展和改革委员会、国家自然科学基金委员会、中国科学技术协会联合授予“新世纪百千万人才工程国家级人选”; 5、2006年获信息产业部“信息产业科技创新先进工作者”; 6、2007年获何梁何利基金科学与技术进步奖。
第三篇:方滨兴——院士(本站推荐)
大年三十下午14:00,北京邮电大学学生活动中心欢歌笑语,暖意融融。为全面做好因灾留校学生的关心服务工作,使留校学生在学校也能感受到家的温馨,度过一个温暖祥和的春节。北京邮电大学专门为因雪灾无法返家的同学举办了一场别开生面的新春游园联欢活动,校长方滨兴院士、校党委副书记赵纪宁、副校长张英海一同看望了因雪灾留校的学生,并与他们共庆新春佳节。
方滨兴校长首先代表学校向因灾留校的学生致以新春问候,并祝福同学们的家乡早日摆脱灾情,恢复正常生活。方校长说:“1月10日以来,一场强烈的低温雨雪冰冻天气袭击我国南方等地,其影响范围之广、持续时间之长、强度之大,所造成的灾害之重是历史上罕见的。雪灾对全国公路、铁路和民航运输造成了巨大影响,又值春运高峰时期,给同学们返家与亲人团聚造成了巨大困难,同学们以国家大局为重,放弃回家团聚,安心留校过年。这是学校的荣誉,更是学校的责任。灾情一发生,学校就立即将假期工作的重心转到关心服务因灾留校的学生上来。因此,学校十分关心留校学生的生活、学习状况,希望同学们能够留校安心过年,感受学校和老师同学带来的温暖,利用假期调节生活节奏,争取在下学期取得更大的进步。”方校长告诉同学们,如果有什么困难要求、意见和建议,可以随时直接向学校提出来,学校会尽最大努力帮助同学们解决。讲话后,方校长向同学们赠送了学校特意准备的温暖大礼包,同学们的脸上无不洋溢着幸福的笑容。
联欢会上,留校学生通过独唱、舞蹈、乐器演奏以及互动游戏等精彩文艺节目表达了内心美好的祝愿。联欢会还设置了亲情互动环节,来自湖南、山东、海南的留校学生分别通过视频连接和父母面对面的通话,学生家长表达了对学校感谢,并表示自己的孩子留在这样的学校过年他们放心。最后,方滨兴校长、张英海副校长、电信工程学院王翔书记及电子工程学院肖倪副书记精彩的三句半将联欢会推向了高潮。
看到学校领导在除夕还来看望自己,与会的留校学生十分感动。一名大四学生告诉记者,自己第一次在外过年,非常想念亲人,但今天有这么多老师来看望自己,切实深刻地感受到了学校这个大家庭的温暖。一位来自湖南灾区的同学说,自己虽然不能回家过年,但在学校也能感受到家一般的温暖,她将把学校和老师的关心永远铭记在心。一位同样来自贵州重灾区的同学说,自己家乡受了很重的灾,听说无数干部和官兵正在自己家乡奋战救灾,看到学校为不能回家的自己带来这么多温暖,实在非常感动,切实感受到了党和政府的关心。还有很多同学找到记者,纷纷表达了他们的感动和感激。
据了解,北京邮电大学已将200元节日亲情补贴、一张价值50元的亲情电话卡和装满年货的亲情大礼包发到同学手上。学校开辟了校内外勤工助学岗位和开展“欢乐校园”主题活动,倡导留校学生进社区开展志愿服务活动。学校还为同学们准备丰盛的年夜饭和大年初一的免费饺子,用一系列活动温暖因灾留校学子的心。北邮党办、校办、学生处、团委等职能部门负责人、各学院领导、全体学生工作干部教师与300余名因灾留校大学生一起参加了新春联欢活动。
本次活动特别邀请到了北京电视台《直播北京》和《特别关注》知名主持人聂一菁和董丽萍的亲情加盟和我校师生共渡佳节。本次活动还得到了北京移动有限公司海淀分公司的大力支持,为我校每一位留校学生提供了一张亲情电话卡和抽奖奖品。
“爱心融冰雪,亲情暖人心”,北邮将通过一系列的活动切实解决因雪灾留校的学生在学习生活中的困难,帮助同学度过一个欢乐祥和的新春佳节
第四篇:国家信息安全测评
国家信息安全测评
信息安全服务资质申请指南
(风险评估一级)
©版权2014—中国信息安全测评中心
2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
目录
目录 2 引言 3
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全风险评估过程能力要求...........................................................................................6 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
十、联系方式..............................................................................................................................13
