信息平安標準中國信息平安測評中心目錄標準根底知識簡介國際、外國、我國信息平安標準化機構信息平安相關國際標準和指南信息平安相關國內標準和指南一些補充材料一、標準根底知識簡介國家標準：GB/TXXXX.X-200XGBXXXX-200X行業標準：GA，GJB地方標準：DBXX/TXXX-200X DBXX/XXX-200X企業標準：QXXX-XXX-200X標準化根底知識〔1/4〕標準化根底知識〔2/4〕標準化：為在一定的范圍內獲得最正確秩序，對實際的或潛在的問題制定共同的和重復使用的規那么的活動實質：通過制定、發布和實施標準，到達統一。目的：獲得最正確秩序和社會效益。意義：促進和帶動產業開展；解決平安互聯互通。國際級區域級國家級行業級地方級企業級人員效勞系統產品過程管理應用體系、框架XYZX軸代表標準化對象Y軸代表標準化的內容Z軸代表標準化的級別。標準化根底知識〔3/4〕標準化三維空間我國通行“標準化八字原理〞：“統一〞原理“簡化〞原理“協調〞原理“最優〞化原理標準化根底知識〔4/4〕我國標準化管理和組織機構我國標準工作歸口單位標準化根底采標：等同采用IDT〔identical〕修改采用MOD〔modified〕非等效采用NEQ〔notequivalent〕修改和非等效采用時的國際互認問題？IT標準化二、國際、外國、我國信息平安標準化機構信息平安標準化組織

國際標準——ISO〔國際標準化組織〕國際信息平安相關組織〔1/4〕國際信息平安相關組織〔2/4〕國際信息平安相關組織〔3/4〕國際信息平安相關組織〔4/4〕外國信息平安標準化組織〔1/2〕外國信息平安標準化組織〔2/2〕2002年4月15日成立共54個標準〔2007年1月31日更新〕其中2002年前21個標準目前分為6個工作組：WG1:標準體系與協調WG2:涉密WG3:密碼WG4:標識與鑒別WG5:信息平安評估WG7：信息平安管理三、信息平安相關國際標準和指南信息平安根底標準1985年美國國防部可信計算機評估準那么〔TCSEC〕1999年GB17859計算機信息系統安全保護等級劃分準則2001年GB/T18336信息技術安全性評估準則1989年英國可信級別標準〔MEMO3DTI〕德國評估標準〔ZSEIC〕法國評估標準〔B-W-RBOOK〕1993年美國NIST的MSFR1993年加拿大可信計算機產品評估準那么〔CTCEC〕1993年美國聯邦準那么〔FC1.0〕國際通用評估準那么1996年，CC1.01998年，CC2.01999年，CC2.11999年國際標準ISO/IEC15408可信計算機系統評估準那么〔TCSEC〕D:最小保護MinimalProtectionC1:自主安全保護DiscretionarySecurityProtectionC2:訪問控制保護ControlledAccessProtectionB1:安全標簽保護LabeledSecurityProtectionB2:結構化保護StructuredProtectionB3:安全域保護SecurityDomainA1:驗證設計保護VerifiedDesign低保證系統高保證系統可信計算機系統評估準那么〔TCSEC〕

平安級別可信計算機系統評估準那么〔TCSEC〕

缺陷集中考慮數據保密性，而忽略了數據完整性、系統可用性等；將平安功能和平安保證混在一起平安功能規定得過為嚴格，不便于實際開發和測評歐洲多國平安評價方法的綜合產物，軍用，政府用和商用。以超越TCSEC為目的，將平安概念分為功能與功能評估兩局部。功能準那么在測定上分10級。1－5級對應于TCSEC的C1到B3。6－10級加上了以下概念：F-IN：數據和程序的完整性F-AV：系統可用性F-DI：數據通信完整性F-DC：數據通信保密性F-DX包括保密性和完整性的網絡平安評估準那么分為6級：E1：測試E2：配置控制和可控的分配E3：能訪問詳細設計和源碼E4：詳細的脆弱性分析E5：設計與源碼明顯對應E6：設計與源碼在形式上一致。平安被定義為保密性、完整性、可用性功能和質量/保證分開對產品和系統的評估都適用，提出評估對象〔TOE〕的概念產品：能夠被集成在不同系統中的軟件或硬件包；系統：具有一定用途、處于給定操作環境的特殊平安裝置可信計算機產品評估準那么〔CTCEC〕加拿大，1989年公布，專為政府需求而設計與ITSEC類似，將平安分為功能性需求和保證性需要兩局部。功能性要求分為四個大類：a保密性b完整性c可用性d可控性在每種平安需求下又分成很多小類，表示平安性上的差異，分級條數為0－5級。美國聯邦準那么(FC)對TCSEC的升級1992年12月公布引入了“保護輪廓〔PP〕〞這一重要概念每個輪廓都包括功能局部、開發保證局部和評測局部。分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優點。供美國政府用、民用和商用。GB17859-1999計算機信息系統平安等級劃分準那么第一級用戶自主保護級→ 自主保護第二級系統審計保護級→ 指導保護第三級平安標記保護級→ 監督保護第四級結構化保護級 → 強制保護第五級訪問驗證保護級→ 專控保護通用準那么〔CC〕GB/T18336國際標準化組織統一現有多種準那么的努力結果；1993年開始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國際標準，1999年12月ISO出版發行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護輪廓〞，將評估過程分“功能〞和“保證〞兩局部；是目前最全面的評價準那么通用準那么〔CC〕國際上認同的表達IT平安的體系結構一組規那么集一種評估方法，其評估結果國際互認通用測試方法〔CEM〕已有平安準那么的總結和兼容通用的表達方式，便于理解靈活的架構可以定義自己的要求擴展CC要求準那么今后開展的框架評測級別對應保證功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E5E6D級C1級C2級B1級B2級B3級A1級F-C1級F-C2級F-B1級F-B2級F-B3級HP-UNIX(VV)Winnt3.5Winnt4.0Win2000評測級別對應IATF—分層多點深度防御保衛網絡和根底設施保衛邊界保衛計算環境支撐性根底設施IATF—分層多點深度防御

