2011年聽證會及相關立法所帶來的結果是，美國國防需要通過國防采辦規(guī)定委員會對仿冒電子部件進行明確定義，并對國防部采購合同的其他一些要求做出規(guī)定。國防部對仿冒電子部件的定義如下：“被人為故意貼上錯誤的標簽，給予錯誤的辨識信息的，非法或未經授權的復制品、替代品或變更品，或冒充原制造商生產的無更改的正品元器件產品，抑或冒充具備原制造商或當前設計機構（其中包括授權售后產品制造商）書面授權的無更改的電子部件正品。非法或未授權的替代行為包括：以舊充新，標注假冒的等級、序列號、批號、日期代碼或性能特征等?！?/p>

行業(yè)企業(yè)與政府相關部門在制定SAE國際標準AS5553《假冒/仿冒電子部件的規(guī)避、檢測、緩解與處置規(guī)定》時，提供了一個稍有不同的定義：“仿冒部件指那些被充當、認定或標記為正品部件的復制品、模仿品或替代品，以及由一個非法組織以誤導、欺騙或進行詐騙為目的而修改的產品。”

只需看一眼仿冒電子部件的生產方式，人們就會對其進入全球供應鏈這個現狀感到憂慮。傳統(tǒng)的電子部件是由穿戴防護服的工人在氣流、溫度與濕度均受到嚴格控制的凈室中，用高純度單晶硅錠制作而成的。

而仿冒電子部件卻不是用這樣的原材料“制造”的，其材料取自從電腦、智能手機和筆記本電腦等廢棄電子產品的線路板上拆除的電子部件。這些部件大多是在路邊用焊鐵從線路板上拆除，隨后在河水或雨水中進行清洗分揀，最后按買家要求重新制作。有時候仿冒件也具備合法的貨運標簽，但卻被放在棄置的工業(yè)卷筒上。

由于再造的標簽很容易用丙酮擦除，因此早期的仿冒電子部件很容易檢測出來。但隨著人們防偽意識的增強，現在仿冒標簽也升級到了可能需要物理測試才能分辨真?zhèn)蔚某潭取?/p>

航空、航天與國防行業(yè)供應鏈的深度以及產品的使用年限要求，極有可能是仿冒電子部件進入供應鏈的原因。這三個行業(yè)的供應鏈很可能具有7-10個層級，而最低端的那些層級的供應商，根本不知道自己生產的產品會用于何處。

在2011年SASC的聽證會上列舉了幾個仿冒電子部件進入供應鏈的案例。在一個案例中，一些分包商從一個同時從事電子產品回收與分銷的公司中購買了晶體管。這些晶體管曾被當做電子廢物出售，但現在又堂而皇之地“穿上”了原廠包裝。

與那些使用一年就被換掉，或在新品上市后就可更換的手機和電腦不同，航空、航天與國防產品的設計壽命都很長。例如，B-52的預計服役壽命為90年，而自上世紀70年代末期開始服役的F-16根本沒有標明使用終止日期。而許多電子部件從研發(fā)到生產，再到低價銷售的周期可能僅為3年。當一個電子部件到達使用壽命（EOL）時，客戶會收到通知，并有機會再次購買。

航空航天和國防行業(yè)共有三個采購渠道：原始部件生產商（OCM）、授權經銷商（AD）或獨立經銷商（ID）。每種渠道都有各自的優(yōu)勢與劣勢。OCM與AD可以提供生產商保修服務，但存貨可能有限，特別是在壽命終止許多年后，很可能沒有存貨。而ID可能具備大量存貨，但其保修服務并不完善。

將仿冒電子部件趕出供應鏈的方法包括以下幾種：進行立法、設立行業(yè)標準、發(fā)現仿冒電子部件時進行舉報、生產時貼上防偽標簽、公司在驗收對每一個部件進行測試、對員工進行培訓以避免采購仿冒部件、嚴守EOL期限并減少電子廢品的產生等等。2010年美國工業(yè)與安全商務部發(fā)布的一份文件中列舉了1300條行業(yè)與政府可以使用的具體措施。

上述方法都可被視為“目前的權宜之計”，那么未來有沒有可行的新方法呢？美國國防部很可能會對發(fā)現使用仿冒品的分包商采取商削減預算的懲罰措施，迫使分包商確保使用真實產品。美國國防高級研究計劃局將投資研發(fā)一種可以證明電子產品真實性的微小部件（尺寸約為100微米 x 100微米）。此外，國防部還將在所需電子部件的生產上更多地使用那些值得信任的廠家。最后，在修理維護時如果得出“無故障”的檢測結果，很可能會進行更仔細的檢查，因為這很可能是使用仿冒電子部件帶來的結果。

