论文部分内容阅读
作为一个新兴的认证领域,信息安全认证面临很多新的课题,随着信息安全认证机构的增多,以及信息安全认证市场需求的不断扩大,认证活动中安全风险的监管问题正在引起越来越多的关注。
信息安全认证有风险
所谓“信息安全认证中的安全风险”,特指信息安全认证机构借助认证活动的便利条件,知悉被认证组织的敏感信息,或者直接接触被认证组织的信息系统,从而为被认证组织的信息资产带来的安全风险,简称“认证安全风险”。
与常规认证认可制度研究中的认证风险概念不同,认证安全风险的承担者不是认证机构,而是被认证组织。制造风险的直接主体则是认证机构。认证安全风险在本质上属于信息安全风险,其后果是被认证组织的信息资产的保密性、完整性和可用性遭受损失。
根据《认证认可条例》定义的认证类型,当前认监委已经批准的信息安全认证业务分为信息安全产品认证、信息安全服务认证和信息安全管理体系认证。在以上三类认证活动中,信息安全产品和信息安全服务的被认证组织仅限于信息安全产品和服务提供商,且目前承担信息安全产品和服务认证的中国信息安全认证中心是由中编办批准、隶属于国家质检总局的事业单位。因此,信息安全产品认证和信息安全服务认证中的安全风险已经降至最低。信息安全管理体系认证则不同:首先,其被认证组织遍布国民经济的各个行业和各个领域,甚至包括政府等公共机构;其次,国家认监委已经放开了信息安全管理体系认证机构的审批,前期已获批的认证机构中既有国有事业单位,也有国内企业,此外还有外资企业,认证市场的组成十分复杂。因此,目前认证安全风险问题主要存在于信息安全管理体系认证活动中。
从国家安全高度加以重视
1.认证安全风险的表现形式
在信息安全管理体系认证的审核阶段,认证机构会接触到受审核组织大量的敏感信息。这类信息分为两类:一类是受审核组织的信息系统中存储的信息;另一类是与受审核组织的信息安全防护相关的信息。例如,受审核组织的信息安全风险评估报告全面记录了系统的信息资产、对信息安全威胁的判断、信息安全漏洞、信息安全控制措施配置等信息,网络拓扑图也为攻击者入侵系统提供了丰富的信息。这些信息如果被认证机构恶意使用,或者泄露给恶意第三方,都会导致受审核组织的信息失窃,或使其信息系统被外部控制。
此外,由于认证机构会直接接触受审核组织的信息系统,存在篡改其信息系统的可能性,例如在系统中植入恶意程序,或改变信息系统的功能,这便是美国国家安全局曾提出的五类信息安全威胁之—临近攻击。
以上问题不是在特定时期存在,也不是在特定场合存在,而是在任何一次信息安全管理体系认证中都有可能发生。因为认证机构为了开展工作,必须接触受审核组织的信息系统,必须获得受审核组织的信息安全风险评估报告、网络拓扑图等信息安全相关信息。如果受审核组织位于关系国民经济命脉的重点行业,则认证机构的恶意行为可能使国家利益严重受损。
2.认证安全风险是一个国家安全问题
当前,信息安全已经成为国家安全的重要组成部分,国际上围绕信息的控制与反控制的斗争正日趋激烈。但是,很多这样的斗争常常隐藏在了看似正常的国际商贸活动之中,使公众忽视了信息安全斗争的复杂性和长期性。当前,对认证安全风险的认识往往存在三个误区:
一是认为认证机构在审核活动中获得的信息无关紧要。事实上,如今信息安全攻击与防范的技术的专业化程度已经超出了很多人的想象。对一个熟练的攻击者而言,任何有关攻击目标的些许信息,都可能为其大开方便之门。以最普通的受审核组织的组织架构、员工姓名和联系方式等信息为例,这些信息足以使攻击者发起一次成功的社会工程攻击。
二是认为受审核组织的信息仅关系到组织自身的安全,与国家安全相去甚远。当前,信息技术的广泛渗透性以及国民经济和社会发展对信息技术应用的依赖,使网络与信息系统的战略地位凸显。特别是关系国计民生的重要行业的网络与信息系统,已经成为国与国军事对抗的战场,成为非常时期敌方打击的首要目标。正因为如此,中共中央办公厅于2003年转发的《国家信息化领导小组关于加强信息安全保障工作的意见》便将“重点保障基础信息网络和重要信息系统安全”作为我国信息安全保障工作的总体要求之一。
