信息平安標(biāo)準(zhǔn)中國(guó)信息平安測(cè)評(píng)中心目錄標(biāo)準(zhǔn)根底知識(shí)簡(jiǎn)介國(guó)際、外國(guó)、我國(guó)信息平安標(biāo)準(zhǔn)化機(jī)構(gòu)信息平安相關(guān)國(guó)際標(biāo)準(zhǔn)和指南信息平安相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)和指南一些補(bǔ)充材料一、標(biāo)準(zhǔn)根底知識(shí)簡(jiǎn)介國(guó)家標(biāo)準(zhǔn)：GB/TXXXX.X-200XGBXXXX-200X行業(yè)標(biāo)準(zhǔn)：GA，GJB地方標(biāo)準(zhǔn)：DBXX/TXXX-200X DBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：QXXX-XXX-200X標(biāo)準(zhǔn)化根底知識(shí)〔1/4〕標(biāo)準(zhǔn)化根底知識(shí)〔2/4〕標(biāo)準(zhǔn)化：為在一定的范圍內(nèi)獲得最正確秩序，對(duì)實(shí)際的或潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)那么的活動(dòng)實(shí)質(zhì)：通過(guò)制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，到達(dá)統(tǒng)一。目的：獲得最正確秩序和社會(huì)效益。意義：促進(jìn)和帶動(dòng)產(chǎn)業(yè)開(kāi)展；解決平安互聯(lián)互通。國(guó)際級(jí)區(qū)域級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員效勞系統(tǒng)產(chǎn)品過(guò)程管理應(yīng)用技術(shù)機(jī)制體系、框架術(shù)語(yǔ)XYZX軸代表標(biāo)準(zhǔn)化對(duì)象Y軸代表標(biāo)準(zhǔn)化的內(nèi)容Z軸代表標(biāo)準(zhǔn)化的級(jí)別。標(biāo)準(zhǔn)化根底知識(shí)〔3/4〕標(biāo)準(zhǔn)化三維空間我國(guó)通行“標(biāo)準(zhǔn)化八字原理〞：“統(tǒng)一〞原理“簡(jiǎn)化〞原理“協(xié)調(diào)〞原理“最優(yōu)〞化原理標(biāo)準(zhǔn)化根底知識(shí)〔4/4〕標(biāo)準(zhǔn)化管理性質(zhì)標(biāo)準(zhǔn)化提供的事公共效勞，依法管理標(biāo)準(zhǔn)化管理的性質(zhì)是國(guó)家公共行政行為。標(biāo)準(zhǔn)化的管理標(biāo)準(zhǔn)化管理機(jī)構(gòu)國(guó)務(wù)院授權(quán)履行行政管理職能，主管機(jī)構(gòu)是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)〔StandardizationAdministrationofthePeople’sRepublicofChina，簡(jiǎn)稱(chēng)：SAC〕標(biāo)準(zhǔn)的制定修全國(guó)專(zhuān)業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)是由國(guó)家標(biāo)準(zhǔn)化主管機(jī)構(gòu)依法組建的專(zhuān)家型技術(shù)組織我國(guó)標(biāo)準(zhǔn)化管理和組織機(jī)構(gòu)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，全國(guó)信息平安標(biāo)準(zhǔn)化技術(shù)委員會(huì)〔簡(jiǎn)稱(chēng)信息平安標(biāo)委會(huì)，TC260〕，全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)〔簡(jiǎn)稱(chēng)信標(biāo)委,英文縮寫(xiě)為CITS〕，負(fù)責(zé)全國(guó)信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對(duì)應(yīng)的標(biāo)準(zhǔn)化工作。

全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)〔簡(jiǎn)稱(chēng)金標(biāo)委〕，負(fù)責(zé)金融系統(tǒng)標(biāo)準(zhǔn)化技術(shù)歸口管理工作和國(guó)際標(biāo)準(zhǔn)化組織中銀行與相關(guān)金融業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)〔ISO/TC68、TC222〕的歸口管理工作。

我國(guó)標(biāo)準(zhǔn)工作歸口單位標(biāo)準(zhǔn)化根底采標(biāo)：等同采用IDT〔identical〕修改采用MOD〔modified〕非等效采用NEQ〔notequivalent〕修改和非等效采用時(shí)的國(guó)際互認(rèn)問(wèn)題？IT標(biāo)準(zhǔn)化IT標(biāo)準(zhǔn)開(kāi)展趨勢(shì)(1)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向開(kāi)展。(2)信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。(3)信息技術(shù)標(biāo)準(zhǔn)化的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。(4)從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、平安等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向開(kāi)展。二、國(guó)際、外國(guó)、我國(guó)信息平安標(biāo)準(zhǔn)化機(jī)構(gòu)信息平安標(biāo)準(zhǔn)化組織