只有整個供應鏈上所有層級，包括最低層級的供應商和到主機廠、政府部門等最終用戶共同努力，才能杜絕仿冒電子部件進入供應鏈中。為達到這一目標，我們需要在生產工藝解決方案的改進、對使用仿冒電子部件行為的舉報給予積極回應、鼓勵舉報、減少獲取電子廢品的機會等方面做出更多努力。

本文由SAEInternational出版文章《仿冒電子部件及其對供應鏈造成的影響》的作者Kirsten M. Koepsel專為《航空航天工程》撰寫。Koepsel居住在華盛頓，為知識產權政策分析師。

The post 仿冒電子元器件的生產與規(guī)避-AS5553認證 first appeared on 深圳市安信達咨詢有限公司.

按照認證機構資質審批“證照分離”改革的總體要求，認監(jiān)委組織開展了認證機構資質符合性現場核查。經檢查，以下8家認證機構存在申請資質時提交虛假材料、作出虛假承諾或者不具備資質條件和能力的問題，詳情如下：

安徽韋捷認證有限公司（CNCA-R-2023-1188）、安徽企標檢測認證有限公司（CNCA-R-2023-1200）、安徽世國認證有限公司（CNCA-R-2023-1212）、安徽凱旋檢驗檢測認證有限公司（CNCA-R-2023-1214）和安徽啟宸認證有限公司（CNCA-R-2023-1243）等5家通過告知承諾獲得資質的認證機構在申請時提交虛假材料、作出虛假承諾。

中旭認證有限公司（CNCA-R-2019-591）在申請知識產權管理體系、信息安全管理體系、信息技術服務管理體系、不動產服務、在收費或合同基礎上的生產服務等認證領域資質時提交虛假材料。

安徽斯爾邁認證有限公司（CNCA-R-2023-1167）、凱斯恩認證服務有限公司（CNCA-R-2023-1202）等2家通過告知承諾獲得資質的認證機構不具備資質條件和能力。

依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條、《認證機構資質審批告知承諾管理規(guī)定》第十三條有關規(guī)定，現決定撤銷安徽韋捷認證有限公司、安徽企標檢測認證有限公司、安徽世國認證有限公司、安徽凱旋檢驗檢測認證有限公司、安徽啟宸認證有限公司等5家認證機構資質，上述認證機構此前出具的相關認證證書不具有證明作用。

依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條有關規(guī)定，現決定撤銷中旭認證有限公司知識產權管理體系、信息安全管理體系、信息技術服務管理體系、不動產服務、在收費或合同基礎上的生產服務等認證領域資質。

依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條、《認證機構資質審批告知承諾管理規(guī)定》第十二條有關規(guī)定，現決定撤銷安徽斯爾邁認證有限公司、凱斯恩認證服務有限公司等2家認證機構資質。

特此公告。

認監(jiān)委

2023年6月2日

安信達認證咨詢業(yè)務

The post 認監(jiān)委關于撤銷安徽韋捷認證有限公司等8家認證機構批準資質的公告 first appeared on 深圳市安信達咨詢有限公司.

2023年第6號

按照認證機構資質審批“證照分離”改革的總體要求，認監(jiān)委組織開展了認證機構資質符合性現場核查。經檢查，以下5家認證機構存在申請資質時提交虛假材料、作出虛假承諾或者目前不能持續(xù)符合資質條件的問題，詳情如下：

大象鴻圖認證服務（北京）有限公司（CNCA-R-2022-1113）、維他姆（北京）認證有限公司（CNCA-R-2022-1122）等2家通過告知承諾獲得資質的認證機構在申請時提交虛假材料，作出虛假承諾。

興誠（杭州）檢測認證科技有限公司（CNCA-R-2021-866）在設立認證機構申請時提交虛假材料。

廣東華勝威檢測認證有限公司（CNCA-R-2021-829）在擴大認證業(yè)務范圍申請時提交虛假材料。

中區(qū)國際認證有限公司（CNCA-R-2021-927）不能持續(xù)符合認證機構資質法定條件。

經研究，決定撤銷大象鴻圖認證服務（北京）有限公司、維他姆（北京）認證有限公司、興誠（杭州）檢測認證科技有限公司、中區(qū)國際認證有限公司等4家認證機構資質，決定撤銷廣東華勝威檢測認證有限公司職業(yè)健康安全管理體系認證領域資質。上述通過告知承諾獲得資質的認證機構此前出具的認證證書不具有證明作用。

特此公告。

認監(jiān)委

2023年4月3日

安信達認證咨詢業(yè)務

The post 認監(jiān)委關于撤銷大象鴻圖認證服務（北京）有限公司等5家認證機構批準資質的公告 first appeared on 深圳市安信達咨詢有限公司.

