信息安全生產(chǎn)管理標(biāo)準(zhǔn)與信息化管理介紹

1、內(nèi)容提綱內(nèi)容提綱一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概述一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概述 二、信息安全標(biāo)準(zhǔn)化組織二、信息安全標(biāo)準(zhǔn)化組織 三、三、信息安全標(biāo)準(zhǔn)體系研究信息安全標(biāo)準(zhǔn)體系研究四、四、重要信息安全標(biāo)準(zhǔn)介紹重要信息安全標(biāo)準(zhǔn)介紹 六、存在問(wèn)題分析六、存在問(wèn)題分析 五、五、研究熱點(diǎn)追蹤研究熱點(diǎn)追蹤一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概述 信息安全標(biāo)準(zhǔn)化的作用信息安全標(biāo)準(zhǔn)化的作用一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念 標(biāo)準(zhǔn)化的基本原理標(biāo)準(zhǔn)化的基本原理 我國(guó)標(biāo)準(zhǔn)化工作者根據(jù)自己的實(shí)踐，用自己的語(yǔ)言，總結(jié)了“簡(jiǎn)化”、“統(tǒng)一”、“協(xié)調(diào)”、“選優(yōu)”的八字原理，成為我國(guó)標(biāo)準(zhǔn)化界的一種共識(shí)。 1、簡(jiǎn)化 具有同種功能的標(biāo)準(zhǔn)化對(duì)象，當(dāng)其多樣性的發(fā)展規(guī)模超出必

2、要的范圍時(shí)，即應(yīng)消除其中多余的、可替換的和低功能的環(huán)節(jié)，保持其構(gòu)成的精練合理，使總體功能最佳。 2、統(tǒng)一 在一定時(shí)期，一定條件下，對(duì)標(biāo)準(zhǔn)化對(duì)象的形式、功能或其它技術(shù)特性所確立的一致性，應(yīng)與被取代的事物功能等效。 3、協(xié)調(diào) 在標(biāo)準(zhǔn)系統(tǒng)中，只有當(dāng)各個(gè)標(biāo)準(zhǔn)（子系統(tǒng)）之間的功能彼此協(xié)調(diào)時(shí)，才能實(shí)現(xiàn)整體系統(tǒng)的功能最佳。 4、選優(yōu) 按照特定的目標(biāo)，在一定的限定條件下，對(duì)標(biāo)準(zhǔn)系統(tǒng)的構(gòu)成因素及其關(guān)系進(jìn)行選擇、設(shè)計(jì)或調(diào)整，使之達(dá)到最理想效果。一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念 國(guó)際標(biāo)準(zhǔn)的采用國(guó)際標(biāo)準(zhǔn)的采用一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念二、信息安全標(biāo)準(zhǔn)化組織介紹2.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信

3、息安全標(biāo)準(zhǔn)化組織 ISO/IEC JTC1 SC27 ISO（國(guó)際標(biāo)準(zhǔn)化組織）和IEC（國(guó)際電工委員會(huì)）是世界上專門的標(biāo)準(zhǔn)化組織。在信息技術(shù)領(lǐng)域，ISO和IEC成立了一個(gè)聯(lián)合技術(shù)委員會(huì)JTC1。SC27是JTC1中專門從事信息安全通用方法及技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)。 SC27 IT安全技術(shù)分委員會(huì)成立于1990年4月，2006年5月SC27工作組調(diào)整后，SC27下設(shè)五個(gè)工作組，各工作組信息如表2.1所示，各工作組關(guān)系如圖2.1所示。2.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織SC27啟動(dòng)了聯(lián)合工作機(jī)制，與許多組織進(jìn)行了成功的合作。例如：ISO/IECJTC1內(nèi)有SC6，SC17，S