國(guó)際標(biāo)準(zhǔn)——ISO〔國(guó)際標(biāo)準(zhǔn)化組織〕由146個(gè)國(guó)家標(biāo)準(zhǔn)成員〔每個(gè)國(guó)家一個(gè)〕組成的世界聯(lián)盟建立于1947〔〕2.952技術(shù)成員190技術(shù)委員會(huì)(TCs)、544子委員會(huì)(SCs)、2.188工作組(WGs)工作成果發(fā)布為國(guó)際標(biāo)準(zhǔn)〔IS〕同平安相關(guān)的機(jī)構(gòu)ISO/IECJTC1/SC27：IT平安技術(shù)ISOTC68“金融效勞〔FinancialServices〕〞ISOTC215“健康醫(yī)療學(xué)〔HealthInformatics〕〞國(guó)際信息平安相關(guān)組織〔1/4〕ISOJTC1其他分技術(shù)委員會(huì)：SC6—系統(tǒng)間通信與信息交換SC17—識(shí)別卡和有關(guān)設(shè)備SC18—文件處理及有關(guān)通信SC21—開(kāi)放系統(tǒng)互連，數(shù)據(jù)管理和開(kāi)放式分布處理SC22—程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的平安標(biāo)準(zhǔn)。SC30—開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)平安標(biāo)準(zhǔn)。國(guó)際信息平安相關(guān)組織〔2/4〕IECTC56可靠性；TC74IT設(shè)備平安和成效；TC77電磁兼容；CISPR無(wú)線電干擾特別委員會(huì)ITU前身是CCITT消息處理系統(tǒng)目錄系統(tǒng)(X.400系列、X.500系列)平安框架平安模型等標(biāo)準(zhǔn)國(guó)際信息平安相關(guān)組織〔3/4〕IETF〔170多個(gè)RFC、12個(gè)工作組〕PGP開(kāi)發(fā)標(biāo)準(zhǔn)(openpgp)；鑒別防火墻遍歷(aft)；通用鑒別技術(shù)(cat)；域名效勞系統(tǒng)平安(dnssec)；IP平安協(xié)議(ipsec)；一次性口令鑒別(otp)；X.509公鑰根底設(shè)施(pkix)；S/MIME郵件平安(smime)；平安Shell(secsh)；簡(jiǎn)單公鑰根底設(shè)施(spki)；傳輸層平安(tls)Web處理平安(wts)國(guó)際信息平安相關(guān)組織〔4/4〕IEEESILS〔LAN/WAN〕平安P1363公鑰密碼標(biāo)準(zhǔn)ECMA(歐洲計(jì)算機(jī)廠商協(xié)會(huì))TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連〞曾定義了開(kāi)放系統(tǒng)應(yīng)用層平安結(jié)構(gòu)；TC36——“IT平安〞負(fù)責(zé)信息技術(shù)設(shè)備的平安標(biāo)準(zhǔn)。外國(guó)信息平安標(biāo)準(zhǔn)化組織〔1/2〕美國(guó)ANSINCITS-T4制定IT平安技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPS-197NISTSpecialPublication800系列DOD負(fù)責(zé)涉密信息NSA國(guó)防部指令〔DODI〕〔如TCSEC〕英國(guó)BS7799醫(yī)療衛(wèi)生信息系統(tǒng)平安加拿大計(jì)算機(jī)平安管理日本JIS國(guó)家標(biāo)準(zhǔn)JISC工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)韓國(guó)KISA負(fù)責(zé)防火墻、IDS、PKI方面標(biāo)準(zhǔn)外國(guó)信息平安標(biāo)準(zhǔn)化組織〔2/2〕我國(guó)全國(guó)信息平安標(biāo)準(zhǔn)化技術(shù)委員會(huì)