中澤認證技術（深圳）有限公司（CNCA-R-2021-886）、中源國際認證檢測（深圳）有限公司（CNCA-R-2021-894）、四川千石創(chuàng)新科技中心（CNCA-R-2022-1104）、亞瑞仕（重慶）檢驗認證有限公司（CNCA-R-2022-1121）和英特檢測認證（深圳）有限公司（CNCA-RF-2021-96）等5家通過告知承諾獲得資質的認證機構在申請時提交虛假材料，作出虛假承諾。

南京愛生認證有限公司（CNCA-R-2022-1036）、安徽中爵認證有限公司（CNCA-R-2022-1048）、安徽徽弘認證有限公司（CNCA-R-2022-1060）、啟優(yōu)認證（江蘇）有限公司（CNCA-R-2022-1078）、永凱認證（杭州）有限公司（CNCA-R-2022-1085）和新卓越（安徽）認證有限責任公司（CNCA-R-2022-1095）等6家認證機構在資質申請時提交虛假材料。

江西百信認證有限公司（CNCA-R-2022-1003）不能持續(xù)符合認證機構資質法定條件。

經研究，決定撤銷上述12家認證機構《認證機構批準書》，通過告知承諾獲得資質的認證機構此前出具的認證證書不具有證明作用。

特此公告。

???

?

認監(jiān)委? ? ?

2023年2月2日

<a href=”http://m.znojukyf.cn/iso”><img class=”size-large wp-image-21286″ src=”http://m.znojukyf.cn/wp-content/uploads/2022/10/isocsr202210as3-1024×576.jpeg” alt=”安信達認證咨詢業(yè)務” width=”960″ height=”540″ /></a> 安信達認證咨詢業(yè)務

The post 認監(jiān)委關于撤銷中澤認證技術（深圳） 有限公司等12家認證機構 《認證機構批準書》的公告 first appeared on 深圳市安信達咨詢有限公司.

國家認監(jiān)委關于公布《能源管理體系?水泥企業(yè)認證要求》等15項認證認可行業(yè)標準的公告

?

《能源管理體系? 水泥企業(yè)認證要求》等15項認證認可行業(yè)標準已經認監(jiān)委審核，現予公告。

上述標準文本在國家標準委發(fā)布行業(yè)標準備案月報后，可在認證認可標準化信息服務平臺進行查詢（查詢網址：http://rbtest.cnca.cn/）。

?

附件：認證認可行業(yè)標準發(fā)布目錄（15項）

?

?

?

國家認監(jiān)委? ? ? ??

2023年10月16日? ? ??

認證認可行業(yè)標準發(fā)布目錄（15項）

安信達認證咨詢業(yè)務

The post 國家認監(jiān)委關于公布《能源管理體系?水泥企業(yè)認證要求》等15項認證認可行業(yè)標準的公告 first appeared on 深圳市安信達咨詢有限公司.

中企國信認證（江蘇）有限公司（CNCA-R-2023-1170）、中瑞（江蘇）認證服務有限公司（CNCA-R-2023-1181）、中恒建聯（河北）認證中心有限公司（CNCA-R-2023-1185）、安徽中馳國盛認證有限公司（CNCA-R-2023-1245）、深圳國潤認證有限公司（CNCA-R-2023-1252）、順之達檢驗認證重慶有限公司（CNCA-R-2023-1254）、中恒認證股份公司（CNCA-R-2023-1277）等7家通過告知承諾取得資質的認證機構在申請時提交虛假材料、作出虛假承諾。依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條、《認證機構資質審批告知承諾管理規(guī)定》第十三條有關規(guī)定，現決定撤銷上述7家認證機構資質，上述認證機構此前出具的相關認證證書不具有證明作用。

企信認證（江蘇）有限公司（CNCA-R-2023-1174）、漢橋認證（云南）有限公司（CNCA-R-2023-1191）、杭州有信認證有限公司（CNCA-R-2023-1201）、躍華認證（江蘇）有限責任公司（CNCA-R-2023-1207）、云信國際認證有限公司（CNCA-R-2023-1253）、認創(chuàng)認證（江蘇）有限公司（CNCA-R-2023-1265）、安欣認證有限公司（CNCA-R-2023-1273）、浙江高普檢測認證有限公司（CNCA-R-2023-1281）、安徽眾盈認證有限公司（CNCA-R-2023-1288）、興訊認證（湖北）有限公司（CNCA-R-2023-1310）、匯特認證（江蘇）有限公司（CNCA-R-2023-1325）等11家通過告知承諾取得資質的認證機構不具備資質條件和能力。依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條、《認證機構資質審批告知承諾管理規(guī)定》第十二條有關規(guī)定，現決定撤銷上述11家認證機構資質。

