□左曉棟 鄭 瑩

    [核心提示]

    信息安全認證是一個新興的認證領域，面臨著很多新的課題。特別是信息安全對國家安全、社會穩定、公眾利益和公民權益的重要影響，為做好信息安全認證工作提出了很多新的要求。當前，隨著信息安全認證機構的增多以及信息安全認證市場需求的不斷擴大，認證活動中安全風險的監管問題正在引起越來越多的關注。

    左曉棟 博士，近年來先后擔任中國政府信息安全白皮書、《中華人民共和國信息安全條例》等國家重大信息安全政策法規起草組成員，發表論文20余篇，執筆起草信息安全標準5部，出版專著和譯著7部，現任中國信息安全認證中心綜合業務處副處長，西安交通大學法學院兼職研究生導師。

    信息安全認證中的安全風險

    與國家安全息息相關

    信息安全認證中的安全風險，特指信息安全認證機構借助認證活動的便利條件，知悉被認證組織的敏感信息，或者直接接觸被認證組織的信息系統，從而為被認證組織的信息資產帶來的安全風險。我們在這里將信息安全認證中的安全風險簡稱認證安全風險。

    認證安全風險主要是由認證機構的惡意行為引發的。我國信息安全產品認證和信息安全服務認證由國家成立的事業單位實施，認證安全風險已經降至最低，目前的認證安全風險主要集中于信息安全管理體系認證領域。因此，這里主要討論該領域的認證安全風險管理問題。

    在信息安全管理體系認證的審核階段，認證機構會接觸到受審核組織大量的敏感信息。這類信息分為兩類：一類是受審核組織的信息系統中存儲的信息，另一類是與受審核組織的信息安全防護相關的信息。例如，受審核組織的信息安全風險評估報告全面記錄了系統的信息資產、對信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息。這些信息如果被認證機構惡意使用，或者泄露給惡意第三方，都會導致受審核組織的信息失竊，或使其信息系統被外部控制。

    此外，由于認證機構會直接接觸受審核組織的信息系統，存在篡改其信息系統的可能性，例如在系統中植入惡意程序，或改變信息系統的功能，這便是美國國家安全局曾提出的五類信息安全威脅之一———臨近攻擊。

    當前，信息安全已經成為國家安全的重要組成部分，國際上圍繞信息的控制與反控制的斗爭正日趨激烈。但是，很多這樣的斗爭常常隱藏在了看似正常的國際商貿活動之中，使公眾忽視了信息安全斗爭的復雜性和長期性。當前，對認證安全風險的認識往往存在三個誤區：

    一是認為認證機構在審核活動中獲得的信息無關緊要。事實上，如今信息安全攻擊與防范的技術的專業化程度已經超出了很多人的想象。對一個熟練的攻擊者而言，任何有關攻擊目標的些許信息，都可能為其大開方便之門。

    二是認為受審核組織的信息僅關系到組織自身的安全，與國家安全相去甚遠。當前，信息技術的廣泛滲透性以及國民經濟和社會發展對信息技術應用的依賴，使網絡與信息系統的戰略地位凸顯。特別是關系國計民生的重要行業的網絡與信息系統，已經成為國與國軍事對抗的戰場，成為非常時期敵方打擊的首要目標。

    三是認為認證機構都是守法企業，不可能去實施惡意行為。在這里，我們并不對認證機構的行為妄加猜測，但必須強調，這是影響國家信息安全的一種途徑，必須牢固樹立風險防范意識。任何商業實體都是具有國籍屬性，都可能在國家緊急動員時被以國家意志而“征用”，為各國的政治服務。

    認證安全風險管理問題的實質

    是信息安全服務管理制度

    認證安全風險的出現是認證認可領域中的一個新問題。但是，在信息安全領域，類似問題由來已久，這便是信息安全服務的管理問題。從服務提供者與服務對象的關系以及服務的技術特征角度而言，信息安全管理體系認證是一種特殊的信息安全服務。在服務過程可能引發安全風險這一問題上，信息安全認證與其它信息安全服務毫無二致。由此，安全風險的管理對策也必然具有共通性。

