随着国家信息安全等级保护制度的逐步落实，各级政府机关以及金融等行业对信息安全产品和服务的需求持续增长，为进一步扩大信息安全等级保护制度的影响力，由中国软件评测中心主办，北京赛迪信息技术评测有限公司承办的“2012年中国软件评测中心信息安全等保测试部产品推介会”于4月18日在北京举行。会上，北京公安局网安总队高媛警官介绍了我国信息安全等级保护相关政策与制度;国家测绘局、北京轨道交通指挥中心、海航集团渤海易生商务服务有限公司代表到场并参与讨论。本次会议对中国软件评测中心信息安全测试领域的两条重要产品线进行了介绍和推广。

　　中国软件评测中心信息安全等保测试部总经理唐刚介绍说，信息安全等级保护制度是为了提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展而制定的相关政策规定。2004年，公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于信息安全等级保护工作的实施意见》，提出贯彻落实信息安全等级保护制度的基本要求;2007年，公安部颁布《信息安全等级保护管理办法》明确信息安全等级保护制度的基本内容、流程及工作要求，明确等级保护的实施、评测机构选择等方面。2010年，公安部颁发《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，其中规定测评机构的条件、业务范围和禁止行为等要求。唐刚说，中国软件测评中心是公安部推荐的102家信息安全等级保护测评机构中既拥有等级测评推荐机构证书，又通过国家实验室认可和国家级计量认证的机构，具备安全等级保护评测资质，能够提供安全建设规划、定级备案咨询、现状测评、整改咨询、等级测评等服务内容。

　　中国软件评测中心信息安全等保测试部副总经理朱信铭女士向与会代表介绍了中国软件测评中心银行业信息科技风险审计与评估业务。该业务依据银监会和中国人民银行颁布的一系列旨在促进我国银行业安全、持续、稳健运行的管理办法和规范，实现对商业银行系统风险的识别、计量、评价、预警和控制，从而有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险。朱信铭说，中国软件测评中心具有多年银行业信息科技风险审计和评估业务的经验，已成功为多家银行进行审计和评估工作，具有规范的审计评估流程和方法，拥有一批丰富的银行业审计评估经验的工程师。在资质方面，中心具有安全检查机构资质、等级保护测评推荐机构证书、一级保密资质，并参与了部分检测标准的制定工作，如银行卡和第三方支付检测标准。中心能够提供银行信息科技风险审计、重要信息系统投产及变更安全评估、电子银行安全评估、银行卡系统安全评估、安全保障体系建设规划等服务内容。

　　唐刚和朱信铭同时强调，信息系统提高其自身安全性是有效防范安全漏洞产生的重要手段，而提高信息系统自身安全性有必要在系统开发前就规范安全编码的规范和标准，同时在开发过程中，对开发源代码进行安全审计，以最大限度的减少信息系统自身的安全漏洞。中国软件测评中心依据CVE(Common Vulnerabilities & Exposures)公共漏洞和暴露、OWASP十大Web漏洞(Open Web Application Security Project)2010，以及设备、软件厂商公布的漏洞库，能够为开发商方的开发人员提供安全编码咨询服务;同时结合专业源代码扫描工具对各种程序语言编写的源代码进行安全性扫描测试，提供识别、定位代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列服务。

　　会上，国家测绘局、北京轨道交通指挥中心和海航集团渤海易生商务服务有限公司作为中国软件评测中心客户就产品线的服务内容和形式和与会者进行了交流。

(责任编辑：)