中連智能認證（深圳）有限公司（CNCA-R-2023-1184）、杭州唐鑒認證有限公司（CNCA-R-2023-1211）等2家通過告知承諾取得資質的認證機構不具備相應領域資質條件和能力。依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條、《認證機構資質審批告知承諾管理規(guī)定》第十二條有關規(guī)定，現決定撤銷中連智能認證（深圳）有限公司產品認證（電子設備及零部件），管理體系認證（質量管理體系認證、環(huán)境管理體系認證、職業(yè)健康安全管理體系認證）領域資質；撤銷杭州唐鑒認證有限公司管理體系認證（質量管理體系認證、環(huán)境管理體系認證、職業(yè)健康安全管理體系認證）領域資質。

寧夏晟標認證服務有限公司（CNCA-R-2022-1062）、華博認證有限公司（CNCA-R-2022-1116）等2家認證機構不能持續(xù)符合資質條件和能力。依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條有關規(guī)定，現決定撤銷上述2家認證機構資質。

標信國際認證有限公司（CNCA-R-2022-1022）、中達聯合江蘇認證有限公司（CNCA-R-2022-1027）、中驗認證服務（河北）有限公司（CNCA-R-2022-1058）等3家認證機構不能持續(xù)符合相應領域資質條件和能力。依據《中華人民共和國行政許可法》第六十九條、《認證機構管理辦法》第三十一條有關規(guī)定，現決定撤銷標信國際認證有限公司服務認證（批發(fā)業(yè)和零售業(yè)服務）領域資質；撤銷中達聯合江蘇認證有限公司服務認證（批發(fā)業(yè)和零售業(yè)服務、不動產服務、支持性服務）領域資質；撤銷中驗認證服務（河北）有限公司管理體系認證（信息安全管理體系、信息技術服務管理體系）領域資質。

特此公告。

國家認監(jiān)委

2023年11月9日

安信達認證咨詢業(yè)務

The post 國家認監(jiān)委關于撤銷中企國信認證（江蘇）有限公司 等25家認證機構批準資質的公告 first appeared on 深圳市安信達咨詢有限公司.

信息安全咨詢機構

信息安全技術 信息安全事件分類分級指南
1 范圍
本指導性技術文件為信息安全事件的分類分級提供指導，用于信息安全事件的防范與處置，為事前準備、事中應對、事后處理提供一個基礎指南，可供信息系統(tǒng)和基礎信息傳輸網絡的運營和使用單位以及信息安全主管部門參考使用。

2 術語和定義
下列術語和定義適用于本指導性技術文件。

2.1 信息系統(tǒng) information system
由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進 行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

2.2 信息安全事件 information security incident
由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或對社會造成負面影 響的事件。

3 縮略語
下列縮略語適用于本指導性技術文件。
MI：有害程序事件（Malware Incidents）
CVI：計算機病毒事件（Computer Virus Incidents）
WI：蠕蟲事件（Worms Incidents）
THI：特洛伊木馬事件（Trojan Horses Incidents）
BI：僵尸網絡事件（Botnets Incidents）
BAI：混合攻擊程序事件（Blended Attacks Incidents）
WBPI：網頁內嵌惡意代碼事件（Web Browser Plug-Ins Incidents）
NAI：網絡攻擊事件（Network Attacks Incidents）
DOSAI：拒絕服務攻擊事件（Denial of Service Attacks Incidents）
BDAI：后門攻擊事件（Backdoor Attacks Incidents）
VAI：漏洞攻擊事件（Vulnerability Attacks Incidents）
NSEI：網絡掃描竊聽事件（Network Scan & Eavesdropping Incidents）
PI：網絡釣魚事件（Phishing Incidents）
II：干擾事件（Interference Incidents）
IDI：信息破壞事件（Information Destroy Incidents）
IAI：信息篡改事件（Information Alteration Incidents）
IMI：信息假冒事件（Information Masquerading Incidents）
ILEI：信息泄漏事件（Information Leakage Incidents）
III：信息竊取事件（Information Interception Incidents）
ILOI：信息丟失事件（Information Loss Incidents）
ICSI：信息內容安全事件（Information Content Security Incidents）
FF：設備設施故障（Facilities Faults）
SHF：軟硬件自身故障（Software and Hardware Faults）
PSFF：外圍保障設施故障（Periphery Safeguarding Facilities Faults）
MDA：人為破壞事故（Man-made Destroy Accidents）
DI：災害性事件（Disaster Incidents）
OI：其他事件（Other Incidents）

