本文详细介绍了标准的概念、分类,包括我国的GB标准和海外标准。探讨了国际化标准组织如ISO、IEC、IETF、ITU,以及国家级组织。重点讲述了与安全相关的ISO 27001标准及其发展历程,阐述了信息安全管理体系(ISMS)的重要性,以及BS7799、ISO17799与ISO27001之间的关系和演变。
一、什么是标准
1.1 标准
国际标准、国家标准、行业标准、地方标准
1.2 我国标准分类
- GB 强制性国家标准
一经颁布必须贯彻执行,违反则构成经济或法律方面的责任
- GB/T 推荐性国家标准
自愿采用的标准,共同遵守的技术依据,严格贯彻执行
- GB/Z 国家标准指导性技术文件
由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件,实施后3年内必须进行复审。复审结果可能是:再延长3年;转为国家标准;撤销。
1.3 海外标准分类
一般性要求、一般性指南 、行业指南。
二、标准化组织
2.1 国际化标准组织
- 国际标准化组织(ISO) ISO/IEC JTC1 信息技术标准化委员会所属SC27是安全领域最具代表性的。
- 国际电工委员会(IEC) IEC 60950 信息技术设备安全 国际标准
- Internet工程任务组(IETF) 著名的IKE 和IPsec 都在RFC系列内,还有TLS安全标准
- 国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)
2.2 国家级标准组织:
- 美国国家标准化协会(ANSI)
- 美国国家标准技术研究院(NIST) DES 、FIPS 联邦信息处理标准、
- 美国卡梅隆大学等研究院也经常推出一些标准。
2.3 我国标准化组织
中国国家标准化管理委员会,是我国最高级别的国家标准机构。
全国信息安全标准化技术委员会(TC260) 也就是常说的 信安标委,TC260)
三、安全相关常用标准
3.1 ISO 27000 标准族 (待补充)
3.2 我国 等级保护标准族 (待补充)
3.3 其他常见标准
CC标准 《信息技术安全性通用评估准则》欧美六国七方 NSA和NIST共同制定的标准,简称CC标准;
1、CC标准的演进历史
2、我国的CC标准
我国在2008年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336
结构
- GB/T 18336.1-2008 简介和一般模型 定义了IT 安全评估的一般概念和原理,并提出了评估的一般模型
- GB/T 18336.2-2008 安全功能要求 建立一系列功能组件作为表达TOE功能要求的标准方法
- GB/T 18336.3-2008 安全保证要求 建立一系列保证组件作为表达TOE保证要求的标准方法
TCSEC 1985年美国国防部 《可信计算机系统评估标准》
- 美国政府国防部(DoD)标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求
- 国家安全局的国家计算机安全中心(NCSC)于1983年发布,1985年更新,作为国防部彩虹系列出版物的核心,TCSEC经常被称为橙皮书。
- TCSEC已被2005年最初公布的国际标准《通用准则(CC)》所取代。
CTCPEC 加拿大《可信计算机产品评估标准》
FC 1991年 美国《联邦(最低安全要求)评估标准》
ITSEC《信息技术安全评估标准》1991年欧洲英、法、德、荷 死过国防部门信息安全机构率先联合制定。
CC标准 《信息技术安全性通用评估准则》欧美六国七方 NSA和NIST共同制定的标准,简称CC标准;
17799-2005(待补充)
ISOIEC13335(待补充)
信息安全管理体系(Information Security Management System,简称ISMS)起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。
【ISO27001认证】
什么是 ISO27001认证?
ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为 正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面 系统地持续改进组织的安全管理。
最低0.47元/天 解锁文章
扫一扫
1574
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