三是认为认证机构都是守法企业,不可能去实施恶意行为。我们并不想对认证机构的行为妄加猜测,但必须强调,这是影响国家信息安全的一种途径,必须牢固树立风险防范意识。我国媒体曾多次报道,西方发达国家在近年来极力收集我基础信息网络和重要信息系统的敏感信息,甚至在这些网络与信息系统中大量植入后门、木马等恶意程序。来自西方发达国家的信息技术企业在华的扩张与渗透无疑为其上述行为提供了便利条件。任何商业实体都是具有国籍属性的,都可能在国家紧急动员时被以国家意志而“征用”,为各国的政治服务。
建立信息安全服务管理制度
认证安全风险的出现是认证认可领域中的一个新问题。但是,在信息安全领域,类似问题由来已久,这便是信息安全服务的管理问题。目前,我国对信息安全服务的类型尚无统一标准,但无论在哪一种信息安全服务中,服务提供者对服务对象的了解都是深入和细致的,甚至直接掌控服务对象的信息系统和重要信息。从服务提供者与服务对象的关系以及服务的技术特征角度而言,信息安全管理体系认证是一种特殊的信息安全服务。在服务过程可能引发安全风险这一问题上,信息安全认证与其他信息安全服务毫无二致。由此,安全风险的管理对策也必然具有共通性。
为了加强信息安全服务管理,近年来我国有关部门和一些地方政府先后实施了信息安全相关服务管理制度。但是,这些制度的适用范围有限,且多关注服务能力,没有考虑如何防范安全风险。
目前,国外信息安全服务商和信息技术服务商已经在我国高端服务市场占垄断地位,这早已被视为国家信息安全的重大隐患。近年来,我国网络与信息安全主管部门多次展开广泛调研,但目前尚未发布信息安全服务管理政策意见。在这种情况下,要解决信息安全认证中的安全风险,目前还缺少更加明晰的政策环境和直接的政策支持。
管理认证安全风险六大对策
当前认证安全风险主要存在于信息安全管理体系认证领域,如何加强信息安全管理体系认证领域的安全风险管理?
1.管理目标
我国对涉密信息系统有着严格管理,没有涉密系统集成资质的企业不能向其提供安全服务。至于政府信息系统,在相当长时间内申请信息安全管理体系认证者极少。因此,加强认证安全风险管理的主要目标,是确保基础信息网络和重要信息系统在接受认证时的安全。建议围绕这一目标设立管理制度。
2.管理重点
建议认证认可监督管理部门在认证程序方面设定严格要求,例如禁止认证机构携带电子设备进入审核现场,不得将客户的任何纸质或电子资料带离现场,任何资料不得离境等。在制定这些管理要求时,一是要注意可行性,避免影响正常的认证活动,二是不能与将来发布的ISO/IEC 27007《信息安全管理体系审核指南》相悖。
但是,以上措施只能在一定程度上降低认证风险,而不能从根源上杜绝风险。从各国对供应链安全管理的实际经验及发展趋势看,在重要领域屏蔽国外机构的服务,应该是最终的方向。我们关注的重要领域不仅仅是军事和情报系统,可能会有人质疑这违反了WTO规则的国民待遇原则。其实,WTO规则规定了一般安全例外和国家安全例外,但并未对国家安全的范畴作出定义。从我国信息化发展和信息安全保障的具体情况出发,当前完全可以明确基础信息网络和重要信息系统与国家安全的关系,要敢于在此领域适用“国家安全例外”。当然,这会引发与他国的新一轮政治和经济博弈,但在涉及国家安全的重大问题上,必须有这样的决心。否则,我国的认证安全风险管理政策以及今后的信息安全服务管理政策终将难有作为。
3.管理环节
认证安全风险管理的目标是保护特定领域网络与系统的安全,因此难以在准入环节上对认证机构区别对待。建议以采购管理为主,准入管理为辅。但准入环节依然可以发挥前置门槛的作用,对认证市场进行总量控制,以减轻采购环节的压力。在采购环节,如当前出台强制性采购政策的操作阻力较大,则可先行出台指导性意见,引导基础网络和重要信息系统选择国内认证机构提供的信息安全管理体系认证服务。
4.风险管理与信息安全服务管理政策的关系