4、C18，SC21，SC22和SC30；ISO內(nèi)包括TC68和TC215；外部組織包括CCIMB、ETSI、ITU-T和ISSEA。和SC27存在聯(lián)絡(luò)關(guān)系的相關(guān)標(biāo)準(zhǔn)化機(jī)構(gòu)或協(xié)會(huì)及聯(lián)絡(luò)類型如下：2.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織2.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織 國(guó)際電工委員會(huì)（國(guó)際電工委員會(huì)（IECIEC）2.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織 國(guó)際電信聯(lián)盟（國(guó)際電信聯(lián)盟（ITUITU） 2.1 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織 互聯(lián)網(wǎng)工程任務(wù)組（互聯(lián)網(wǎng)工程任務(wù)組（IETFIETF）2.2 美國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)信息安全標(biāo)準(zhǔn)化組織

5、 美國(guó)國(guó)家標(biāo)準(zhǔn)化協(xié)會(huì)（美國(guó)國(guó)家標(biāo)準(zhǔn)化協(xié)會(huì)（ANSIANSI） 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NISTNIST）2.2 美國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)信息安全標(biāo)準(zhǔn)化組織 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NISTNIST）2.2 美國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)信息安全標(biāo)準(zhǔn)化組織 美國(guó)電氣電工工程師協(xié)會(huì)（美國(guó)電氣電工工程師協(xié)會(huì)（IEEEIEEE）2.3 國(guó)外其它信息安全標(biāo)準(zhǔn)化組織國(guó)外其它信息安全標(biāo)準(zhǔn)化組織OMA在網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化方面，主要側(cè)重于數(shù)據(jù)業(yè)務(wù)。在OMA設(shè)有專門的技術(shù)委員會(huì)負(fù)責(zé)安全標(biāo)準(zhǔn)研究，即TC security，目前主要關(guān)注無(wú)線公鑰基礎(chǔ)設(shè)施（WPKI）、在線

6、證書狀態(tài)協(xié)議（OCSP）、應(yīng)用層安全、智能卡Web服務(wù)、移動(dòng)在線認(rèn)證以及在線密鑰生成等方面的研究。在OMA 除TC security外，還設(shè)有專門的技術(shù)委員會(huì)負(fù)責(zé)數(shù)字版權(quán)管理方面的研究。ATIS也設(shè)有一個(gè)技術(shù)工作委員會(huì)（IDSC），專門負(fù)責(zé)信息安全和數(shù)據(jù)安全方面的標(biāo)準(zhǔn)研究，主要在身份鑒別、數(shù)據(jù)保護(hù)、風(fēng)險(xiǎn)管理等方面，并出版了相應(yīng)的報(bào)告。主要制定計(jì)算機(jī)及其相關(guān)應(yīng)用的標(biāo)準(zhǔn)和技術(shù)報(bào)告，經(jīng)常向ISO提交標(biāo)準(zhǔn)提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個(gè)技術(shù)委員會(huì)，其中TC32 “通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)，目前主要制定商用和

7、政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評(píng)估標(biāo)準(zhǔn)化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。是歐洲地區(qū)性標(biāo)準(zhǔn)化組織，已頒布120多個(gè)網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)。其下屬技術(shù)委員會(huì)SAFETY（安全），主要研究電氣安全方面的標(biāo)準(zhǔn)；技術(shù)委員會(huì)ESI（電子簽名和基礎(chǔ)設(shè)施）主要研究電子簽名和PKI方面的標(biāo)準(zhǔn)；技術(shù)委員會(huì)LI（合法監(jiān)聽）主要研究合法監(jiān)聽方面的標(biāo)準(zhǔn)；特設(shè)組SAGE（安全算法專家組）負(fù)責(zé)研究密碼算法方面的標(biāo)準(zhǔn)，如GSM鑒權(quán)算法A3/A5 算法。目前，ETSI主要關(guān)注電子簽名、合法監(jiān)聽、移動(dòng)通信安全、NGN安全、安全算法和智能卡安全等。主要制定計(jì)算機(jī)及其相關(guān)應(yīng)用的標(biāo)準(zhǔn)和技術(shù)報(bào)告，經(jīng)常向ISO提交標(biāo)準(zhǔn)提案。JT