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和风险评估的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和风险评估安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、风险评估监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(风险评估一级)的境内外组织。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
一、认定依据
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(风险评估类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(风险评估类)具体要求,在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认,信息安全服务(风险评估类)资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全服务(风险评估一级)资质的组织需要在基本资格和基本能力、发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
安全风险评估过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(风险评估一级)》的规定。
3.1 基本资格要求
申请信息安全服务(风险评估一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全风险评估服务提供保障;
2.必须具有专业从事信息安全风险评估服务的队伍和相应的质量保证; 3.与安全风险评估服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统的状况进行调研、分析和描述的能力;
4.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析能力;
5.具有对信息系统的资产及其影响进行识别、分析和评估的能力; 6.具有对信息系统的脆弱性进行识别分析和评估的能力; 7.具有根据信息安全风险的结果提出应对安全措施的能力; 8.具有应用国际国内最新信息安全风险评估方法的能力; 9.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全风险评估服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有实施信息安全风险评估服务的相关工具和设备。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全风险评估规模相适应的服务体系;
3.有足够的人员从事直接与信息安全风险评估服务相关的活动。
3.2.6 业绩要求
1.应有从事信息安全风险评估服务的经验;
2.近3年内在信息安全风险评估服务方面,没有出现验收未通过的情况。
3.3 安全风险评估过程能力要求
安全风险评估过程能力是评价信息安全风险评估服务专业水平高低的标志。申请组织应能实施以下6个安全风险评估过程域: 1.风险评估准备
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
2.评估系统资产的影响; 3.评估系统存在的脆弱性; 4.评估系统面临的安全威胁; 5.评估系统已有的安全措施; 6.评估系统的安全风险。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全风险评估服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域: 1.质量保证; 2.管理项目风险; 3.规划技术活动; 4.监控技术活动;
5.提供不断发展的技能和知识; 6.与供应商协调。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://www.xiexiebang.comITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全风险评估服务能力做出基本判断,初步确定申请组织的信息安全风险评估服务能力水 发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
平状况,为现场审核做准备。如果在静态评估阶段发现申请组织的信息安全风险评估能力不能满足资质要求,将要求申请组织进行整改,待整改完成达到后进入现场审核阶段。
4.4.2现场审核