TC2602002年4月15日成立共54個(gè)標(biāo)準(zhǔn)〔2007年1月31日更新〕其中2002年前21個(gè)標(biāo)準(zhǔn)目前分為6個(gè)工作組：WG1:標(biāo)準(zhǔn)體系與協(xié)調(diào)WG2:涉密WG3:密碼WG4:標(biāo)識(shí)與鑒別WG5:信息平安評(píng)估WG7：信息平安管理三、信息平安相關(guān)國(guó)際標(biāo)準(zhǔn)和指南信息平安根底標(biāo)準(zhǔn)信息技術(shù)平安評(píng)估標(biāo)準(zhǔn)的歷史和開(kāi)展1985年美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)那么〔TCSEC〕1999年GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則2001年GB/T18336信息技術(shù)安全性評(píng)估準(zhǔn)則1991年歐洲信息技術(shù)平安性評(píng)估準(zhǔn)那么〔ITSEC〕1989年英國(guó)可信級(jí)別標(biāo)準(zhǔn)〔MEMO3DTI〕德國(guó)評(píng)估標(biāo)準(zhǔn)〔ZSEIC〕法國(guó)評(píng)估標(biāo)準(zhǔn)〔B-W-RBOOK〕1993年美國(guó)NIST的MSFR1993年加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)那么〔CTCEC〕1993年美國(guó)聯(lián)邦準(zhǔn)那么〔FC1.0〕國(guó)際通用評(píng)估準(zhǔn)那么1996年，CC1.01998年，CC2.01999年，CC2.11999年國(guó)際標(biāo)準(zhǔn)ISO/IEC15408可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〔TCSEC〕信息平安技術(shù)的里程碑1985年作為美國(guó)國(guó)防部標(biāo)準(zhǔn)〔DoD〕發(fā)布〔DoD5200.28-STD〕桔皮書(shū)簡(jiǎn)介主要為軍用標(biāo)準(zhǔn)。延用至民用。主要針對(duì)主機(jī)型分時(shí)操作系統(tǒng)，主要關(guān)注保密性平安級(jí)別主要按功能分類(lèi)平安級(jí)別從高到低分為A、B、C、D四級(jí)，級(jí)下再分小級(jí)，包含D、C1、C2、B1、B2、B3、A1這7個(gè)級(jí)別。后開(kāi)展為彩虹系列彩虹系列桔皮書(shū)：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么黃皮書(shū)：桔皮書(shū)的應(yīng)用指南紅皮書(shū)：可信網(wǎng)絡(luò)解釋紫皮書(shū)：可信數(shù)據(jù)庫(kù)解釋。。。可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〔TCSEC〕D:最小保護(hù)MinimalProtectionC1:自主安全保護(hù)DiscretionarySecurityProtectionC2:訪問(wèn)控制保護(hù)ControlledAccessProtectionB1:安全標(biāo)簽保護(hù)LabeledSecurityProtectionB2:結(jié)構(gòu)化保護(hù)StructuredProtectionB3:安全域保護(hù)SecurityDomainA1:驗(yàn)證設(shè)計(jì)保護(hù)VerifiedDesign低保證系統(tǒng)高保證系統(tǒng)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〔TCSEC〕

平安級(jí)別可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〔TCSEC〕

缺陷集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將平安功能和平安保證混在一起平安功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng)信息技術(shù)平安性評(píng)估準(zhǔn)那么〔ITSEC〕歐洲多國(guó)平安評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將平安概念分為功能與功能評(píng)估兩局部。功能準(zhǔn)那么在測(cè)定上分10級(jí)。1－5級(jí)對(duì)應(yīng)于TCSEC的C1到B3。6－10級(jí)加上了以下概念：F-IN：數(shù)據(jù)和程序的完整性F-AV：系統(tǒng)可用性F-DI：數(shù)據(jù)通信完整性F-DC：數(shù)據(jù)通信保密性F-DX包括保密性和完整性的網(wǎng)絡(luò)平安評(píng)估準(zhǔn)那么分為6級(jí)：E1：測(cè)試E2：配置控制和可控的分配E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼E4：詳細(xì)的脆弱性分析E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng)E6：設(shè)計(jì)與源碼在形式上一致。信息技術(shù)平安性評(píng)估準(zhǔn)那么〔ITSEC〕

與TCSEC的不同平安被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開(kāi)對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象〔TOE〕的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊平安裝置可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)那么〔CTCEC〕加拿大，1989年公布，專(zhuān)為政府需求而設(shè)計(jì)與ITSEC類(lèi)似，將平安分為功能性需求和保證性需要兩局部。功能性要求分為四個(gè)大類(lèi)：a保密性b完整性c可用性d可控性在每種平安需求下又分成很多小類(lèi)，表示平安性上的差異，分級(jí)條數(shù)為0－5級(jí)。美國(guó)聯(lián)邦準(zhǔn)那么(FC)對(duì)TCSEC的升級(jí)1992年12月公布引入了“保護(hù)輪廓〔PP〕〞這一重要概念每個(gè)輪廓都包括功能局部、開(kāi)發(fā)保證局部和評(píng)測(cè)局部。分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)。供美國(guó)政府用、民用和商用。GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安等級(jí)劃分準(zhǔn)那么第一級(jí)用戶(hù)自主保護(hù)級(jí)→ 自主保護(hù)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)→ 指導(dǎo)保護(hù)第三級(jí)平安標(biāo)記保護(hù)級(jí)→ 監(jiān)督保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí) → 強(qiáng)制保護(hù)第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)→ 專(zhuān)控保護(hù)通用準(zhǔn)那么〔CC〕GB/T18336國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)那么的努力結(jié)果；1993年開(kāi)始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國(guó)際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓〞，將評(píng)估過(guò)程分“功能〞和“保證〞兩局部；是目前最全面的評(píng)價(jià)準(zhǔn)那么通用準(zhǔn)那么〔CC〕國(guó)際上認(rèn)同的表達(dá)IT平安的體系結(jié)構(gòu)一組規(guī)那么集一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn)通用測(cè)試方法〔CEM〕已有平安準(zhǔn)那么的總結(jié)和兼容通用的表達(dá)方式，便于理解靈活的架構(gòu)可以定義自己的要求擴(kuò)展CC要求準(zhǔn)那么今后開(kāi)展的框架評(píng)測(cè)級(jí)別對(duì)應(yīng)保證功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E5E6D級(jí)C1級(jí)C2級(jí)B1級(jí)B2級(jí)B3級(jí)A1級(jí)F-C1級(jí)F-C2級(jí)F-B1級(jí)F-B2級(jí)F-B3級(jí)HP-UNIX(VV)Winnt3.5Winnt4.0Win2000評(píng)測(cè)級(jí)別對(duì)應(yīng)IATF信息平安保障技術(shù)框架IATF—分層多點(diǎn)深度防御IATF—分層多點(diǎn)深度防御