8、C1的歐洲秘書處就設(shè)在ECMA。它有11個(gè)技術(shù)委員會(huì)，其中TC32 “通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評(píng)估標(biāo)準(zhǔn)化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。3GPP在其業(yè)務(wù)和系統(tǒng)技術(shù)規(guī)范組下專門設(shè)置有工作組即WG3負(fù)責(zé)安全標(biāo)準(zhǔn)研究，3GPP2也在TSG-S業(yè)務(wù)和系統(tǒng)下設(shè)工作組WG4負(fù)責(zé)安全標(biāo)準(zhǔn)研究。此兩標(biāo)準(zhǔn)組織所研究的安全標(biāo)準(zhǔn)主要是與第三代移動(dòng)通信有關(guān)，主要涉及算法、安全架構(gòu)（如IMS 安全架構(gòu)等）等。 1.1.歐洲計(jì)算機(jī)生產(chǎn)商協(xié)會(huì)（ECMA） 2.歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI

9、） 3.3GPP4.開放移動(dòng)聯(lián)盟（OMA） 6.結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS） 5.電信工業(yè)解決方案聯(lián)盟（ATIS）其其它它信信息息安安全全標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織此外，英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（BSI）所制定的BS7799系列標(biāo)準(zhǔn)和德國(guó)的IT基線保護(hù)手冊(cè)也是國(guó)際上比較有影響力的安全標(biāo)準(zhǔn)。2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260TC260）2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織n WG1：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組 任務(wù)：研究信息安全標(biāo)準(zhǔn)體系；跟蹤國(guó)際信息安全標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)；研究、分析國(guó)內(nèi)信息安全標(biāo)準(zhǔn)的應(yīng)用

10、需求；研究并提出新工作項(xiàng)目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項(xiàng)目。負(fù)責(zé)標(biāo)準(zhǔn)體系研究和標(biāo)準(zhǔn)化協(xié)調(diào)。 組長(zhǎng)：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所林寧 工作組聯(lián)絡(luò)處：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所 WG1開展的研究項(xiàng)目： 信息安全標(biāo)準(zhǔn)體系的研究 電子政務(wù)標(biāo)準(zhǔn)化指南第六部分：信息安全 信息安全標(biāo)準(zhǔn)術(shù)語(yǔ)2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織n WG2：涉密信息系統(tǒng)標(biāo)準(zhǔn)工作組 任務(wù)：負(fù)責(zé)涉密信息系統(tǒng)標(biāo)準(zhǔn)研究 組長(zhǎng)：組長(zhǎng)單位為國(guó)家保密局 WG1開展的研究項(xiàng)目： 涉密信息消除和介質(zhì)銷毀 信息安全保密產(chǎn)品技術(shù)要求和測(cè)試方法 涉密信息系統(tǒng)技術(shù)要求和測(cè)評(píng) 涉密信息系統(tǒng)管理n WG3：密碼標(biāo)準(zhǔn)工作組 任務(wù)：負(fù)責(zé)密碼相關(guān)國(guó)

11、家標(biāo)準(zhǔn)研究 組長(zhǎng)：組長(zhǎng)單位為國(guó)家密碼管理局 正開展的研究項(xiàng)目： 分組算法應(yīng)用接口規(guī)范 證書認(rèn)證系統(tǒng)密碼及相關(guān)安全技術(shù)規(guī)范 PCI密碼卡技術(shù)規(guī)范 ECC算法應(yīng)用接口規(guī)范 雜湊算法應(yīng)用接口規(guī)范2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織n WG4：PKI/PMI工作組 任務(wù)：國(guó)內(nèi)外PKI/PMI標(biāo)準(zhǔn)體系的分析；研究PKI/PMI標(biāo)準(zhǔn)體系；國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研；完成一批PKI/PMI基礎(chǔ)性標(biāo)準(zhǔn)的制定工作。鑒別與授權(quán)工作組。主要負(fù)責(zé)PKI/PMI 等方面的標(biāo)準(zhǔn)研究，已完成GB/T 20518信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施數(shù)字證書格式等10多個(gè)標(biāo)準(zhǔn)的研究。 組長(zhǎng)：中國(guó)科學(xué)院研究生院馮登國(guó) 副組長(zhǎng)