认证安全风险管理政策是一种特殊的信息安全服务管理政策,应受到我国信息安全服务管理制度所确立的总体原则的指导和支持。但在我国信息安全服务管理政策依然缺位的情况下,不妨先制定认证安全风险管理政策,这也可以为将来出台信息安全服务管理政策积累经验。当然,这会在一定程度上增加认证安全风险管理政策的起草难度,特别是在采购政策方面。
与管理其他信息安全服务中的安全风险相比,认证安全风险管理工作也有两个有利条件:一是国内认证机构已经成熟,可以完全替代国外认证机构的服务,甚至在某些领域的影响力已经超越国外认证机构;二是信息安全认证机构及其认证活动已经受到国家认监委的严格管理,而目前绝大多数信息安全服务都缺少主管或监管部门。在制定认证安全风险管理政策时,要充分利用这两个有利条件。
5.辅助措施
一是加大宣传和引导力度。目前国内很多用户对信息安全管理体系认证还存在不当认识,例如很多人不知道成立认证机构以及开展认证活动需要得到认监委的审批,还有一些人认为国外认证机构颁发的是国际证书,而国内认证机构颁发的证书则没有权威性等。这将导致用户在选择认证机构时带有错误的倾向性,以及证书采信者对证书价值产生误判。目前这一问题非常严重,一些地方政府出台的认证资助政策甚至规定,只资助获得国外证书的企业,而对国内的证书不予承认。
二是严格市场准入条件,实行总量控制,并对违反《认证认可条例》的行为进行严厉查处。
三是积极推动信息安全管理体系认证的国际互认工作。
四是大力鼓励国内认证机构的发展,提高国内认证机构的品牌影响力。
6.管理责任
认证安全风险管理工作应由哪一个部门牵头?从《认证认可条例》制定的初衷看,监管目标的核心还是确保认证有效性。认证风险是认证认可制度研究中的热点问题,但认证安全风险与传统的认证风险的概念完全不同,也与认证有效性没有逻辑上的必然联系。至于认证机构在认证活动中的违法行为(这些违法行为当然不限于违反了《认证认可条例》),应由法律授权的部门在各自职责范围内予以查处。认证安全风险是信息化发展带来的新问题,目前我国还没有立法对收集客户信息(包括修改客户的信息系统)以及信息出境问题进行规范,对公民个人信息以及企业秘密的保护也缺少完善的法律规定。在这种情况下,认证认可监督管理部门从维护社会公平正义的角度出发,对认证机构的保密义务作出了规定,并且还拥有手段和庞大的执法队伍。但是,不能就此推论应由认证认可监督管理部门负责信息安全认证风险管理。
当然,可以修改现有的法规,或起草新的法规,授权各行业监管部门对本行业的信息安全风险进行管理,这并非不可行。建议将来的信息安全立法中要在总体上明确我国信息安全服务管理体制及主管部门。其主管部门可以根据具体服务类型的不同分为多个,例如国务院网络与信息安全主管部门可对认证服务之外的多数服务设立行政许可,并查处侵害客户信息安全利益的服务行为。对于认证服务这类已有监督管理部门的,则完全可以授权认证认可监督管理部门对认证安全风险进行监管。
因此,责任制问题的实质,是立法问题。只要我国信息安全服务管理制度设计完善,并立法明确信息安全服务管理部门的责任,并非不可以由认证认可监督管理部门承担认证安全管理职责,但这种管理也仅限于规则的制定和对认证机构的查处,不能涉及采购环节。
认证安全风险管理涉及到多个方面的工作,必然需要建立多部门合作机制,相互配合,不能简单地讲由哪一个部门负主要责任。美国在解决供应链安全问题的思路中,屡次强调“综合性”、“多管齐下”、“战略性”,也是出于同样的原因。我国信息安全立法还不十分完善,客观上造成了一些重大事项责任制的模糊。在当前这种情况下,我们建议在实践中对认证安全风险管理工作职责作如下区分:
国务院网络与信息安全主管部门一要尽快制定基础信息网络和重要信息系统使用认证服务的有关采购规定,二要加快《信息安全条例》的制定,在条例中明确哪些信息安全服务中的行为应予禁止。
国务院认证认可监督管理部门充分利用现有的监管手段,一要在可能的情况下继续严格信息安全管理体系认证程序,维护国家秘密和商业秘密的安全,二要加强本文前面提到的四项辅助性措施。