技術(shù)保護(hù)區(qū)域保衛(wèi)網(wǎng)絡(luò)和根底設(shè)施保衛(wèi)邊界保衛(wèi)計(jì)算環(huán)境支撐性根底設(shè)施IATF—分層多點(diǎn)深度防御

攻擊類(lèi)型信息平安管理標(biāo)準(zhǔn)概述ISO/IECJTC1SC27

平安技術(shù)子委員會(huì)介紹ISO/IECJTC1SC27的名稱(chēng)是“IT平安技術(shù)〞。其工作領(lǐng)域是IT平安的通用方法和技術(shù)，包括：為IT平安效勞識(shí)別通用要求〔包括要求方法〕；開(kāi)發(fā)平安技術(shù)和機(jī)制〔包括注冊(cè)流程以及平安組件的關(guān)系〕；開(kāi)發(fā)平安指南〔例如，解釋文件、風(fēng)險(xiǎn)分析〕；以及開(kāi)發(fā)管理支持文件和標(biāo)準(zhǔn)〔例如，術(shù)語(yǔ)和平安評(píng)估準(zhǔn)那么〕。JTC1/SC27–IT平安技術(shù)子委員會(huì)的活動(dòng)超過(guò)80個(gè)工程〔其他幾乎50個(gè)是活潑的〕超過(guò)50個(gè)發(fā)布的信息平安標(biāo)準(zhǔn)近2年開(kāi)展尤其活潑和迅猛WG5“隱私、標(biāo)識(shí)和生物測(cè)定技術(shù)平安〞ISO/IECJTC1SC27工作組方向評(píng)估指南技術(shù)產(chǎn)品系統(tǒng)過(guò)程環(huán)境WG1“ISMS〞WG2“密碼技術(shù)和平安機(jī)制〞WG3“平安評(píng)估〞WG4“平安控制和效勞〞已發(fā)布ISO/IEC27001:2005

信息平安管理系統(tǒng)——要求ISO/IEC27002:2005(ISO/IEC17799)

信息平安管理實(shí)踐準(zhǔn)那么ISO/IEC27006:2007

RequirementsfortheaccreditationofbodiesprovidingcertificationofISMSISO/IEC13335

信息和通信技術(shù)平安的管理ISO/IECTR13335

IT平安管理指南即將發(fā)布ISO/IEC27000:2006

信息平安管理系統(tǒng)根底和詞匯表目前狀態(tài)：1stCDISO/IEC27003:2007

信息平安管理系統(tǒng)實(shí)施指南目前狀態(tài)：3rdWDISO/IEC27004:2006

信息平安管理測(cè)量目前狀態(tài)：1stCDISO/IEC27005:2007

信息平安風(fēng)險(xiǎn)管理目前狀態(tài)：FCDISO/IEC27007

信息平安管理系統(tǒng)審計(jì)師指南目前狀態(tài)：尚未批準(zhǔn)WG1：信息平安管理系統(tǒng)〔ISMS〕參考文件：SC27StandingDocument7(SD7)CATALOGUEOFISO/IECJTC1/SC27PROJECTSANDSTANDARDS(SC27N5717)，2007-04-24ISMS概述和詞匯表ISO/IEC27000:2021?(ISO/IEC13335-1)ISMS測(cè)量