12、：國(guó)家信息安全工程技術(shù)研究中心袁文恭、國(guó)家信息中心吳亞非 工作組聯(lián)絡(luò)處：國(guó)家信息中心 開展的研究項(xiàng)目： 公開密鑰和屬性證書框架(X.509) 時(shí)間戳規(guī)范基于X509的證書管理協(xié)議 數(shù)字證書狀態(tài)查詢協(xié)議PKI組件最小互操作規(guī)范 PKI安全支撐平臺(tái)等證書認(rèn)證機(jī)構(gòu)運(yùn)營(yíng)管理規(guī)范 證書載體應(yīng)用程序接口基于X509的國(guó)內(nèi)數(shù)字證書格式規(guī)范PKI系統(tǒng)安全保護(hù)等級(jí)技術(shù)要求2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織n WG5：信息安全評(píng)估工作組 任務(wù)：調(diào)研國(guó)內(nèi)外測(cè)評(píng)標(biāo)準(zhǔn)現(xiàn)狀與發(fā)展趨勢(shì)；研究提出我國(guó)統(tǒng)一測(cè)評(píng)標(biāo)準(zhǔn)體系的思路和框架；研究提出信息系統(tǒng)和網(wǎng)絡(luò)的安全測(cè)評(píng)標(biāo)準(zhǔn)思路和框架；研究提出急需的測(cè)評(píng)標(biāo)準(zhǔn)項(xiàng)目和制

13、定計(jì)劃。信息安全評(píng)估工作組。負(fù)責(zé)安全評(píng)估方面的標(biāo)準(zhǔn)研究，已完成網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券系統(tǒng)等應(yīng)用系統(tǒng)評(píng)估標(biāo)準(zhǔn)以及安全路由器、防火墻、入侵檢測(cè)系統(tǒng)等產(chǎn)品評(píng)估標(biāo)準(zhǔn)，正在開展安全等級(jí)保護(hù)相關(guān)的評(píng)估標(biāo)準(zhǔn)研究。 組長(zhǎng)：解放軍信息安全測(cè)評(píng)認(rèn)證中心崔書昆 副組長(zhǎng)：公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局景乾元、國(guó)家信息安全評(píng)測(cè)認(rèn)證中心李守鵬 工作組聯(lián)絡(luò)處：解放軍信息安全測(cè)評(píng)認(rèn)證中心2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織n WG7：信息安全管理工作組 任務(wù)：信息安全管理標(biāo)準(zhǔn)體系的研究；國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研；完成一批信息安全管理相關(guān)基礎(chǔ)性標(biāo)準(zhǔn)的制定工作。已完成ISO/IEC 13335.1-2、ISO/IEC17

14、799等國(guó)際標(biāo)準(zhǔn)的采標(biāo)工作，正在開展ISO/IEC27000系列標(biāo)準(zhǔn)的采標(biāo)工作，并正在研究風(fēng)險(xiǎn)管理、安全事件管理、災(zāi)難備份等。 組長(zhǎng)：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所王立建 工作組聯(lián)絡(luò)處：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所 WG7開展的研究項(xiàng)目： 信息技術(shù) 安全技術(shù) IT安全管理指南 信息技術(shù) 信息安全管理實(shí)用規(guī)則 信息技術(shù) 安全技術(shù) 系統(tǒng)安全工程能力成熟度模型(SSE-CMM)2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織 公安信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公安信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2.4 我國(guó)信息安全標(biāo)準(zhǔn)化組織我國(guó)信息安全標(biāo)準(zhǔn)化組織 中國(guó)通信標(biāo)準(zhǔn)