国外的安全风险防范意识及相关措施
以美国的信息安全产品认证为例,虽然美国是CC(信息技术安全性评估通用准则)互认协定的发起国,但其政府公布的产品采购清单(用于国家安全系统中)上,迄今没有由国外认证机构认证的产品。
对信息安全管理体系认证等业务,西方发达国家目前虽然还没有专门的安全风险防范措施,但对于包含认证服务在内的所有的信息安全和信息技术相关服务,西方发达国家都在重点领域(例如国防和政府部门)施以严格的准入措施。例如:德国政府的信息安全服务全部由德国信息安全办公室(BSI)完成,国外企业根本不可能涉足。
美国在鼓励其企业在各国扩张的同时,对自身在采购信息技术产品和服务过程中面临的风险极为警惕。多年以来,美国一直在研究“供应链”的安全问题。2009年5月,美国政府发布了网络空间安全政策评估报告,提出要整合执法、情报、反情报、军事等力量,对从远程网络入侵到供应链安全等全面的信息安全威胁进行抵御。2010年3月,美国政府解密了曾一度被列为高度机密的第54 号国家安全总统令的摘要,该摘要显示,美国已将情报威胁和供应链威胁列为信息安全领域的两大重点威胁。其关注的供应链问题涵盖了产品、系统和服务这三类对象,提出的解决该问题的工作方向有四个:一是必须提高安全意识;二是在技术层面开发风险控制工具;三是在政策层面调整采购政策;四是加强与工业界的合作。
我国企业联想集团并购IBM全球个人计算机业务一案,进一步说明了美国对国外产品和服务提供商的防范意识。美国曾迫使联想集团签署了“国家安全协议”,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购计算机产品的用户信息,以及任何有关具体的美国政府部门可能会采购计算机产品的信息。为此,联想不得直接向美国政府销售,而必须通过第三方代理销售;同时,不准美国政府用户的信息走出美国本土。而且,联想还必须接受美国安全部门对其信息系统使用情况的检查;另外,联想必须通过美国政府认可的本国公司提供产品售后服务,而不能直接进行产品售后服务。通过这些举措,完全排除了联想直接接触美国的重要机构及其系统的可能性,甚至连哪些部门购买了其计算机设备都无从知晓。
信息安全认证有风险
所谓“信息安全认证中的安全风险”,特指信息安全认证机构借助认证活动的便利条件,知悉被认证组织的敏感信息,或者直接接触被认证组织的信息系统,从而为被认证组织的信息资产带来的安全风险,简称“认证安全风险”。
与常规认证认可制度研究中的认证风险概念不同,认证安全风险的承担者不是认证机构,而是被认证组织。制造风险的直接主体则是认证机构。认证安全风险在本质上属于信息安全风险,其后果是被认证组织的信息资产的保密性、完整性和可用性遭受损失。
根据《认证认可条例》定义的认证类型,当前认监委已经批准的信息安全认证业务分为信息安全产品认证、信息安全服务认证和信息安全管理体系认证。在以上三类认证活动中,信息安全产品和信息安全服务的被认证组织仅限于信息安全产品和服务提供商,且目前承担信息安全产品和服务认证的中国信息安全认证中心是由中编办批准、隶属于国家质检总局的事业单位。因此,信息安全产品认证和信息安全服务认证中的安全风险已经降至最低。信息安全管理体系认证则不同:首先,其被认证组织遍布国民经济的各个行业和各个领域,甚至包括政府等公共机构;其次,国家认监委已经放开了信息安全管理体系认证机构的审批,前期已获批的认证机构中既有国有事业单位,也有国内企业,此外还有外资企业,认证市场的组成十分复杂。因此,目前认证安全风险问题主要存在于信息安全管理体系认证活动中。
从国家安全高度加以重视
1.认证安全风险的表现形式
在信息安全管理体系认证的审核阶段,认证机构会接触到受审核组织大量的敏感信息。这类信息分为两类:一类是受审核组织的信息系统中存储的信息;另一类是与受审核组织的信息安全防护相关的信息。例如,受审核组织的信息安全风险评估报告全面记录了系统的信息资产、对信息安全威胁的判断、信息安全漏洞、信息安全控制措施配置等信息,网络拓扑图也为攻击者入侵系统提供了丰富的信息。这些信息如果被认证机构恶意使用,或者泄露给恶意第三方,都会导致受审核组织的信息失窃,或使其信息系统被外部控制。