ISO/IEC27004:2021?風(fēng)險(xiǎn)管理

BS7799-3:2006ISO/IEC27005:2007?(ISO/IECTR13335-3:1998)ISMS要求

ISO/IEC27001:2005(BS7799-2:2002)ISMS實(shí)踐準(zhǔn)那么

ISO/IEC27002:2005(ISO/IEC17799)ISMS實(shí)施指南

ISO/IEC27003:2021?ISMS審計(jì)師指南ISO/IEC27007?ISMS

認(rèn)證體制

ISO/IEC27006:2007(EA7/03)ISO/IEC27000標(biāo)準(zhǔn)族特定標(biāo)準(zhǔn)和指南附錄A信息平安管理標(biāo)準(zhǔn)概述

西方興旺國(guó)家的信息平安管理標(biāo)準(zhǔn)西方興旺國(guó)家的信息平安管理標(biāo)準(zhǔn)英國(guó)〔BSI〕BS7799BS15000美國(guó)〔NIST〕NISTSP的以下一些標(biāo)準(zhǔn)指南信息平安管理標(biāo)準(zhǔn)

BS7799BS7799標(biāo)準(zhǔn)BS7799-1信息平安管理導(dǎo)那么〔codeofpracticeforinformationsecuritymanagement〕，現(xiàn)已成為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799。BS7799-2：信息平安管理系統(tǒng)標(biāo)準(zhǔn)〔specificationforinformationsecuritymanagementsystems〕，27001。BS7799-3：信息平安風(fēng)險(xiǎn)評(píng)估，27005。ISO/IEC17799:2005年第2版，27002。ISO/IEC17799:2005標(biāo)準(zhǔn)結(jié)構(gòu)前言0引言1范圍2術(shù)語(yǔ)和定義3本標(biāo)準(zhǔn)的組織結(jié)構(gòu)4風(fēng)險(xiǎn)評(píng)估和處置5平安策略6信息平安的組織結(jié)構(gòu)7資產(chǎn)管理8人力資源平安9物理和環(huán)境平安10通信和運(yùn)行管理11訪問(wèn)控制12信息系統(tǒng)采購(gòu)、開(kāi)發(fā)和維護(hù)13信息平安事故管理14業(yè)務(wù)持續(xù)性管理15符合性信息平安管理系統(tǒng)標(biāo)準(zhǔn)

PDCA模型應(yīng)用于ISMS過(guò)程ISO/IEC13335ISO/IECTR13335系列：GMITS〔IT平安管理指南〕系列標(biāo)準(zhǔn)ISO/IECTR13335-1:1996，第1局部：IT平安概念和模型；ISO/IECTR13335-2:1997，第2局部：管理和規(guī)劃IT平安；ISO/IECTR13335-3:1998，第3局部：IT平安管理技術(shù)；ISO/IECTR13335-4:2000，第4局部：保護(hù)措施的選擇；ISO/IECTR13335-5:2001，第5局部：網(wǎng)絡(luò)平安管理指南。ISO/IECIS13335系列：MICTS〔信息和通信技術(shù)平安管理〕ISO/IEC13335-1:2004第1局部：信息和通信技術(shù)平安管理概念和模型ISO/IEC13335第1局部綜合了原先ISO/IECTR13335的第1和第2局部。ISO/IEC13335-2，第2局部：信息和通信技術(shù)平安風(fēng)險(xiǎn)管理技術(shù)ISO/IEC13335第2局部目前還在草案階段，方案于2006年作為國(guó)際標(biāo)準(zhǔn)正式發(fā)布。ISO/IEC13335第2局部綜合了原先ISO/IECTR13335的第3和第4局部。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)NIST

相關(guān)管理標(biāo)準(zhǔn)指南美國(guó)NIST相關(guān)管理標(biāo)準(zhǔn)指南NISTSP800系列是NIST根據(jù)美國(guó)聯(lián)邦信息平安管理法案〔FISMA2002〕所賦予的法定職責(zé)所開(kāi)發(fā)的系列文件，即NIST負(fù)責(zé)為除國(guó)家平安系統(tǒng)之外的所有政府機(jī)關(guān)開(kāi)發(fā)保護(hù)政府機(jī)關(guān)運(yùn)行和資產(chǎn)的標(biāo)準(zhǔn)、指南。NISTSP800系列中通信息平安管理相關(guān)的文件：NISTSP800-53：聯(lián)邦信息系統(tǒng)推薦平安控制NISTSP800-18：開(kāi)發(fā)IT系統(tǒng)平安方案指南NISTSP800-30：IT系統(tǒng)風(fēng)險(xiǎn)管理指南NISTSP800-34：IT系統(tǒng)業(yè)務(wù)持續(xù)性規(guī)劃指南NISTSP800-50：建立信息平安意識(shí)和培訓(xùn)管理。。。ISO/IEC21827信息平安工程能力成熟度模型