15、化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)三、信息安全標(biāo)準(zhǔn)體系 3. 信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系 課題目標(biāo)課題目標(biāo)3. 信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系 WG1 需求安全服務(wù)與指南標(biāo)準(zhǔn)（22項(xiàng)） WG2 安全技術(shù)和機(jī)制標(biāo)準(zhǔn) （45項(xiàng)） WG3 系統(tǒng)和產(chǎn)品安全評(píng)估與認(rèn)證標(biāo)準(zhǔn)（15項(xiàng)）ISO-JTC/SC27ISO-JTC/SC27（2）ISO標(biāo)準(zhǔn)體系結(jié)構(gòu)標(biāo)準(zhǔn)體系結(jié)構(gòu) （截止到（截止到2007年底）年底）3. 信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系實(shí)體安全（A） 環(huán)境安全（A10） 設(shè)備安全（A20） 媒體安全（A30）運(yùn)行安全（B） 風(fēng)險(xiǎn)分析（B10） 審計(jì)

16、跟蹤（B20） 備份與恢復(fù)（B30） 應(yīng)急（B40） 應(yīng)急計(jì)劃輔助軟件（B41） 應(yīng)急設(shè)施（B42）信息安全（C） 操作系統(tǒng)安全（C10） 安全操作系統(tǒng)（C11） 操作系統(tǒng)安全部件（C12） 數(shù)據(jù)庫(kù)安全（C20） 安全數(shù)據(jù)庫(kù)系統(tǒng)（C21） 數(shù)據(jù)庫(kù)系統(tǒng)安全部件（C22） 網(wǎng)絡(luò)安全（C30） 網(wǎng)絡(luò)安全管理（C31） 安全網(wǎng)絡(luò)系統(tǒng)（C32） 網(wǎng)絡(luò)系統(tǒng)安全部件（C33）（3 3）GA163-1997GA163-1997關(guān)于計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則關(guān)于計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則3. 信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系（4 4）一種信息安全產(chǎn)品與標(biāo)準(zhǔn)體系結(jié)構(gòu)草案）一種信息安全產(chǎn)品與標(biāo)準(zhǔn)體系

17、結(jié)構(gòu)草案1、網(wǎng)絡(luò)通信安全類 7、內(nèi)容安全類2、身份鑒別類 8、基礎(chǔ)平臺(tái)與中間3、應(yīng)用安全類 9、惡意代碼防治類4、監(jiān)控與審計(jì)類 10、密碼基礎(chǔ)類5、安全隔離類 11、密碼設(shè)備類6、數(shù)據(jù)安全類 12、密碼模塊類3. 信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系（5）一種基于通用標(biāo)準(zhǔn)體系結(jié)構(gòu)的信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)）一種基于通用標(biāo)準(zhǔn)體系結(jié)構(gòu)的信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)國(guó)際級(jí)國(guó)際級(jí)區(qū)域級(jí)區(qū)域級(jí)企業(yè)級(jí)企業(yè)級(jí)國(guó)家級(jí)國(guó)家級(jí)行業(yè)級(jí)行業(yè)級(jí)地方級(jí)地方級(jí)產(chǎn)品產(chǎn)品系統(tǒng)系統(tǒng)人員人員服務(wù)服務(wù)事件事件對(duì)象對(duì)象基礎(chǔ)基礎(chǔ)技術(shù)技術(shù)工作工作管理管理內(nèi)容內(nèi)容3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系 信息安全技術(shù)標(biāo)準(zhǔn)體系框架信息安全技術(shù)標(biāo)準(zhǔn)體系