此外,由于认证机构会直接接触受审核组织的信息系统,存在篡改其信息系统的可能性,例如在系统中植入恶意程序,或改变信息系统的功能,这便是美国国家安全局曾提出的五类信息安全威胁之—临近攻击。
以上问题不是在特定时期存在,也不是在特定场合存在,而是在任何一次信息安全管理体系认证中都有可能发生。因为认证机构为了开展工作,必须接触受审核组织的信息系统,必须获得受审核组织的信息安全风险评估报告、网络拓扑图等信息安全相关信息。如果受审核组织位于关系国民经济命脉的重点行业,则认证机构的恶意行为可能使国家利益严重受损。
2.认证安全风险是一个国家安全问题
当前,信息安全已经成为国家安全的重要组成部分,国际上围绕信息的控制与反控制的斗争正日趋激烈。但是,很多这样的斗争常常隐藏在了看似正常的国际商贸活动之中,使公众忽视了信息安全斗争的复杂性和长期性。当前,对认证安全风险的认识往往存在三个误区:
一是认为认证机构在审核活动中获得的信息无关紧要。事实上,如今信息安全攻击与防范的技术的专业化程度已经超出了很多人的想象。对一个熟练的攻击者而言,任何有关攻击目标的些许信息,都可能为其大开方便之门。以最普通的受审核组织的组织架构、员工姓名和联系方式等信息为例,这些信息足以使攻击者发起一次成功的社会工程攻击。
二是认为受审核组织的信息仅关系到组织自身的安全,与国家安全相去甚远。当前,信息技术的广泛渗透性以及国民经济和社会发展对信息技术应用的依赖,使网络与信息系统的战略地位凸显。特别是关系国计民生的重要行业的网络与信息系统,已经成为国与国军事对抗的战场,成为非常时期敌方打击的首要目标。正因为如此,中共中央办公厅于2003年转发的《国家信息化领导小组关于加强信息安全保障工作的意见》便将“重点保障基础信息网络和重要信息系统安全”作为我国信息安全保障工作的总体要求之一。
三是认为认证机构都是守法企业,不可能去实施恶意行为。我们并不想对认证机构的行为妄加猜测,但必须强调,这是影响国家信息安全的一种途径,必须牢固树立风险防范意识。我国媒体曾多次报道,西方发达国家在近年来极力收集我基础信息网络和重要信息系统的敏感信息,甚至在这些网络与信息系统中大量植入后门、木马等恶意程序。来自西方发达国家的信息技术企业在华的扩张与渗透无疑为其上述行为提供了便利条件。任何商业实体都是具有国籍属性的,都可能在国家紧急动员时被以国家意志而“征用”,为各国的政治服务。
建立信息安全服务管理制度
认证安全风险的出现是认证认可领域中的一个新问题。但是,在信息安全领域,类似问题由来已久,这便是信息安全服务的管理问题。目前,我国对信息安全服务的类型尚无统一标准,但无论在哪一种信息安全服务中,服务提供者对服务对象的了解都是深入和细致的,甚至直接掌控服务对象的信息系统和重要信息。从服务提供者与服务对象的关系以及服务的技术特征角度而言,信息安全管理体系认证是一种特殊的信息安全服务。在服务过程可能引发安全风险这一问题上,信息安全认证与其他信息安全服务毫无二致。由此,安全风险的管理对策也必然具有共通性。
为了加强信息安全服务管理,近年来我国有关部门和一些地方政府先后实施了信息安全相关服务管理制度。但是,这些制度的适用范围有限,且多关注服务能力,没有考虑如何防范安全风险。
目前,国外信息安全服务商和信息技术服务商已经在我国高端服务市场占垄断地位,这早已被视为国家信息安全的重大隐患。近年来,我国网络与信息安全主管部门多次展开广泛调研,但目前尚未发布信息安全服务管理政策意见。在这种情况下,要解决信息安全认证中的安全风险,目前还缺少更加明晰的政策环境和直接的政策支持。
管理认证安全风险六大对策
当前认证安全风险主要存在于信息安全管理体系认证领域,如何加强信息安全管理体系认证领域的安全风险管理?