4 信息安全事件分類

4.1 考慮要素與基本分類
信息安全事件可以是故意、過失或非人為原因引起的。
本指導性技術文件綜合考慮信息安全事件的 起因、表現、結果等，對信息安全事件進行分類。
信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故 障、災害性事件和其他信息安全事件等7個基本分類，每個基本分類分別包括若干個子類。

4.2 事件分類

4.2.1 有害程序事件（MI）
有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。
有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數據、應用程序或操作系統(tǒng)的保密性、 完整性或可用性，或影響信息系統(tǒng)的正常運行。
有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事 件、網頁內嵌惡意代碼事件和其它有害程序事件等7個子類，說明如下：

a) 計算機病毒事件（CVI）
是指蓄意制造、傳播計算機病毒，或是因受到計算機病毒影響而導致 的信息安全事件。計算機病毒是指編制或者在計算機程序中插入的一組計算機指令或者程序代 碼，它可以破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制；

b) 蠕蟲事件（WI）
是指蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導致的信息安全事件。蠕 蟲是指除計算機病毒以外，利用信息系統(tǒng)缺陷，通過網絡自動復制并傳播的有害程序；

c) 特洛伊木馬事件（THI）
是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影 響而導致的信息安全事件。特洛伊木馬程序是指偽裝在信息系統(tǒng)中的一種有害程序，具有控制 該信息系統(tǒng)或進行信息竊取等對該信息系統(tǒng)有害的功能；

d) 僵尸網絡事件（BI）
是指利用僵尸工具軟件，形成僵尸網絡而導致的信息安全事件。僵尸網絡 是指網絡上受到黑客集中控制的一群計算機，它可以被用于伺機發(fā)起網絡攻擊，進行信息竊取 或傳播木馬、蠕蟲等其他有害程序；

e) 混合攻擊程序事件（BAI）
是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響 而導致的信息安全事件。混合攻擊程序是指利用多種方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合作用的結果，例如一個計算機病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等；

f) 網頁內嵌惡意代碼事件（WBPI）
是指蓄意制造、傳播網頁內嵌惡意代碼，或是因受到網頁內 嵌惡意代碼影響而導致的信息安全事件。網頁內嵌惡意代碼是指內嵌在網頁中，未經允許由瀏 覽器執(zhí)行，影響信息系統(tǒng)正常運行的有害程序；

g) 其它有害程序事件（OMI）
是指不能包含在以上6個子類之中的有害程序事件。

4.2.2 網絡攻擊事件（NAI）
網絡攻擊事件是指通過網絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協議缺陷、程序缺陷或使 用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。
網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣 魚事件、干擾事件和其他網絡攻擊事件等7個子類，說明如下：

a) 拒絕服務攻擊事件（DOSAI）
是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗 信息系統(tǒng)的CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的 信息安全事件；

b) 后門攻擊事件（BDAI）
是指利用軟件系統(tǒng)、硬件系統(tǒng)設計過程中留下的后門或有害程序所設 置的后門而對信息系統(tǒng)實施的攻擊的信息安全事件；

c) 漏洞攻擊事件（VAI）
是指除拒絕服務攻擊事件和后門攻擊事件之外，利用信息系統(tǒng)配置缺陷、 協議缺陷、程序缺陷等漏洞，對信息系統(tǒng)實施攻擊的信息安全事件；

d) 網絡掃描竊聽事件（NSEI）
是指利用網絡掃描或竊聽軟件，獲取信息系統(tǒng)網絡配置、端口、 服務、存在的脆弱性等特征而導致的信息安全事件；

e) 網絡釣魚事件（PI）
是指利用欺騙性的計算機網絡技術，使用戶泄漏重要信息而導致的信息安 全事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號密碼等；

f) 干擾事件（II）
是指通過技術手段對網絡進行干擾，或對廣播電視有線或無線傳輸網絡進行插 播，對衛(wèi)星廣播電視信號非法攻擊等導致的信息安全事件；

g) 其他網絡攻擊事件（ONAI）
是指不能被包含在以上6個子類之中的網絡攻擊事件。

4.2.3 信息破壞事件（IDI）
信息破壞事件是指通過網絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等 而導致的信息安全事件。
信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和 其它信息破壞事件等6個子類，說明如下：

a) 信息篡改事件（IAI）
是指未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件，例如網頁篡改等導致的信息安全事件；

b) 信息假冒事件（IMI）
是指通過假冒他人信息系統(tǒng)收發(fā)信息而導致的信息安全事件，例如網頁假冒等導致的信息安全事件；

c) 信息泄漏事件（ILEI）
是指因誤操作、軟硬件缺陷或電磁泄漏等因素導致信息系統(tǒng)中的保密、 敏感、個人隱私等信息暴露于未經授權者而導致的信息安全事件；

