中国信息安全人员认证认可工作现状及发展建议.docx

??

?

??

中国信息安全人员认证认可工作现状及发展建议

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

面对日益严峻的网络安全态势，世界主要国家都把网络安全人才战略上升到国家战略高度予以重视。“没有网络安全就没有国家安全”，围绕中国建设网络强国的目标，习近平总书记重点提出：“要把人才资源汇聚起来，建设一支政治强、业务精、作风好的强大队伍。‘千军易得，一将难求’，要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队”。基于此，构建中国网络空间安全人才的培养、发现、储备和利用机制成为关乎国家安全的紧迫之事。其中，开展中国信息安全人员的认证认可工作是实现这一目标的主要途径之一。人员认证是发现人才、培养人才的重要手段，有助于加快我国信息安全专业人才队伍建设。认证认可体系可以较好地覆盖用人单位对人员管理、技术、实践等多方面的评价要求。通过公平、公正、规范的认证认可，可促使获证信息安全人员达到国际同等专业水平。

一国际范围开展人员认证的概况

（一）认证认可制度的起源和发展

20世纪初，工业化国家率先出现不受买卖双方经济利益所支配的第三方，其用科学、公正的方法对商品进行评价、监督，以正确指导产品生产和购买，保证消费者基本利益的活动，逐渐演化形成认证制度。20世纪90年代以来国际上建立了相应的国际组织和国际互认制度，并由此推动认证认可活动进入国际化发展阶段，成为国际公认的质量基础设施。

20世纪80年代以来，我国各类产品认证、体系认证以及认可工作随着我国经济不断融入国际经济体系而不断完善发展。1981年4月，我国建立了第一个产品认证机构，中国电子元器件认证委员会，建立了产品认证制度。1993年，《中华人民共和国产品质量法》首次颁布，明确质量认证制度为国家的基本质量监督制度。2003年9月，《中华人民共和国认证认可条例》发布，标志着我国建立起统一的认证认可监督管理制度。

改革开放以来，特别是国家认证认可监督委员会（简称“国家认监委”）成立以来，我国逐步建立了具有中国特色的认证认可体系，认证认可事业取得了显著成就，并成为现代市场经济的一项基础性制度安排。随着我国经济社会发展水平和对外开放程度的不断提升，认证认可的地位和作用越来重要。截至2014年8月[1]，我国已有各类认证机构179家，累计颁发各类认证证书120余万张，获证组织达40余万家，认可各类合格评定机构6500多家，颁发证书和获证组织数量连续10余年位居世界第一，成为国际影响日益增强的认证认可大国。

（二）人员认证广受重视

人员认证是一种提供保证的方法，它通过对获得认证人员能力的评估，以及监督和定期复评，来表明获得认证的人员满足特定行业、岗位的标准要求。

在技术创新不断加速、职业细分更趋专业和全球化程度日益提高的情况下，采用人员认证的方式可以有效弥补在人员教育和培训方面的差距。人员认证工作的规范性、有效性主要来源于以下两个方面。

一是，认证机构开展认证业务需得到国家认监委批准，并接受监管。

二是，国家标准《合格评定-人员认证机构通用要求》（GB/T27024/ISO/IEC17024）不仅对认证机构的组织机构、认证制度的开发和保持、管理体系和分包、记录、保密、安全等有详细的要求，对认证机构聘用人员和认证过程也有详细的要求。

人员认证认可作为一种国际通行的认证认可制度，已经得到大多数国家的认可和采信。大量认证机构获得以ISO/IEC17024标准为要求的认可，并得到国际互认。其中：美国、英国、德国获得人员认证认可的机构分别达到49家、23家、63家[2]。人员认证的范围不仅涵盖了认证认可从业人员（审核员、评审员、检查员），还涵盖了信息技术、医疗、化工、消防等不同行业的专业人员。

相比之下，我国获得ISO/IEC17024标准认可的机构只有中国认证认可协会一家，且认可范围仅涵盖了质量管理体系（QMS）和环境管理体系（EMS）认证认可从业人员。我国的人员认证认可急需进一步发展和规范。

（三）信息安全人员认证已成趋势

随着网络信息安全人员在人才队伍中的地位和作用不断提升，国外人员认证的范围逐渐向此领域覆盖。目前，已形成了一些被国际社会普遍认可的认证机构和相关的资格证书。如，经过美国国家标准学会（AmericanNationalStandardsInstitute，ANSI）认可的部分信息技术人员认证机构就具备一定的权威性，并得到政府机构广泛认可（见表1）。

表1获得美国ANSI认可的信息技术人员认证机构

综观全球，涉及信息安全人员的认证由不同的机构举办，但从举办机构的性质来看，大部分由各类行业协会举办，少部分为企业举办。

1.行业协会举办的认证

美国信息系统审计和控制协会（ISACA）开展的注册信息系统审计师（CISA）认证，作为信息