攻擊類型信息平安管理標準概述ISO/IECJTC1SC27工作組方向評估指南產品系統過程環境WG1“ISMS〞WG3“平安評估〞WG4“平安控制和效勞〞即將發布ISO/IEC27000:2006

信息平安管理系統根底和詞匯表目前狀態：1stCDISO/IEC27003:2007

信息平安管理系統實施指南目前狀態：3rdWDISO/IEC27004:2006

信息平安管理測量目前狀態：1stCDISO/IEC27005:2007

信息平安風險管理目前狀態：FCDISO/IEC27007

信息平安管理系統審計師指南目前狀態：尚未批準WG1：信息平安管理系統〔ISMS〕參考文件：SC27StandingDocument7(SD7)CATALOGUEOFISO/IECJTC1/SC27PROJECTSANDSTANDARDS(SC27N5717)，2007-04-24ISMS概述和詞匯表ISO/IEC27000:2021?(ISO/IEC13335-1)ISMS測量

ISO/IEC27004:2021?風險管理

BS7799-3:2006ISO/IEC27005:2007?(ISO/IECTR13335-3:1998)ISMS要求

ISO/IEC27001:2005(BS7799-2:2002)ISMS實踐準那么

ISO/IEC27002:2005(ISO/IEC17799)ISMS實施指南

ISO/IEC27003:2021?ISMS審計師指南ISO/IEC27007?ISMS

認證體制

ISO/IEC27006:2007(EA7/03)ISO/IEC27000標準族特定標準和指南附錄A信息平安管理標準概述

西方興旺國家的信息平安管理標準西方興旺國家的信息平安管理標準英國〔BSI〕BS7799BS15000美國〔NIST〕NISTSP的以下一些標準指南信息平安管理標準

BS7799BS7799標準BS7799-1信息平安管理導那么〔codeofpracticeforinformationsecuritymanagement〕，現已成為國際標準ISO/IEC17799。BS7799-2：信息平安管理系統標準〔specificationforinformationsecuritymanagementsystems〕，27001。BS7799-3：信息平安風險評估，27005。ISO/IEC17799:2005年第2版，27002。ISO/IEC17799:2005標準結構信息平安管理系統標準

PDCA模型應用于ISMS過程ISO/IEC13335ISO/IEC21827信息平安工程能力成熟度模型

SSE-CMMISO/IEC21827信息平安工程能力成熟度模型

SSE-CMMISO/IEC21827信息平安工程能力成熟度模型

概念和評估PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10域方面能力方面能力級別公共特征通用實施過程類基礎實施過程區ISO/IEC21827信息平安工程能力成熟度模型

平安工程過程保證論據風險信息產品或效勞工程過程Engineering保證過程Assurance風險過程Risk平安根本實施PA01-管理平安控制PA02-評估影響PA03-評估平安風險PA04-評估威脅PA05-評估脆弱性PA06-建立保證論據PA07-協調平安PA08-監視平安態勢PA09-提供平安輸入PA10-指定平安要求PA11-驗證和確認平安方案執行標準化執行跟蹤執行驗證執行定義標準過程協調平安實施執行已定義的過程建立可測量的質量目標客觀地管理過程的執行1非正式執行2方案與跟蹤3充分定義4量化控制5連續改進執行根本實施改進組織能力改進過程的有效性能力級別

代表平安工程組織的成熟級別公共特性其他相關標準系列ITIL框架是IT效勞的一個廣泛接受的框架。它為IT效勞提供和IT效勞管理等提供了標準、指南和最正確實踐；CoBIT模型是ISACA協會所提供的一個IT審計和治理的框架。它為信息系統審計和治理提供了一整套的控制目標、管理措施、審計指南等。IT效勞管理—ITIL〔IT根底設施庫〕四、信息平安相關國內標準和指南根底標準：管理標準管理根底管理要素管理技巧工程與效勞測評標準評估根底產品評估系統評估我國信息平安標準1999年發布了10項2000年發布了8項2001年發布了5項2002年發布了4項2003年發布了6項2004年無2005年發布了14項2006年發布了16項2007年發布了3項目前有效標準共54項，正在制定的還有34項。1999年發布的信息平安國標〔1/2〕1999年發布的信息平安國標〔2/2〕2000年發布的信息平安國標〔1/2〕2000年發布的信息平安國標〔2/2〕2001年發布的信息平安國標2002年發布的信息平安國標2003年發布的信息平安國標2005年發布的信息平安國標〔1/3〕2005年發布的信息平安國標〔2/3〕2005年發布的信息平安國標〔3/3〕2006年發布的信息平安國標〔1/3〕2006年發布的信息平安國標〔2/3〕2006年發布的信息平安國標〔3/3〕2007年發布的信息平安國標正在報批和研制的