» 第三章  信息安全管理体系的构建与认证



               机构的评定和认证程序，使其在技术运作上保持一致，从而确保有效的国际互认。目
               前，中国已经在质量管理体系（QMS）、环境管理体系（EMS）两个管理体系的认证
               证书与IAF的成员单位签订了互认协议。但是信息安全管理体系（ISMS）涉及安全等
               敏感问题，各国的认可机构都没有在ISMS领域加入IAF，因此还没有实现国际互认。
               严格说来，带有CNAS、UKAS、ANAB等标志的ISMS认证证书都不属于国际认证证

               书，均不具有国际互认性，获得任何一家认证机构颁发的证书都不能称为获得了国际
               认证。
                   第三，中国合格评定国家认可中心（CNAS）作为IAF17个发起成员单位之一，

               承担着众多责任。目前CNAS作为主要协调单位，正积极组织开展信息安全管理体系
               国际互认工作，但各国签署互认协议、加入IAF还有待时日。
                   综上所述，只有IAF中的各成员单位就ISMS签署多边互认协议，同时相关认证机
               构被授权在所颁发的ISMS认证证书上加贴IAF标识后，该ISMS认证证书才具有国际

               互认性。
                   （四）ISO/IEC27000 族标准中已转化为中国国家标准
                   第一，是ISO/IEC27001：2005已等同转化为中国国家标准GB/T22080-2008/ISO/

               IEC27001：2005。《信息技术安全技术信息安全管理体系要求》（2008-06-19发布，
               2008-11-01实施）。
                   第二，ISO/IEC27002：2005已等同转化为中国国家标准GB/T22081-2008/ISO/
               IEC27002：2005。《信息技术安全技术信息安全管理实用规则》（2008-06-19发布，
               2008-11-01实施）。

                   目前，全国信息安全标准化技术委员会（TC260）信息安全管理工作组（WG7）
               正在不断推进信息安全管理体系国家标准的编制和转化工作。
                   （五）建立信息安全管理体系对组织的优势

                   一是通过定期的监督审核将确保组织的体系不断地被监督和改善，并以此作为增
               强信息安全性的依据。
                   二是通过第三方的认证能增强投资者及其他利益相关方的投资信心。
                   三是通过认证能够向及行业主管部门证明组织对相关法律法规的符合性。

                   四是通过认证能保证和证明组织对信息安全的承诺。
                   五是通过认证可改善组织的业绩、拓展业务、消除不信任感。
                   建立信息安全管理体系，能切实提高组织的信息安全管理水平，提高全员信息安
               全意识，降低信息安全风险，保证信息的保密性、完整性和可用性。尤其是通过第三

               方的认证，更能向其他各方证明其信息安全管理能力，因此越来越多的组织建立信息
               安全管理体系。截至2009年9月，全球有5941个组织获得了信息安全管理体系认证，


                                                                                          • 67 •