信息安全认证中需要重视的几个问题

　　目前，在世界范围内，成都信息安全认证认可的发展还不成熟，特别是信息安全评价标准和方法仍在不断发生变化，面临很多争议。

　　通过信息安全应急处理和风险评估等服务资质认证工作的实施，认证认可手段显示出了可为信息安全服务管理提供基础支撑的潜力，特别是在对信息安全服务组织和人员的能力评价方面。信息安全主管部门和行业主管部门在制定信息安全服务管理政策时，可以采信分级、分类的信息安全服务认证的结果。

　　(一)从信息安全管理体系认证的角度来看，信息安全管理体系认证认可工作的开展对各类组织增强信息安全意识、提高信息安全管理水平起到了积极作用，为我国外贸企业特别是软件和服务业外包企业拓广国际市场创造了条件。

　　由于信息安全管理体系认证审核过程涉及到被审核单位的大量敏感信息，2010年六部委联合发布了第394号文件，对于国家重要网络与信息系统中开展认证活动加以规范和限制。尽管如此，对于获得国外认可机构认可的认证活动引入的安全风险，还没有引起足够的重视。

　　(二)从信息安全产品认证的角度来看，信息技术产品安全性认证的国际互认范围不断扩大，但互认范围严格限制在非敏感领域。目前美、英等采用CC标准的很多国家存在着变革认证标准和认证方法的压力，但这些压力不是来自于信息安全产品认证制度框架的设计，而是来自于所选择的认证标准和具体的认证方法，信息安全产品认证制度的重要性及其未来发展趋势仍得到各国的一致肯定。

　　(三)从信息安全服务资质认证的角度来看，虽然我国对特定领域的信息安全服务或者特定类型的信息安全服务实施了管理，但还没有对通用的信息安全服务进行严格管理，特别是还没有对为国家基础信息网络和重要信息系统提供服务进行直接干预和约束。