1.管理目标
我国对涉密信息系统有着严格管理,没有涉密系统集成资质的企业不能向其提供安全服务。至于政府信息系统,在相当长时间内申请信息安全管理体系认证者极少。因此,加强认证安全风险管理的主要目标,是确保基础信息网络和重要信息系统在接受认证时的安全。建议围绕这一目标设立管理制度。
2.管理重点
建议认证认可监督管理部门在认证程序方面设定严格要求,例如禁止认证机构携带电子设备进入审核现场,不得将客户的任何纸质或电子资料带离现场,任何资料不得离境等。在制定这些管理要求时,一是要注意可行性,避免影响正常的认证活动,二是不能与将来发布的ISO/IEC 27007《信息安全管理体系审核指南》相悖。
但是,以上措施只能在一定程度上降低认证风险,而不能从根源上杜绝风险。从各国对供应链安全管理的实际经验及发展趋势看,在重要领域屏蔽国外机构的服务,应该是最终的方向。我们关注的重要领域不仅仅是军事和情报系统,可能会有人质疑这违反了WTO规则的国民待遇原则。其实,WTO规则规定了一般安全例外和国家安全例外,但并未对国家安全的范畴作出定义。从我国信息化发展和信息安全保障的具体情况出发,当前完全可以明确基础信息网络和重要信息系统与国家安全的关系,要敢于在此领域适用“国家安全例外”。当然,这会引发与他国的新一轮政治和经济博弈,但在涉及国家安全的重大问题上,必须有这样的决心。否则,我国的认证安全风险管理政策以及今后的信息安全服务管理政策终将难有作为。
3.管理环节
认证安全风险管理的目标是保护特定领域网络与系统的安全,因此难以在准入环节上对认证机构区别对待。建议以采购管理为主,准入管理为辅。但准入环节依然可以发挥前置门槛的作用,对认证市场进行总量控制,以减轻采购环节的压力。在采购环节,如当前出台强制性采购政策的操作阻力较大,则可先行出台指导性意见,引导基础网络和重要信息系统选择国内认证机构提供的信息安全管理体系认证服务。
4.风险管理与信息安全服务管理政策的关系
认证安全风险管理政策是一种特殊的信息安全服务管理政策,应受到我国信息安全服务管理制度所确立的总体原则的指导和支持。但在我国信息安全服务管理政策依然缺位的情况下,不妨先制定认证安全风险管理政策,这也可以为将来出台信息安全服务管理政策积累经验。当然,这会在一定程度上增加认证安全风险管理政策的起草难度,特别是在采购政策方面。
与管理其他信息安全服务中的安全风险相比,认证安全风险管理工作也有两个有利条件:一是国内认证机构已经成熟,可以完全替代国外认证机构的服务,甚至在某些领域的影响力已经超越国外认证机构;二是信息安全认证机构及其认证活动已经受到国家认监委的严格管理,而目前绝大多数信息安全服务都缺少主管或监管部门。在制定认证安全风险管理政策时,要充分利用这两个有利条件。
5.辅助措施
一是加大宣传和引导力度。目前国内很多用户对信息安全管理体系认证还存在不当认识,例如很多人不知道成立认证机构以及开展认证活动需要得到认监委的审批,还有一些人认为国外认证机构颁发的是国际证书,而国内认证机构颁发的证书则没有权威性等。这将导致用户在选择认证机构时带有错误的倾向性,以及证书采信者对证书价值产生误判。目前这一问题非常严重,一些地方政府出台的认证资助政策甚至规定,只资助获得国外证书的企业,而对国内的证书不予承认。
二是严格市场准入条件,实行总量控制,并对违反《认证认可条例》的行为进行严厉查处。
三是积极推动信息安全管理体系认证的国际互认工作。
四是大力鼓励国内认证机构的发展,提高国内认证机构的品牌影响力。
6.管理责任
认证安全风险管理工作应由哪一个部门牵头?从《认证认可条例》制定的初衷看,监管目标的核心还是确保认证有效性。认证风险是认证认可制度研究中的热点问题,但认证安全风险与传统的认证风险的概念完全不同,也与认证有效性没有逻辑上的必然联系。至于认证机构在认证活动中的违法行为(这些违法行为当然不限于违反了《认证认可条例》),应由法律授权的部门在各自职责范围内予以查处。认证安全风险是信息化发展带来的新问题,目前我国还没有立法对收集客户信息(包括修改客户的信息系统)以及信息出境问题进行规范,对公民个人信息以及企业秘密的保护也缺少完善的法律规定。在这种情况下,认证认可监督管理部门从维护社会公平正义的角度出发,对认证机构的保密义务作出了规定,并且还拥有手段和庞大的执法队伍。但是,不能就此推论应由认证认可监督管理部门负责信息安全认证风险管理。