现场审核是对申请组织从事信息安全风险评估服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全风险评估服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全风险评估服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全风险评估过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全风险评估服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.xiexiebang.comITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
未获得安全工程类服务资质的机构,首次申请风险评估资质(一级)费用: 2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+15000(三年年金)=38000元。
未获得安全工程类服务资质的机构,风险评估资质(一级)维持费用: 2000(申请费)+3000×2×2.5(二人二日半测评费)+3000(审定与注册费)+5000(三年年金)=35000元。
已获得安全工程类服务资质的机构,申请风险评估资质(一级)费用(首次申请和维持):
2000(申请费)+3000×3×0.5(三人二日测评费)+3000(审定与注册费)=9500元
已获得安全工程类服务资质的机构申请风险评估资质时不再重复收取年金。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为四个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间延误不计算在内。发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
十、联系方式
名 称:中国信息安全测评中心 资质评估处 地 址:中国北京市海淀区上地西路8号院1号楼 邮 编:100085 传 真:010-82341100 咨询电话:
资质受理: 010-82341582、010-82341568 证后管理: 010-82341553
发布日期:2014年5月1日
第五篇:2014年1号文件解读之四:完善国家粮食安全保障体系
亮点一:吃饭问题上不能得健忘症
【决定摘要】
2014年的中央一号文件指出,抓紧构建新形势下的国家粮食安全战略。把饭碗牢牢端在自己手上,是治国理政必须长期坚持的基本方针。综合考虑国内资源环境条件、粮食供求格局和国际贸易环境变化,实施以我为主、立足国内、确保产能、适度进口、科技支撑的国家粮食安全战略。任何时候都不能放松国内粮食生产,严守耕地保护红线,划定永久基本农田,不断提升农业综合生产能力,确保谷物基本自给、口粮绝对安全。更加积极地利用国际农产品市场和农业资源,有效调剂和补充国内粮食供给。
【政策解读】
悠悠万事,吃饭为大,粮食问题关乎国运民生。对于我们这样一个人口大国来说,保障国家粮食安全是一个永恒的主题。2014年中央一号文件指出,把饭碗牢牢端在自己手上,是我们治国理政必须长期坚持的基本方针。
2013年,我国粮食总产12039亿斤,比上年增加247亿斤,增长2.1%。在粮食生产“十连增”的好形势下,中央再度鸣响粮食安全的警钟,是基于对世情国情农情的深刻把握和对未来发展的战略远见。习近平说过,“我们自己的饭碗主要要装自己生产的粮食。”应该看到,虽然粮食连年丰收,但是在人多地少的基本国情面前,任何时候都不能轻言粮食问题已经过关。不能因为日子好过了,就淡忘曾经有过的饿肚子岁月。在粮食问题上,不能侥幸、不能折腾,一旦出了大问题,国民经济和人民生活多少年都会被动,到时谁也救不了我们。
[问题]
我国农产品供求格局正在发生深刻变化,实现中长期供求平衡的要求更高、难度更大、挑战更严峻。在工业化、城镇化快速推进以及城乡居民收入水平不断提高的拉动下,农产品消费结构加快升级,部分农产品需求的增长速度明显快于供给的增长速度,导致供求缺口逐步扩大。同时,我们还面临着耕地质量下降、水资源不足、生态环境压力不断加大、科技有效支撑不足、国际粮食市场波动等约束。保障国家粮食安全的任务不是轻了,而是重了。
亮点二:重数量和保质量并举
【决定摘要】
呼伦贝尔人事考试信息 www.xiexiebang.com 2014年的中央一号文件指出,在重视粮食数量的同时,更加注重品质和质量安全;在保障当期供给的同时,更加注重农业可持续发展。
强化农产品质量和食品安全监管。建立最严格的覆盖全过程的食品安全监管制度,完善法律法规和标准体系,落实地方政府属地管理和生产经营主体责任。
【政策解读】
重视粮食安全,不单单是指粮食的数量安全,而是更加重视农产品质量和食品安全。把饭碗牢牢地端在自己手中,必须高度重视粮食质量。粮食质量有保障,“吃得好”才有保障。中央一号文件指出,在重视粮食数量的同时,更加注重品质和质量安全;在保障当期供给的同时,更加注重农业的可持续发展。就是说,我们不仅要今天吃饱吃好,更要打造可持续发展的能力,保障将来也能吃饱吃好。