    為了加強信息安全服務管理，近年來我國有關部門和一些地方政府先后實施了信息安全相關服務管理制度。但是，這些制度的適用范圍有限，且多關注服務能力，沒有考慮如何防范安全風險。近年來，我國網絡與信息安全主管部門多次展開廣泛調研，但目前尚未發布信息安全服務管理政策意見。在這種情況下，要解決信息安全認證中的安全風險，目前還缺少更加明晰的政策環境和直接的政策支持。

    加強認證安全風險管理的

    思路分析及有關對策建議

    我國對涉密信息系統有著嚴格管理，沒有涉密系統集成資質的企業不能向其提供安全服務，包括認證服務。至于政府信息系統，在相當長時間內申請信息安全管理體系認證者極少。因此，加強認證安全風險管理的主要目標，是確保基礎信息網絡和重要信息系統在接受認證時的安全。建議國家圍繞這一目標設立管理制度。

    建議認證認可監督管理部門在認證程序方面設定嚴格要求，例如禁止認證機構攜帶電子設備進入審核現場，不得將客戶的任何紙質或電子資料帶離現場，任何資料不得離境等。在制定這些管理要求時，一是要注意可行性，避免影響正常的認證活動，二是要不能與將來發布的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

    但是，以上措施還不能從根源上杜絕風險。從各國對供應鏈安全管理的實際經驗及發展趨勢看，在重要領域屏蔽國外機構的服務，這應該是最終的方向。

    建議以采購管理為主，準入管理為輔。但準入環節依然可以發揮前置門檻的作用，對認證市場進行總量控制，以減輕采購環節的壓力。在采購環節，如當前出臺強制性采購政策的操作阻力較大，則可先行出臺指導性意見，引導基礎網絡和重要信息系統選擇國內認證機構提供的信息安全管理體系認證服務。

    認證安全風險管理政策是一種特殊的信息安全服務管理政策，應受到我國信息安全服務管理制度所確立的總體原則的指導和支持。但在我國信息安全服務管理政策依然缺位的情況下，不妨先制定認證安全風險管理政策，這也可以為將來出臺信息安全服務管理政策積累經驗。當然，這會在一定程度上增加認證安全風險管理政策的起草難度，特別是在采購政策方面。

    建議在以下方面加強輔助措施：

    一是加大宣傳和引導力度。目前國內很多用戶對信息安全管理體系認證還存在不當認識，例如很多人不知道成立認證機構以及開展認證活動需要得到認監委的審批，還有一些人認為國外認證機構頒發的是國際證書，而國內認證機構頒發的證書則沒有權威性等。這將導致用戶在選擇認證機構時帶有錯誤的傾向性，以及證書采信者對證書價值產生誤判。

    二是嚴格市場準入條件，實行總量控制，并對違反《認證認可條例》的行為進行嚴厲查處。

    三是積極推動信息安全管理體系認證的國際互認工作。

    四是大力鼓勵國內認證機構的發展，提高國內認證機構的品牌影響力。

    責任制問題的實質是立法問題。認證安全風險是信息化發展帶來的新問題，目前我國還沒有立法對收集客戶信息（包括修改客戶的信息系統）以及信息出境問題進行規范，對公民個人信息以及企業秘密的保護也缺少完善的法律規定。這種情況下客觀上導致了認證安全風險管理責任不明確的局面。

    我們建議在實踐中對認證安全風險管理的部門職責作如下區分：

    國務院網絡與信息安全主管部門一要盡快制定基礎信息網絡和重要信息系統使用認證服務的有關采購規定，二要加快《信息安全條例》的制定，在條例中明確哪些信息安全服務中的行為應予禁止。

    國務院認證認可監督管理部門充分利用現有的監管手段，一要在可能的情況下繼續嚴格信息安全管理體系認證程序，維護國家秘密和商業秘密的安全，二要加強本文前面提到的四項輔助性措施。

    《中國國門時報》

左曉棟 鄭瑩