当然,可以修改现有的法规,或起草新的法规,授权各行业监管部门对本行业的信息安全风险进行管理,这并非不可行。建议将来的信息安全立法中要在总体上明确我国信息安全服务管理体制及主管部门。其主管部门可以根据具体服务类型的不同分为多个,例如国务院网络与信息安全主管部门可对认证服务之外的多数服务设立行政许可,并查处侵害客户信息安全利益的服务行为。对于认证服务这类已有监督管理部门的,则完全可以授权认证认可监督管理部门对认证安全风险进行监管。
因此,责任制问题的实质,是立法问题。只要我国信息安全服务管理制度设计完善,并立法明确信息安全服务管理部门的责任,并非不可以由认证认可监督管理部门承担认证安全管理职责,但这种管理也仅限于规则的制定和对认证机构的查处,不能涉及采购环节。
认证安全风险管理涉及到多个方面的工作,必然需要建立多部门合作机制,相互配合,不能简单地讲由哪一个部门负主要责任。美国在解决供应链安全问题的思路中,屡次强调“综合性”、“多管齐下”、“战略性”,也是出于同样的原因。我国信息安全立法还不十分完善,客观上造成了一些重大事项责任制的模糊。在当前这种情况下,我们建议在实践中对认证安全风险管理工作职责作如下区分:
国务院网络与信息安全主管部门一要尽快制定基础信息网络和重要信息系统使用认证服务的有关采购规定,二要加快《信息安全条例》的制定,在条例中明确哪些信息安全服务中的行为应予禁止。
国务院认证认可监督管理部门充分利用现有的监管手段,一要在可能的情况下继续严格信息安全管理体系认证程序,维护国家秘密和商业秘密的安全,二要加强本文前面提到的四项辅助性措施。
国外的安全风险防范意识及相关措施
以美国的信息安全产品认证为例,虽然美国是CC(信息技术安全性评估通用准则)互认协定的发起国,但其政府公布的产品采购清单(用于国家安全系统中)上,迄今没有由国外认证机构认证的产品。
对信息安全管理体系认证等业务,西方发达国家目前虽然还没有专门的安全风险防范措施,但对于包含认证服务在内的所有的信息安全和信息技术相关服务,西方发达国家都在重点领域(例如国防和政府部门)施以严格的准入措施。例如:德国政府的信息安全服务全部由德国信息安全办公室(BSI)完成,国外企业根本不可能涉足。
美国在鼓励其企业在各国扩张的同时,对自身在采购信息技术产品和服务过程中面临的风险极为警惕。多年以来,美国一直在研究“供应链”的安全问题。2009年5月,美国政府发布了网络空间安全政策评估报告,提出要整合执法、情报、反情报、军事等力量,对从远程网络入侵到供应链安全等全面的信息安全威胁进行抵御。2010年3月,美国政府解密了曾一度被列为高度机密的第54 号国家安全总统令的摘要,该摘要显示,美国已将情报威胁和供应链威胁列为信息安全领域的两大重点威胁。其关注的供应链问题涵盖了产品、系统和服务这三类对象,提出的解决该问题的工作方向有四个:一是必须提高安全意识;二是在技术层面开发风险控制工具;三是在政策层面调整采购政策;四是加强与工业界的合作。
我国企业联想集团并购IBM全球个人计算机业务一案,进一步说明了美国对国外产品和服务提供商的防范意识。美国曾迫使联想集团签署了“国家安全协议”,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购计算机产品的用户信息,以及任何有关具体的美国政府部门可能会采购计算机产品的信息。为此,联想不得直接向美国政府销售,而必须通过第三方代理销售;同时,不准美国政府用户的信息走出美国本土。而且,联想还必须接受美国安全部门对其信息系统使用情况的检查;另外,联想必须通过美国政府认可的本国公司提供产品售后服务,而不能直接进行产品售后服务。通过这些举措,完全排除了联想直接接触美国的重要机构及其系统的可能性,甚至连哪些部门购买了其计算机设备都无从知晓。