d) 信息竊取事件（III）
是指未經授權用戶利用可能的技術手段惡意主動獲取信息系統(tǒng)中信息而導致的信息安全事件；

e) 信息丟失事件（ILOI）
是指因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統(tǒng)中的信息丟失而導致的信息安全事件；

f) 其它信息破壞事件（OIDI）
是指不能被包含在以上5個子類之中的信息破壞事件。

4.2.4 信息內容安全事件（ICSI）
信息內容安全事件是指利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內容的安全事件。
信息內容安全事件包括以下4個子類，說明如下：

a) 違反憲法和法律、行政法規(guī)的信息安全事件；

b) 針對社會事項進行討論、評論形成網上敏感的輿論熱點，出現一定規(guī)模炒作的信息安全事件；

c) 組織串連、煽動集會游行的信息安全事件；

d) 其他信息內容安全事件等4個子類。

4.2.5 設備設施故障（FF）
設備設施故障是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。
設備設施故障包括軟硬件自身故障、外圍保障設施故障、人為破壞事故、和其它設備設施故障等4 個子類，說明如下：

a) 軟硬件自身故障（SHF）
是指因信息系統(tǒng)中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環(huán)境發(fā)生變化等而導致的信息安全事件；

b) 外圍保障設施故障（PSFF）
是指由于保障信息系統(tǒng)正常運行所必須的外部設施出現故障而導致的信息安全事件，例如電力故障、外圍網絡故障等導致的信息安全事件；

c) 人為破壞事故（MDA）
是指人為蓄意的對保障信息系統(tǒng)正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運行的信息安全事件；

d) 其它設備設施故障（IF-OT）
是指不能被包含在以上3個子類之中的設備設施故障而導致的信息安全事件。

4.2.6 災害性事件（DI）
災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。
災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。

4.2.7 其他事件（OI）
其他事件類別是指不能歸為以上6個基本分類的信息安全事件。

5 信息安全事件分級

5.1 分級考慮要素

5.1.1 概述
對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。

5.1.2 信息系統(tǒng)的重要程度
信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家安全、經濟建設、社會生活的重要性以及業(yè)務對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。

5.1.3 系統(tǒng)損失
系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數據的破壞，導致系統(tǒng)業(yè)務中斷，從而給事發(fā)組織所造成的損失，其大小主要考慮恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統(tǒng)損失、嚴重的系統(tǒng)損失、較大的系統(tǒng)損失和較小的系統(tǒng)損失，說明如下：

a) 特別嚴重的系統(tǒng)損失：造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務處理能力，或系統(tǒng)關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的；

b) 嚴重的系統(tǒng)損失：造成系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務處理能力受到極大影響，或系統(tǒng) 關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統(tǒng)正常運行和消除安全事件負面影響所 需付出的代價巨大，但對于事發(fā)組織是可承受的；

c) 較大的系統(tǒng)損失：造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務處 理能力受到影響，或系統(tǒng)重要數據的保密性、完整性、可用性遭到破壞，恢復系統(tǒng)正常運行和 消除安全事件負面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；

d) 較小的系統(tǒng)損失：造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務處理能力受到影響，或系統(tǒng) 重要數據的保密性、完整性、可用性遭到影響，恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較小。

5.1.4 社會影響
社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經濟建設和公眾利益等方面的影響，劃分為特別重大的社會影響、重大的社會影響、較大的社會影響和一般的社會影響，說明如下：

a) 特別重大的社會影響：波及到一個或多個省市的大部分地區(qū)，極大威脅國家安全，引起社會動 蕩，對經濟建設有極其惡劣的負面影響，或者嚴重損害公眾利益；

b) 重大的社會影響：波及到一個或多個地市的大部分地區(qū)，威脅到國家安全，引起社會恐慌，對 經濟建設有重大的負面影響，或者損害到公眾利益；

c) 較大的社會影響：波及到一個或多個地市的部分地區(qū)，可能影響到國家安全，擾亂社會秩序， 對經濟建設有一定的負面影響，或者影響到公眾利益；

d) 一般的社會影響：波及到一個地市的部分地區(qū)，對國家安全、社會秩序、經濟建設和公眾利益 基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。

5.2 事件分級

5.2.1 概述
根據信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、 較大事件和一般事件。

5.2.2 特別重大事件（Ⅰ級）
特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

b) 產生特別重大的社會影響。

5.2.3 重大事件（Ⅱ級）
重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

b) 產生的重大的社會影響。

5.2.4 較大事件（Ⅲ級）
較大事件是指能夠導致較嚴重影響或破壞的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

b) 產生較大的社會影響。

5.2.5 一般事件（Ⅳ級）
一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

a) 會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信 息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失；

b) 產生一般的社會影響。

The post 信息安全事件如何分類分級 first appeared on 深圳市安信達咨詢有限公司.