SSE-CMM1993年4月美國(guó)國(guó)家平安局〔NSA〕開(kāi)始醞量1996年10月出版了SSE-CMM模型的第一個(gè)版本，1997年4月出版了評(píng)定方法的第一個(gè)版本。從1996年6月到1997年6月進(jìn)行許多實(shí)驗(yàn)工程1999年4月出版了第二版。目前，SSE-CMMV3.02002年，ISO/IECIS21827ISO/IEC21827信息平安工程能力成熟度模型

SSE-CMM定義SSE-CMM是系統(tǒng)平安工程能力成熟模型〔SystemsSecurityEngineeringCapabilityMaturityModel〕的縮寫(xiě)，它描述了一個(gè)組織的平安工程過(guò)程必須包含的本質(zhì)特征，這些特征是完善的平安工程保證。理論根底現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論說(shuō)明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低本錢(qián)地生產(chǎn)出高質(zhì)量產(chǎn)品。目的SSE-CMM工程的目標(biāo)是促進(jìn)平安工程成為一個(gè)確定的、成熟的和可度量的科目。通過(guò)區(qū)分投標(biāo)者的能力級(jí)別和相關(guān)的方案風(fēng)險(xiǎn)來(lái)選擇合格的平安工程提供商；工程組把投資集中在平安工程工具、培訓(xùn)、過(guò)程定義、管理實(shí)施和改進(jìn)上；基于能力的保證，也就是說(shuō)，信賴(lài)是基于對(duì)工程組織平安工程實(shí)踐和過(guò)程成熟的信心ISO/IEC21827信息平安工程能力成熟度模型

概念和評(píng)估PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10域方面能力方面能力級(jí)別公共特征通用實(shí)施過(guò)程類(lèi)基礎(chǔ)實(shí)施過(guò)程區(qū)ISO/IEC21827信息平安工程能力成熟度模型

平安工程過(guò)程保證論據(jù)風(fēng)險(xiǎn)信息產(chǎn)品或效勞工程過(guò)程Engineering保證過(guò)程Assurance風(fēng)險(xiǎn)過(guò)程Risk平安根本實(shí)施PA01-管理平安控制PA02-評(píng)估影響PA03-評(píng)估平安風(fēng)險(xiǎn)PA04-評(píng)估威脅PA05-評(píng)估脆弱性PA06-建立保證論據(jù)PA07-協(xié)調(diào)平安PA08-監(jiān)視平安態(tài)勢(shì)PA09-提供平安輸入PA10-指定平安要求PA11-驗(yàn)證和確認(rèn)平安方案執(zhí)行標(biāo)準(zhǔn)化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過(guò)程協(xié)調(diào)平安實(shí)施執(zhí)行已定義的過(guò)程建立可測(cè)量的質(zhì)量目標(biāo)客觀地管理過(guò)程的執(zhí)行1非正式執(zhí)行2方案與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行根本實(shí)施改進(jìn)組織能力改進(jìn)過(guò)程的有效性能力級(jí)別

代表平安工程組織的成熟級(jí)別公共特性其他相關(guān)標(biāo)準(zhǔn)系列ITIL框架是IT效勞的一個(gè)廣泛接受的框架。它為IT效勞提供和IT效勞管理等提供了標(biāo)準(zhǔn)、指南和最正確實(shí)踐；CoBIT模型是ISACA協(xié)會(huì)所提供的一個(gè)IT審計(jì)和治理的框架。它為信息系統(tǒng)審計(jì)和治理提供了一整套的控制目標(biāo)、管理措施、審計(jì)指南等。IT效勞管理—ITIL〔IT根底設(shè)施庫(kù)〕信息系統(tǒng)審計(jì)領(lǐng)域

