随着信息产品、信息安全产品和信息系统的增多,面对越来越多的向社会提供专门的信息安全服务,包括安全技术开发、产品经营和系统集成的公司、企业,如何让消费者、管理者乃至国家确信它们是“安全的”,这就需要一个高度专业化、具有专门技术手段和能力的权威机构,通过科学公正和有效手段对它们作安全性测评认证。于是,信息安全认证成为信息化时代国家测评认证工作的新领域。
由于信息安全直接涉及国家利益、安全和主权,各国政府对信息产品、信息系统安全性的测评认证要比对其他产品更为严格。
第一,在市场准入上,发达国家为严格进出口控制,通过颁布有关法律、法规和技术标准,推行安全认证制度,以控制国外进口产品和国内出口产品的安全性能。
-
第二,对国内使用的产品,实行强制性认证,凡未通过强制性认证的安全产品一律不得出厂、销售和使用。
第三,对信息技术和信息安全技术中的核心技术,由政府直接控制,如密码技术和密码产品,多数发达国家都严加控制,即使政府允许出口的密码产品,其关键技术仍控制在政府手中。
第四,在国家信息安全各主管部门的支持和指导下由标准化和质量技术监督主管部门授权并依托专业的职能机构提供技术支持,形成政府行政管理与技术支持相结合、相依赖的管理体制。
