近日,浙江省宁波市政府部门(经济和信息化局、财政局)联合下发《关于组织开展2023年度宁波市软件产业资金补助申报工作的通知》(以下简称《通知》),旨在“推动宁波市高质量发展,促进打造特色型中国软件名城,组织申报年度软件产业资金”。
这份《通知》引起社会广泛关注,原因不仅是落户“全球500强”“中国软件百强”企业最高奖励1500万元的政策吸引眼球,其中获得信息安全认证(CCRC信息安全服务资质、ISO20000信息技术服务管理、ISO27001信息安全管理体系)的企业将获得“每张认证证书5万元标准奖励”的规定更是备受网络安全、信息安全、数字安全领域从业者的关注。
网络安全牵一发而动全身,深刻影响政治、经济、文化、社会等各领域安全。可以说,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
如果没有网络安全保障,我国的新兴信息产业大数据、云计算、智慧城市、数字城市、人工智能、工控、物联网、车联网、无人驾驶、无人机、区块链、数字货币、元宇宙、未来网络、信创产品等都将难以实现。
随着我国统一大市场的实施,网络经济、数字经济突飞猛进,其标准化程度和水平得到显著提高。特别需要发挥认证认可制度具有的独特优势:首先,通过认证,可以让政府能够在国家安全的专控领域及时科学决策。其次,政府依靠认证认可手段能实现对经济社会活动的间接管理,直接采信认证结果,可以提高行政效率,减少行政成本和风险,更好地建设“服务型政府”。通过认证帮助政府科学决策,履行经济和社会管理职能已得到各国政府的高度重视。最后,认证也是国际市场主体上通行的技术管理和质量评价形式,是公认的质量管理手段和贸易便利化工具。
开展信息安全认证是守护网络安全,筑牢国家网络安全基础屏障的重要抓手。因为认证工作“传递信任、服务发展”,是国家质量基础设施的重要组成部分,对推进质量强国、制造强国、网络强国、数字强国建设有着不可替代的技术支撑作用。国家金融、通信、能源、交通等领域的网络(数据)安全都需要依托信息安全管理体系“保驾护航”。比如获得信息安全管理体系认证,客户的被动防御技术包括病毒木马查杀、防火墙、防毒墙、入侵检测三类技术将得到对标对表,发挥出“降妖除魔”的作用;客户的主动防御技术中的内生安全技术、可信计算技术、零信任安全技术构成的网络安全体系将更加“健康”稳定。
多年来,信息安全认证及网络安全创新技术在保障国家网络安全中发挥了积极作用。
隶属于国家市场监督管理总局的中国网络安全审查技术与认证中心(以下简称“市场监管总局网安中心”)的信息安全管理体系认证活动丰富和满足着行业和市场的供给需求。截至目前,其体系认证的主要类别有:信息安全管理体系(ISMS)、隐私信息管理体系(PIMS)、云服务信息安全管理体系(CISMS)、公有云中个人可识别信息管理体系(PIIMS)、业务连续性管理体系(BCMS)、信息技术服务管理体系(ITSMS)、质量管理体系(QMS)、环境管理体系(EMS)、职业健康安全管理体系(OHSMS)、数据中心服务能力成熟度(SCMA)。
市场监管总局网安中心的信息安全管理体系认证客户主要是我国金融、通信、能源、交通等重要领域的组织,上述认证成为这些组织夯实安全基础的重要技术评价方式,有着不可替代的“筑基维稳”作用。16年来,市场监管总局网安中心的体系认证工作走出了一条“市场化、专业化、规范化”发展道路,受到业界和用户的好评。
随着我国已经进入数字经济时代,在数字技术创新能力快速提升引领下,利用数字技术对传统产业进行全方位、全链条的改造,能够提高全要素生产率,促进经济发展倍增。为了不断增强应对挑战、抵御风险的能力,做好信息安全体系认证,筑牢数字经济安全根基,推进数字化、网络化、智能化发展,加快数字中国建设,为中国式现代化建设添薪助力。
2023年,新一届政府机构改革方案出炉,决定设立国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。中央政府、地方政府还设立了专项资金支持信息安全产业的发展。
可别“瞧扁了”宁波市的“5万元奖励政策”,它响应国策、合党心、顺民意,彰显了地方政府在统筹经济社会发展中“网络安全”意识强、责任意识强、作为意识强,值得其他地方政府学习借鉴。筑牢国家质量基础设施、网络安全屏障需要各个地方政府、各行各业各种组织、全社会每个公民的重视与行动。
可以说,宁波市在2023年开了个好头,虽然不是全国最早,但必定不是“最后一个”,毕竟,建设数字中国、网络强国应是全社会共同的责任。
当然还要注意,信息安全认证工作是传递信任的工作,政府奖励也应严格标准,比如建立失信退出机制,不给证书贩卖、造假等违法行为提供土壤,把好事办好;对认证机构也要提出相应要求,拒绝有复杂海外背景和“失信记录”的认证机构和人员参与其中等。
信息安全、网络安全认证活动涉及重要行业、重点单位的组织体系、业务流程、网络拓扑、关键信息设备设置、安全防护情况及薄弱环节等敏感信息,选择可靠的认证机构才不会造成敏感信息外泄,避免被认证组织出现信息安全风险,甚至危及国家经济安全利益。(作者:唐成,市场监管总局网安中心)