2015年8月19日，中国信息安全认证中心和厦门市质量技术监督局联合举 办信息安全认证体系建设座谈会，并宣布成立中国信息安全认证中心福建分中心。

福建是信息化套用大省、信息产业大省、信息消费大省。加快信息安全认证的套用与推广，对于进一步促进福建信息化建设、引导信息产业发展和安全消费具有较强的现实必要性和紧迫性。与会代表对福建分中心的成立给予高度评价，并围绕如何利用福建分中心这一平台，加快信息安全认证进行了研讨。代表们在发言中表示，要通过政策引导、部门合作、强化採信等途径，为信息安全认证的推广创造条件。

福建分中心成立后，将立足福建，辐射周边，致力于为政府、广大企事业单位提供信息安全产品认证、管理体系认证、服务资质认证、人员认证及培训、信息安全产品检测等保障服务。

电子招标投标系统交易平台，是指按照《电子招标投标办法》及所附《电子招标投标系统技术规範》相关要求建设和运营，由软体、硬体及软、硬体的组合产品所组成的，供招标投标当事人通过数据电文形式完成招标投标交易活动的平台。

依据《电子招标投标办法》（国家发展改革委等八部委第20号令）和《电子招标投标系统检测认证管理办法（试行）》（国认证联[2015]53），中国信息安全认证中心对电子招标投标系统开展认证工作。

认证依据：CTS-EBS01-2016《电子招标投标系统交易平台认证技术规範》（简称《认证规範》）

依据《认证规範》对检测内容的规定，将认证划分为一星、二星和三星三个级别。

一星：基础级，具备以线上方式完成招标投标全部过程的基本功能。

二星：标準级，具备实现全流程无纸化线上招标投标的功能。

三星：最佳化级，在标準级基础上具备其他相关最佳化服务功能。

认证模式：检测+试运行+现场审查+获证后监督

认证的基本环节：

（1）认证申请

（2）检测

（3）试运行

（4）现场审查

（5）认证结果评价与批准

（6）获证后监督

信息安全管理体系（InformationSecurityManagementSystems,ISMS）是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定範围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

信息安全管理体系适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），包括但不限于，银行、证券、保险等金融机构；交通、能源等大型国有企业；网际网路数据中心(IDC)服务提供商；软体和信息技术服务企业；公共管理、社会保障和社会组织等。

ISO/IEC27001是建立和维护信息安全管理体系的标準，它要求组织通过一系列的过程，如确定信息安全管理体系範围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，是组织达到动态的、系统的、全员参与的、制度化的，以预防为主的信息安全管理方式。

ISO/IEC 27001认证能为组织带来如下收益：

1、符合法律法规要求

证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、智慧财产权、商业秘密等。

2、维护企业的声誉、品牌和客户信任

证书的获得，可以强化员工的信息安全意识，规範组织信息安全行为，减少人为原因造成的不必要的损失。

3、履行信息安全管理责任

证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

4、增强员工的意识、责任感和相关技能

证书的获得，可以强化员工的信息安全意识，规範组织信息安全行为，减少人为原因造成的不必要的损失。

5、保持业务持续发展和竞争优势

全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计画框架，提升了组织的核心竞争力。

6、实现风险管理

有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

7、减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

信息技术服务管理体系（InformationTechnologyServiceManagementSystems,ITSMS）的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用，强调将企业的运营目标、业务需求与IT服务提供相协调一致。

信息技术—服务管理体系适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），组织可以以全组织範围实施，也可以选取组织信息技术部门实施，包括但不限于，银行、证券、保险等金融机构或是其数据中心（信息技术部门）；交通、能源等大型国有企业或是其数据中心（信息技术部门）；网际网路数据中心(IDC)服务提供商；软体和信息技术服务企业；以及对外提供信息技术服务的企业等。

ISO/IEC 20000-1是建立和维护信息技术服务管理体系的标準，规定了IT组织在向其内外部客户提供IT服务和支持过程中所需完成的工作。通过这些规定，信息技术服务管理体系展示了一套完整的IT服务管理流程，旨在帮助IT组织识别并管理IT服务的关键流程，保证向业务和客户有效地提供高质量的IT服务。

企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。IT服务提供商通过实施IT服务管理体系，可以获取如下收益：

·保持服务目标与企业业务目标一致，有效的支持业务战略

·建立规範的服务流程，提高信息技术服务和运营效率

·有效及高效地整合和利用信息、基础架构、套用及人员等IT资源

·建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度

·向国际标桿靠齐，增强市场竞争力，提高组织声誉，提升投资回报

·控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本

·灵活应对来自客户、认证机构、内部机构等不同的合规审核要求，增加投资者信心

对于众多IT服务提供商，ISO20000认证的意义并不仅仅限于IT服务符合规程和提高服务质量。它在服务量化，员工绩效考核，衡量IT部门投资回报方面更具有积极的意义。

中国信息安全认证中心的愿景是，努力开创一个更安全的信息社会，成为信息安全的信心保障者。

中国信息安全认证中心的使命是：
——通过我们的努力，使认证制度成为保障信息安全的有效机制。
——通过我们的努力，使认证服务成为促进信息安全产业发展的强大动力。
——通过我们的努力，使认证结果成为信息安全市场採信的权威信息。
——通过我们的努力，使我们每一项业务成为传播信息安全认知的专业平台。

中国信息安全认证中心的价值观是：因信而立，以诚而远，有聚乃强，常新至善。
其具体含义是：
——因信而立：以建立信任为中心存在的核心价值；以信用、信誉获得信任，立足社会。
——以诚而远：以最大诚意服务社会，诚实对待客户；以不断满足国家和社会需求而得以长盛不衰。
——有聚乃强：以聚合内外力量为发展壮大之道；内以团结、和谐为根基，外以协作、共赢为方略。
——常新至善：以创新为动力，追求卓越，在学习中不断成长；持之以恆，以不懈努力追求至善。

为提升厦门中小企业信息安全管理水平，近日，福建分中心联合厦门市经信局中小企业服务中心，在厦门举办中小企业信息安全管理体系培训班。来自厦门市信息、软体等行业60余家企业参加培训。

为企业服务是分中心的重要工作方向。下一步，福建分中心将结合企业需求，进一步加强与厦门市中小企业服务中心的协作，以更丰富的服务方式及内容，助力中小企业信息安全管理水平提升。

厦门市经信局正式发布《软体和信息服务业企业的个人信息保护备案工作流程及指南》（简称《指南》），启动个人信息备案工作。在此次《指南》的拟定过程中，福建分中心积极配合厦门市经信局,依据《厦门市软体和信息服务业个人信息保护管理办法》相关要求，製作了个人信息备案审查细则及配套的个人信息保护管理档案参考範本，为厦门市软体和信息服务业规範、合理使用个人信息，加快市信息化法制建设，提供了有效的技术支撑。

国务院办公厅关于加强认证认可工作的通知

中华人民共和国计量法实施细则

中华人民共和国标準化法实施条例

中华人民共和国进出口商品检验法实施条例

中华人民共和国认证认可条例

中华人民共和国计量法

强制性产品认证标誌管理办法

认证谘询机构管理办法

认证培训机构管理办法

强制性产品认证机构、检查机构和实验室管理办法

认证证书和认证标誌管理办法

认证及认证培训、谘询人员管理办法

认证技术规範管理办法

强制性产品认证检查员管理办法

认证认可申诉、投诉处理办法

中国信息安全认证中心福建分中心，办公地点：厦门市湖滨南路170号（质监大厦101-103）