18、框架圖3.1 信息安全技術(shù)標(biāo)準(zhǔn)體系總體框架3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系 標(biāo)準(zhǔn)體系介紹標(biāo)準(zhǔn)體系介紹圖3.2 基礎(chǔ)標(biāo)準(zhǔn)體系框架3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系圖3.3 技術(shù)與機(jī)制標(biāo)準(zhǔn)體系框架3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系圖4.4 信息安全管理標(biāo)準(zhǔn)體系框架3.2

19、我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系3.2 我國(guó)信息安全標(biāo)準(zhǔn)體系我國(guó)信息安全標(biāo)準(zhǔn)體系四、主要信息安全標(biāo)準(zhǔn)介紹BS7799BS7799系列（系列（ISO/IEC 27000ISO/IEC 27000系列）系列） ISO/IEC TR 13335系列標(biāo)準(zhǔn)（舊版） GMITS，由5部分標(biāo)準(zhǔn)組成： ISO/IEC13335-1:1996IT安全的概念與模型 ISO/IEC13335-2:1997IT安全管理與策劃 ISO/IEC13335-3:1998IT

20、安全管理技術(shù) ISO/IEC13335-4:2000防護(hù)措施的選擇 ISO/IEC13335-5:2001網(wǎng)絡(luò)安全管理指南 目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風(fēng)險(xiǎn)管理）取代。ISO/IEC TR 13335 只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，信息安全體系建設(shè)參考BS 7799，具體實(shí)踐參考ISO TR 13335。SSE-CM

21、M (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局(NSA)領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。 SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評(píng)估方法2.0版發(fā)布。系統(tǒng)安全工程過(guò)程一共有三個(gè)相關(guān)組織過(guò)程： 工程過(guò)程 風(fēng)險(xiǎn)過(guò)程 保證過(guò)程 共分5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)域： 基本執(zhí)行級(jí) 計(jì)劃跟蹤級(jí) 充分定義級(jí) 量化控制級(jí) 持續(xù)改進(jìn)級(jí) 2002年被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC 21827:

22、2002信息技術(shù)系統(tǒng)安全工程成熟度模型。 SSE-CMM 和BS 7799 都提出了一系列最佳慣例，但BS 7799 是一個(gè)認(rèn)證標(biāo)準(zhǔn)（第二部分），提出了一個(gè)可供認(rèn)證的ISMS 體系，組織應(yīng)該將其作為目標(biāo)，通過(guò)選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤?shí)現(xiàn)。而SSE-CMM 則是一個(gè)評(píng)估標(biāo)準(zhǔn)， 適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn) 我們通常所稱的通用標(biāo)準(zhǔn)或通用準(zhǔn)則（Common Criteria，簡(jiǎn)稱CC）是指ISO/IEC15408:1999標(biāo)準(zhǔn)。目前CC標(biāo)準(zhǔn)的最新版本是2.2；CC2.1版在1999年成為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408:1999；我國(guó)在2001年等同采用為國(guó)家標(biāo)準(zhǔn)GB/T 183

23、362001。CC標(biāo)準(zhǔn)由三個(gè)部分組成： GB/T 18336.12001 idt ISO/IEC15408-1:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型 GB/T 18336.22001 idt ISO/IEC15408-2:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求 GB/T 18336.32001 idt ISO/IEC15408-3:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求 與BS7799 標(biāo)準(zhǔn)相比，CC 的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評(píng)價(jià)上，BS7799 在闡述信息安全管理要求時(shí)，并沒有強(qiáng)調(diào)技術(shù)

24、細(xì)節(jié)。因此，組織在依照BS7799 標(biāo)準(zhǔn)來(lái)實(shí)施ISMS 時(shí)，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC 標(biāo)準(zhǔn)。 ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（Information Technology Infrastructure Library）。ITIL針對(duì)一些重要的IT實(shí)踐，詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（Service Delivery）和服務(wù)支持（Service Support） 服務(wù)交付（服務(wù)交付（Service Delivery）：）： Service