CoBIT—信息和相關(guān)技術(shù)的控制目標(biāo)四、信息平安相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)和指南我國(guó)信息平安技術(shù)標(biāo)準(zhǔn)體系根底標(biāo)準(zhǔn)：4個(gè)方面技術(shù)與機(jī)制標(biāo)準(zhǔn)：4個(gè)方面管理標(biāo)準(zhǔn)：4個(gè)方面測(cè)評(píng)標(biāo)準(zhǔn)：3個(gè)方面根底標(biāo)準(zhǔn)：平安術(shù)語(yǔ)體系與模型保密技術(shù)密碼技術(shù)技術(shù)與機(jī)制標(biāo)準(zhǔn)標(biāo)識(shí)與鑒別授權(quán)與訪問(wèn)控制管理技術(shù)物理平安管理標(biāo)準(zhǔn)管理根底管理要素管理技巧工程與效勞測(cè)評(píng)標(biāo)準(zhǔn)評(píng)估根底產(chǎn)品評(píng)估系統(tǒng)評(píng)估我國(guó)信息平安標(biāo)準(zhǔn)1999年發(fā)布了10項(xiàng)2000年發(fā)布了8項(xiàng)2001年發(fā)布了5項(xiàng)2002年發(fā)布了4項(xiàng)2003年發(fā)布了6項(xiàng)2004年無(wú)2005年發(fā)布了14項(xiàng)2006年發(fā)布了16項(xiàng)2007年發(fā)布了3項(xiàng)目前有效標(biāo)準(zhǔn)共54項(xiàng)，正在制定的還有34項(xiàng)。1999年發(fā)布的信息平安國(guó)標(biāo)〔1/2〕GB/T15843.1-1999信息技術(shù)平安技術(shù)實(shí)體鑒別第1局部：概述GB/T15843.4-1999信息技術(shù)平安技術(shù)實(shí)體鑒別第4局部：采用密碼校驗(yàn)函數(shù)的機(jī)制GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么GB/T17901.1-1999信息技術(shù)平安技術(shù)密鑰管理第1局部：框架GB/T17902.1-1999信息技術(shù)平安技術(shù)帶附錄的數(shù)字簽名第1局部：框架GB/T17903.1-1999信息技術(shù)平安技術(shù)抗抵賴(lài)第1局部：框架1999年發(fā)布的信息平安國(guó)標(biāo)〔2/2〕GB/T17903.2-1999信息技術(shù)平安技術(shù)抗抵賴(lài)第2局部：使用對(duì)稱(chēng)技術(shù)的機(jī)制GB/T17903.3-1999信息技術(shù)平安技術(shù)抗抵賴(lài)第3局部：使用非對(duì)稱(chēng)技術(shù)的機(jī)制GB/T18019-1999信息技術(shù)包過(guò)濾防火墻平安技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻平安技術(shù)要求2000年發(fā)布的信息平安國(guó)標(biāo)〔1/2〕GB/T17963-2000信息技術(shù)開(kāi)放系統(tǒng)互連網(wǎng)絡(luò)層平安協(xié)議GB/T17964-2000信息技術(shù)平安技術(shù)n位塊密碼算法的操作方式GB/T17965-2000信息技術(shù)開(kāi)放系統(tǒng)互連高層平安模型GB/T18231-2000信息技術(shù)低層平安模型GB/T18237.1-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層平安第1局部：概述、模型和記法2000年發(fā)布的信息平安國(guó)標(biāo)〔2/2〕GB/T18237.2-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層平安第2局部：平安交換效勞元素〔SESE〕效勞定義GB/T18237.3-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層平安第3局部：平安交換效勞元素〔SESE〕協(xié)議標(biāo)準(zhǔn)GB/T18238.1-2000信息技術(shù)平安技術(shù)散列函數(shù)第1局部：概述2001年發(fā)布的信息平安國(guó)標(biāo)GB/T18336.1信息技術(shù)平安技術(shù)信息技術(shù)平安性評(píng)估準(zhǔn)那么第1局部：簡(jiǎn)介和一般模型GB/T18336.2信息技術(shù)平安技術(shù)信息技術(shù)平安性評(píng)估準(zhǔn)那么第2局部：平安功能要求GB/T18336.3信息技術(shù)平安技術(shù)信息技術(shù)平安性評(píng)估準(zhǔn)那么第3局部：平安保證要求GB4943-2001信息技術(shù)設(shè)備的平安GB/T5271.8信息技術(shù)詞匯第8局部：平安2002年發(fā)布的信息平安國(guó)標(biāo)GB/T18238.2-2002信息技術(shù)平安技術(shù)散列函數(shù)第2局部：采用n位塊密碼的散列函數(shù)GB/T18238.3-2002信息技術(shù)平安技術(shù)散列函數(shù)第3局部：專(zhuān)用散列函數(shù)GB/T18794.1-2002信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第1局部：概述GB/T18794.2-2002信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第2局部：鑒別框架2003年發(fā)布的信息平安國(guó)標(biāo)GB/T18237.4-2003信息技術(shù)開(kāi)放系統(tǒng)互連通用高層平安第4局部：保護(hù)傳送語(yǔ)法標(biāo)準(zhǔn)GB/T18794.3-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第3局部：訪問(wèn)控制框架GB/T18794.4-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第4局部：抗抵賴(lài)框架GB/T18794.5-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第5局部：機(jī)密性框架GB/T18794.6-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第6局部：完整性框架GB/T18794.7-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)平安框架第7局部：平安審計(jì)和報(bào)警框架2005年發(fā)布的信息平安國(guó)標(biāo)〔1/3〕GB/T15843.5-2005信息技術(shù)平安技術(shù)實(shí)體鑒別第5局部：使用零知識(shí)技術(shù)的機(jī)制GB/T16264.8-2005信息技術(shù)開(kāi)放系統(tǒng)互連目錄第8局部：公鑰和屬性證書(shū)框架GB/T17902.2-2005信息技術(shù)平安技術(shù)帶附錄的數(shù)字簽名第2局部：基于身份的機(jī)制GB/T17902.3-2005信息技術(shù)平安技術(shù)帶附錄的數(shù)字簽名第3局部：基于證書(shū)的機(jī)制GB/T19713-2005信息技術(shù)平安技術(shù)公鑰根底設(shè)施在線證書(shū)狀態(tài)協(xié)議GB/T19714-2005信息技術(shù)平安技術(shù)公鑰根底設(shè)施證書(shū)管理協(xié)議2005年發(fā)布的信息平安國(guó)標(biāo)〔2/3〕GB/T19715.1-2005信息技術(shù)信息技術(shù)平安管理指南第1局部：信息技術(shù)平安概念和模型GB/T19715.2-2005信息技術(shù)信息技術(shù)平安管理指南第2局部：管理和規(guī)劃信息技術(shù)平安GB/T19716-2005信息技術(shù)信息平安管理實(shí)用規(guī)那么GB/T19771-2005信息技術(shù)平安技術(shù)公鑰根底設(shè)施PKI組件最小互操作標(biāo)準(zhǔn)2005年發(fā)布的信息平安國(guó)標(biāo)〔3/3〕GB/T20008-2005信息平安技術(shù)操作系統(tǒng)平安評(píng)估準(zhǔn)那么GB/T20009-2005信息平安技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)平安評(píng)估準(zhǔn)那么GB/T20010-2005信息平安技術(shù)路由器平安評(píng)估準(zhǔn)那么GB/T20011-2005信息平安技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)那么2006年發(fā)布的信息平安國(guó)標(biāo)〔1/3〕GB/T20261-2006信息技術(shù)系統(tǒng)平安工程能力成熟度模型；GB/T20269-2006信息平安技術(shù)信息系統(tǒng)平安管理要求GB/T20270-2006信息平安技術(shù)網(wǎng)絡(luò)平安根底技術(shù)要求?GB/T20271-2006信息平安技術(shù)信息系統(tǒng)平安通用技術(shù)要求GB/T20272-2006信息平安技術(shù)操作系統(tǒng)平安技術(shù)要求GB/T20273-2006信息平安技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)平安技術(shù)要求2006年發(fā)布的信息平安國(guó)標(biāo)〔2/3〕GB/T20274.1-2006?信息技術(shù)平安技術(shù)信息系統(tǒng)平安保障評(píng)估框架第一局部：簡(jiǎn)介和一般模型?；?信息技術(shù)平安技術(shù)信息系統(tǒng)平安保障評(píng)估框架第二局部：技術(shù)保障?；?信息技術(shù)平安技術(shù)信息系統(tǒng)平安保障評(píng)估框架第三局部：管理保障?；?信息技術(shù)平安技術(shù)信息系統(tǒng)平安保障評(píng)估框架第四局部：工程保障?；GB/T20275-2006信息平安技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20276-2006信息技術(shù)平安技術(shù)智能卡嵌入式軟件平安技術(shù)要求〔EAL4增強(qiáng)級(jí)〕2006年發(fā)布的信息平安國(guó)標(biāo)〔3/3〕GB/T20277-2006信息平安技術(shù)網(wǎng)絡(luò)和端設(shè)備隔離部件測(cè)評(píng)方法GB/T20278-2006信息平安技術(shù)網(wǎng)絡(luò)脆弱性?huà)呙璁a(chǎn)品技術(shù)要求GB/T20279-2006信息平安技術(shù)網(wǎng)絡(luò)和端設(shè)備隔離部件技術(shù)要求GB/T20280-2006信息平安技術(shù)網(wǎng)絡(luò)脆弱性?huà)呙璁a(chǎn)品測(cè)試評(píng)價(jià)方法GB/T20281-2006信息平安技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20282-2006信息平安技術(shù)信息系統(tǒng)平安工程管理要求GB/Z20283-2006信息技術(shù)平安技術(shù)保護(hù)輪廓和平安目標(biāo)的產(chǎn)生指南2007年發(fā)布的信息平安國(guó)標(biāo)GB/T20518-2006?信息平安技術(shù)公鑰根底設(shè)施數(shù)字證書(shū)格式?GB/T20519-2006?信息平安技術(shù)公鑰根底設(shè)施特定權(quán)限管理中心技術(shù)標(biāo)準(zhǔn)?GB/T20520-2006?信息平安技術(shù)公鑰根底設(shè)施時(shí)間戳標(biāo)準(zhǔn)?正在報(bào)批和研制的〔1/4〕?信息技術(shù)平安技術(shù)公鑰根底設(shè)施平安支撐平臺(tái)技術(shù)框架??信息技術(shù)平安技術(shù)公鑰根底設(shè)施證書(shū)策略與認(rèn)證業(yè)務(wù)聲明框架??信息技術(shù)平安技