ISO9001認證機構

4月14日，DNV集團總裁兼CEO艾瑞民（Remi Eriksen）等一行9人親臨中國海工，向中國海工正式頒發(fā)ISO 9001、ISO 14001、ISO 45001三體系認證證書，此舉表明中國海工已建立起一套完整的管理體系，其管理水平已通過DNV權威認證。中國海工公司總經理李小巍、副總經理張毅全程接待了DNV總裁一行。

會上，中國海工介紹了公司的成立背景、目標業(yè)務、服務項目、優(yōu)勢以及發(fā)展愿景。DNV介紹了集團概況和在中國的主營業(yè)務及部門。雙方參會人員就海工平臺、設備，海上風電，技術創(chuàng)新，氫能，碳捕獲、利用與封存(CCUS）等方向上可能存在的合作進行了重點探討。

李小巍代表中國海工對艾瑞民先生一行的親臨到訪表示歡迎，向DNV集團對中國海工一如既往的支持表示衷心的感謝。通過體系認證工作，中國海工與DNV已經開啟了良好的合作，希望后續(xù)可以簽署戰(zhàn)略合作協議，組織定期交流，深入了解對方的服務、資源和挑戰(zhàn)，開啟更深層次的合作和共贏。

DNV管理服務集團大中國區(qū)總經理徐偉基先生表示：“中國海工這家年輕的公司完成質量、環(huán)境、安全三體系認證是非常了不起的成就，這表明中國海工的管理水平已達到先進水平。完成QEHS認證并不容易，這是一項非常具有挑戰(zhàn)性的任務。我希望參與到認證過程中的每個人都能享受與DNV的合作。獲得QEHS認證能幫助企業(yè)更有信心地面對未來即將發(fā)生的挑戰(zhàn)。DNV愿成為企業(yè)發(fā)展道路中的合作伙伴，合力幫助企業(yè)應對不同類型的風險與挑戰(zhàn)。”

中國海工公司總體設計事業(yè)部、工程管理事業(yè)部、系統(tǒng)設備事業(yè)部、檢測認證與咨詢服務事業(yè)部、戰(zhàn)略與創(chuàng)新部等有關部門負責同志參加了本次會議。

關于 DNV

Risk Based Certification基于風險的認證方法

DNV的認證審核采用我們專有的Risk Based Certification基于風險的認證方法。在根據選定的標準衡量績效以外，我們還評估對您的業(yè)務至關重要的重點關注領域的風險。通過了解管理體系對重點關注領域的支持程度，您可以獲得與組織持續(xù)實現目標的能力相關的有針對性和結構化的信息。

The post 【行業(yè)新聞】中國海工獲DNV頒質量、環(huán)境、職業(yè)健康安全三體系證書 first appeared on 深圳市安信達咨詢有限公司.

SA8000認證機構

近日，國際公認的測試、檢驗和認證機構SGS通標標準技術服務有限公司為隆基綠能科技股份有限公司（以下簡稱“隆基綠能”） 提供ISO 26000社會責任管理績效評估服務并簽發(fā)績效評估聲明。隆基綠能成為中國光伏行業(yè)內首家通過國際認可的社會責任管理指南標準評估，并獲得SGS簽發(fā)ISO 26000績效評估聲明的企業(yè)。

在頒證儀式現場，隆基綠能科技股份有限公司副總裁李文學先生表示，近年來，隆基綠能通過頂層設計，成立了CSR工作小組，統(tǒng)籌規(guī)劃設計和落地CSR管理體系，在公司治理體系中融入社會責任和可持續(xù)發(fā)展的要求，貫徹“主動有為”的核心思想，采取有效的預防和保護措施，最大限度降低不良社會影響、促進有益的社會影響，提高社會責任績效，對社會和環(huán)境的影響擔責。今天，通過此次ISO 26000績效評估聲明發(fā)布，把隆基綠能的社會責任管理推向了一個新的高度，為今后公司各項CSR重點工作的推廣和發(fā)展打下了良好的基礎。同時，也提出了新的要求，隨著業(yè)務融入全球化經營，公司將積極遵循有關國際規(guī)范，遵守所在國家和地區(qū)法律法規(guī)，尊重當地民族文化和宗教習俗，保護生態(tài)環(huán)境，促進當地就業(yè)，維護員工合法權益，支持社區(qū)發(fā)展，參與公益事業(yè)，為當地經濟社會發(fā)展做出積極貢獻。

SGS中國區(qū)副總裁辛斌先生表示，隨著2015年聯合國提出17項可持續(xù)發(fā)展目標，以及2016年巴黎協定的簽訂，履行社會責任已經成為企業(yè)共識。ISO 26000作為一個指南性的社會責任管理標準，要求企業(yè)將社會責任融入日常管理和日常行為中。在光伏行業(yè)內率先通過ISO 26000社會責任管理體系績效評估，說明隆基綠能作為一個優(yōu)秀的企業(yè)，不僅有優(yōu)秀的財務表現，也承擔了良好的社會責任。

ISO 26000是國際標準化組織制定的社會責任指南標準，該標準在全球統(tǒng)一了社會責任的定義，明確了社會責任的原則，確定了踐行社會責任的核心主題，描述了以可持續(xù)發(fā)展為目標將社會責任融入組織戰(zhàn)略和日?；顒拥姆椒?，為企業(yè)建立完善和長期的企業(yè)責任戰(zhàn)略提供了一個框架體系。

隆基綠能獲得ISO 26000績效評估，標志著作為一家負責任的全球性綠色能源科技企業(yè)，已經建立了較為完善的社會責任管理體系，并將社會責任、可持續(xù)發(fā)展與業(yè)務價值鏈結合，在推進全球化經營的過程中，正在用實際行動詮釋有責任、有擔當的光伏行業(yè)領先企業(yè)風范。

社會責任是一個企業(yè)長期發(fā)展的重要組成部分，也是企業(yè)能夠在市場競爭中取得優(yōu)勢的關鍵。SGS愿意與企業(yè)攜手，共同推動可持續(xù)發(fā)展及社會責任的進一步落實，建立更加可靠、可信賴的管理體系，推進企業(yè)在經濟、環(huán)境及社會等多方面獲得持續(xù)增長與創(chuàng)新，助力構建更加美好的未來。

關于隆基綠能

隆基綠能（上海證券交易所代碼：601012.SH）致力于成為全球最具價值的太陽能科技公司。秉承“穩(wěn)健可靠、科技引領”的品牌定位，隆基綠能聚焦科技創(chuàng)新，瞄準全球客戶需求，構建單晶硅片、電池組件、工商業(yè)及戶用分布式解決方案、綠色能源解決方案、氫能裝備五大業(yè)務板塊，形成支撐全球零碳發(fā)展的“綠電”+“綠氫”方案能力。

關于SGS

SGS是國際公認的第三方測試、檢驗和認證機構，在全球有2,650 多個分支機構和實驗室以及97,000多名員工。

SGS提供可持續(xù)性和ESG服務已超過25年，全面的可持續(xù)發(fā)展解決方案可以幫助組織降低價值鏈中的風險，實施更好、更高效的流程，解決利益相關方的擔憂并實現可持續(xù)發(fā)展目標。

The post 【行業(yè)新聞】隆基綠能獲SGS簽發(fā)ISO26000社會責任管理績效評估聲明 first appeared on 深圳市安信達咨詢有限公司.

有限公司等5家認證機構批準資質的公告

2023年第6號

按照認證機構資質審批“證照分離”改革的總體要求，認監(jiān)委組織開展了認證機構資質符合性現場核查。經檢查，以下5家認證機構存在申請資質時提交虛假材料、作出虛假承諾或者目前不能持續(xù)符合資質條件的問題，詳情如下：

大象鴻圖認證服務（北京）有限公司（CNCA-R-2022-1113）、維他姆（北京）認證有限公司（CNCA-R-2022-1122）等2家通過告知承諾獲得資質的認證機構在申請時提交虛假材料，作出虛假承諾。

興誠（杭州）檢測認證科技有限公司（CNCA-R-2021-866）在設立認證機構申請時提交虛假材料。

廣東華勝威檢測認證有限公司（CNCA-R-2021-829）在擴大認證業(yè)務范圍申請時提交虛假材料。

中區(qū)國際認證有限公司（CNCA-R-2021-927）不能持續(xù)符合認證機構資質法定條件。

經研究，決定撤銷大象鴻圖認證服務（北京）有限公司、維他姆（北京）認證有限公司、興誠（杭州）檢測認證科技有限公司、中區(qū)國際認證有限公司等4家認證機構資質，決定撤銷廣東華勝威檢測認證有限公司職業(yè)健康安全管理體系認證領域資質。上述通過告知承諾獲得資質的認證機構此前出具的認證證書不具有證明作用。

特此公告。

認監(jiān)委

2023年4月3日

The post 認監(jiān)委關于撤銷5家認證機構批準資質的公告 first appeared on 深圳市安信達咨詢有限公司.