25、 Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management 服務(wù)支持（服務(wù)支持（Service Support）：）： Service Desk Incident Management Problem Management Configuration Management Change Management Release Management 2001 年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)在國(guó)際IT 服務(wù)管理論壇

26、（itSMF）上正式發(fā)布了以ITIL為核心的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。BS15000 有兩個(gè)部分，目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Information technology service management. Specification for Service Management） ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實(shí)踐（ Information technology service management. Code of Pr

27、actice for Service Management） 與BS7799 相比，ITIL 關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799 作為ITIL 在信息安全方面的補(bǔ)充，同時(shí)引入ITIL 流程的方法，以此加強(qiáng)信息安全管理的實(shí)施能力。 CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標(biāo)（的全稱是信息和相關(guān)技術(shù)的控制目標(biāo)（Control Objectives for Information and related Technology），是），是ITGI提出的提出的IT治理模型（治理模型（IT Governance)，是一個(gè)，是一個(gè)IT控制和控制和IT治理

28、的治理的框架（框架（Framework）。）。CobiT是一個(gè)在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的是一個(gè)在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的IT治理治理模型。模型。 CoBIT的八個(gè)控制過(guò)程：的八個(gè)控制過(guò)程： 計(jì)劃和組織（計(jì)劃和組織（Planning & Organisation） 采購(gòu)和實(shí)施（采購(gòu)和實(shí)施（Acquisition & Implementation） 交付和支持（交付和支持（Delivery & Support） 監(jiān)視和評(píng)估（監(jiān)視和評(píng)估（Monitoring & Evaluation） CoBIT的七個(gè)控制目標(biāo)：的七

29、個(gè)控制目標(biāo)： 機(jī)密性（機(jī)密性（Confidentiality） 完整性（完整性（Integrity） 可用性（可用性（Availability） 有效性（有效性（Effectiveness） 高效性（高效性（Efficiency） 可靠性（可靠性（Reliability） 符合性（符合性（Compliance） 目前基本上存在著兩類控制模型，一類是類似目前基本上存在著兩類控制模型，一類是類似COSO這樣的商業(yè)控制模式（這樣的商業(yè)控制模式（business control model），另一類則是像），另一類則是像BS7799這樣的更關(guān)注這樣的更關(guān)注IT的控制模型（的控制模型（more focu

30、sed on IT control model），而），而CoBIT的目標(biāo)是在兩者之間架起一座橋梁。的目標(biāo)是在兩者之間架起一座橋梁。 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（National Institute of Standards and Technology，NIST）發(fā)布的）發(fā)布的Special Publication 800 文檔是一系文檔是一系列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南，其中有多篇是有關(guān)信息安列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南，其中有多篇是有關(guān)信息安全管理的，包括：全管理的，包括： SP 800-12：計(jì)算機(jī)安全介紹（：計(jì)算機(jī)安全介紹（An Intro

31、duction to Computer Security: The NIST Handbook） SP 800-30 ： IT 系統(tǒng)風(fēng)險(xiǎn)管理指南（系統(tǒng)風(fēng)險(xiǎn)管理指南（Risk Management Guide for Information Technology Systems） SP 800-34：IT 系統(tǒng)應(yīng)急計(jì)劃指南（系統(tǒng)應(yīng)急計(jì)劃指南（Contingency Planning Guide for Information Technology Systems） SP 800-26 ： IT 系統(tǒng)安全自我評(píng)估指南（系統(tǒng)安全自我評(píng)估指南（ Security Self-Assessment Guide for Information Technology Systems） 這些文件可以作為實(shí)施這些文件可以作為實(shí)施ISMS 過(guò)程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照（例如風(fēng)過(guò)程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照（例如風(fēng)險(xiǎn)評(píng)估、應(yīng)急計(jì)劃等），是對(duì)險(xiǎn)評(píng)估、應(yīng)急計(jì)劃等），是對(duì)BS7799 標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。五、信息安全標(biāo)準(zhǔn)化研究熱點(diǎn) 2006年5