一直以来,国内农业生产面临化肥农药等各种污染,不仅危及粮食质量安全,也对水资源和土壤等造成污染,破坏了生态环境。中国对粮食的要求已经到了一个新阶段,城市一大半已满足温饱水平的消费者不再是仅关心吃饱,他们还迫切希望吃得安全健康。而目前不断出现的各种食品安全丑闻,让大部分的消费者成了惊弓之鸟。“当前人民的突出愿望便是食品安全”这是李克强总理在国务院食品安全委员会第五次全体会议上重点强调的,“柴米油盐的安全就是人民的突出愿望”。如何实现在保证“吃饱”的基础上,让百姓能够“吃好”,是目前我国农业面临的最大挑战。不再过分追求数量,而开始意识到数量和质量同样重要。就像前些年很多地方片面重视GDP,结果得到“带血的GDP”,或者是浪费了资源污染了环境的GDP。同样道理,我国农业过去也存在一个误区,那就是片面追求数量,实际上我国正在从目前的温饱型农业向小康型农业转型,相当一大批人已经脱离了温饱到了小康阶段,对粮食数量已经没有需求了,而是希望吃东西的风险比较低、比较健康。
食物生产的数量安全与质量安全,二者又有矛盾之处,依靠化肥、农药、转基因技术、添加剂、生长剂等技术可以获得产量的迅猛增加,但却会带来更严重的污染与食品安全问题。如何追求数量与质量的平衡,让消费者既能够满足数量上的安全,也能够满足质量上的安全,要成为未来政策的着重点。
保障粮食质量,就必须强化农产品质量和食品安全监管。建立最严格的覆盖全过程的食品安全监管制度,完善法律法规和标准体系,落实地方政府属地管理和生产经营主体责任。支持标准化生产、重点产品风险监测预警、食品追溯体系建设。
[措施]
呼伦贝尔人事考试信息 www.xiexiebang.com 保证供给安全,确保数量。规模化、科技化等途径提升种植效率,多手段提高农民收入和务农积极性。城镇化背景下,农村人口向城市转移,导致粮食等农产品供给形势更为严峻,对此,在确保耕地面积红线,主要粮食种植面积底线的基础上,加快土地流转,培养家庭农场、合作社等以农户为核心的农业专业化经营主体,推动规模化、集约化建设。并通过加速城乡一体化,加强农村教育、医疗、金融服务水平多种手段为农民提供更好的生活保障提高务农人口的稳定性;合理规划,完善、调整农业补贴机制和定价机制以提高农民收入和生产积极性,通过机械化、科技化手段(生物育种)推进农业生产效率和现代化水平的提升,从而确保粮食等农产品产量的稳定增长。推进农产品价格形成机制与政府补贴脱钩的改革,逐步建立农产品目标价格制度,平衡生产者与消费者利益。
部分作物适度放开进口。对部分非口粮农作物阶段性适度放开进口配额,同时鼓励农业“走出去”获得新资源。
确保食品安全,保证质量。持续加强食品安全风险管控。政策提出,建立最严格的覆盖全过程的食品安全监管制度,完善法律法规和标准体系,落实地方政府属地管理和生产经营主体责任。加快推进县乡食品、农产品质量安全检测体系和监管能力建设。严格农业投入品管理,大力开展园艺作物标准园、畜禽规模化养殖、水产健康养殖等创建活动。
保障环境安全,协调可持续发展。促进生态友好型农业建设,将农业对环境的污染和资源的消耗程度降到最低。评估资源的承载能力以划定生态红线,给予土地、山川、河流、海洋等资源适度的“休养生息”,并建立和强化生态补偿与修复机制;加强农业专业化服务团队建设,完善农田水利建设;加大农业面源污染防治力度,加强对农业污染物排放检测和评估,支持高效肥和低残留农药使用、规模养殖场畜禽粪便资源化利用、新型农业经营主体使用有机肥、推广高标准农膜和残膜回收等试点。
亮点三:坚持市场定价原则,建立农产品目标价格制度
【决定摘要】
2014年的中央一号文件提出,完善粮食等重要农产品价格形成机制。继续坚持市场定价原则,探索推进农产品价格形成机制与政府补贴脱钩的改革,逐步建立农产品目标价格制度,在市场价格过高时补贴低收入消费者,在市场价格低于目标价格时按差价补贴生产者,切实保证农民收益。
【政策解读】
呼伦贝尔人事考试信息 www.xiexiebang.com 所谓目标价格制度,是指由政府设定农产品的目标价格,当实际市场价格高于目标价格时,补贴低收入消费者;而当市场价格低于目标价格时,则按差价补贴生产者。而目标价格的形成则完全是由市场的供给关系决定的。这既发挥了市场机制在资源配置中的决定性作用,同时也明确了政府对农业农村发展所负有的责任。
[意义]
一是提高农民收入,缩小城乡收入差距。在我国价格形成机制中,市场价的职能是调节粮食供求关系,最低收购价的职能是保护粮食储备安全、防止谷贱伤农。在目前我国粮食基本供求平衡、国内外市场开放的格局下,粮食市场价的价位不高,只有目标价格能够起到不断提高农民收入,缩小城乡差距的职能作用。
二是反映粮食完全成本和合理利润。目前我国粮食价格体系中,只有调节供求的市场价和保护农民最低收入的最低收购价,没有反映粮食完全成本和持续提高农民收入的目标价格形式。有必要在粮食价格体系中,增加一个反映粮食完全成本,有利于持续提高农民收入,高于市场价又不会直接拉动市场粮价上升的目标价格。
三是反映资源环境成本,缓解农民压力。由于我国粮食价格成本不实,目前还没有完全反映资源环境成本。在粮食生产的资源环境成本上升后,会加大粮食生产的困难。在粮食市场价格短期内难以提高的背景下,目标价格补贴缓解资源环境涨价对农民的压力。
呼伦贝尔人事考试信息 www.xiexiebang.com