《我國信息安全技術標準體系與認證認可制度介紹》

1、精選優(yōu)質文檔-傾情為你奉上第十期 我國信息安全技術標準體系與認證認可制度介紹一. 什么是信息安全技術標準體系？ 為了規(guī)范信息系統(tǒng)建設、資源保護、管理、服務等信息安全各方面的建設，使信息安全在各個方面都有據可依，信息安全標準的制定顯得十分重要，國際國內都形成了具有一定規(guī)模的信息安全標準體系。信息安全標準體系是由信息安全領域內具有內在聯系的標準組成的科學有機整體，是編制信息安全標準編制、修訂計劃的重要依據，是促進信息安全領域內的標準組成趨向科學合理化的手段。 信息安全技術領域有國際標準體系、國家標準體系、行業(yè)標準體系和地方標準體系等，而且通常高層次的標準體系對下有約束力。事實上，在這些特定領域標準

2、的執(zhí)行還要看各個國家的管理法規(guī)和制度。國際信息安全標準體系主要由信息系統(tǒng)安全的一般要求、開發(fā)安全技術和機制、開發(fā)安全指南和安全管理支撐性文件和標準等幾部分組成。 二. 國內外信息安全標準化組織有哪些？ 國際上與信息安全標準化有關的組織主要有以下四個。 1.ISO/IEC JTC1（信息技術標準化委員會）所屬SC27（安全技術分委員會）的前身是SC20（數據加密技術分委員會），主要從事信息技術安全的一般方法和技術的標準化工作。ISO/TC68負責銀行業(yè)務應用范圍內有關信息安全標準的制定，主要制定行業(yè)應用標準，與SC27有著密切的聯系。ISO/IEC JTC1負責制定的標準主要是開放系統(tǒng)互連、密鑰

3、管理、數字簽名、安全評估等方面。 2. lEC在信息安全標準化方面除了與ISO聯合成立了JTC1下的分委員會外，還在電信、信息技術和電磁兼容等方面成立了技術委員會，如TC56可靠性、TC74 IT設備安全和功效、TC77電磁兼容、TC108音頻/視頻、信息技術和通信 技術電子設備的安全等，并且制定相關國際標準。 3.ITU SG17組負責研究網絡安全標準，包括通信安全項目、安全架構和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務等。 4.IETF（Internet工程任務組）制定標準的具體工作由各個工作組承擔。IETF分成八個工作組，分別負責Internet路由、傳輸、應用等八個領

4、域，其著名的IKE和IPSec都在RFC系列之中，還有電子郵件、網絡認證和密碼及其他安全協議標準。 國內的安全標準化組織主要有全國信息安全標準化技術委員會以及中國通信標準化協會（CCSA）下轄的網絡與信息安全技術工作委員會（TC8）。 全國信息安全標準化技術委員會（TC260）于2002年4月成立，是在信息安全的專業(yè)領域內，從事信息安全標準化工作的技術工作組織，任務是向國家標準化管理委員會提出本專業(yè)標準化工作的方針、政策和技術措施的建議。主要以工作組形 式開展工作，現下設六個工作組：信息安全標準體系與協調工作組（WG1）、涉密信息系統(tǒng)標準工作組（WG2）、密碼工作組（WG3）、鑒別與授權工作組

5、（WG4）、信息安全評估工作組（WG5）、信息安全管理工作組（WG7）。 網絡與信息安全技術工作委員會該委員會成立于2003年12月，主要負責研究涉及有關通信安全技術和管理標準。其研究領域包括面向公眾服務的互聯網的網絡與信息安全標準、電信網與互聯網結合中的網絡與信息安全標準、特殊通信領域中的網絡與信息安全標準。目前，設置有有線網絡安全工作組（WG1）、無線網絡安全工作組（WG2）、安全管理工作組（WG3）和安全基礎設施工作組（WG4）四個工作組。 三. 我國的信息安全技術標準體系是怎樣的？ 我國信息安全標準化工作是從學習國際標準化工作開始的，目前，我國的信 息安全標準化工作也已經取得了比較大的

6、進展。近些年，先后發(fā)布了幾十項信息安全標準，也進行了信息安全標準體系的專門研究，提出了基礎標準、技術與機制標準、管理標準、測評標準、密碼技術標準和保密技術標準等六大類信息安全技術標準的體系結構，可按照標準所涉及的主要內容進行細分，為現階段信息安全標準編制、修訂提供依據，為信息安全保障體系建設提供有效的支撐。四. 我國信息安全主要技術標準有哪些？ 我國信息安全技術標準體系涉及網絡與信息安全各個方面，包括已經發(fā)布、報批和在研的技術標準有很多，主要的有： 1.計算機信息系統(tǒng) 安全保護等級劃分準則（GB 17859-1999） 2.信息安全技術 信息安全風險評估規(guī)范（GB/T 20984-2007）

7、3.信息安全技術 信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008） 4.信息安全技術 信息系統(tǒng)通用安全技術要求（GB/T 20271-2010） 5.信息安全技術 信息系統(tǒng)安全管理要求（GB/T 20269-2006） 6.信息安全技術 信息安全事件管理指南（GB/Z 20985-2007） 7.信息安全技術 信息安全事件分類分級指南（GB/Z 20986-2007） 8.信息安全技術 信息系統(tǒng)災難恢復規(guī)范（GB/T 20988-2007） 9.信息安全技術 信息系統(tǒng)安全等級保護實施指南（GB/T 25058-2010） 10.信息安全技術 信息系統(tǒng)安全等級保護定級指南（GB/T

8、 22240-2008） 11.信息安全技術 信息系統(tǒng)等級保護安全設計技術要求（GB/T 25070-2010） 12.信息安全技術 信息系統(tǒng)物理安全技術要求（GB/T 21052-2007） 五. 什么是信息安全認證認可？ 2003年 9月，國務院發(fā)布認證認可條例，這一條例對認證和認可是這樣定義的：認證是指由認證機構證明產品、服務、管理體系符合相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準的合格評定活動；認可則是指由認可機構對認證機構、檢查機構、文驗室以及從事評審、審核等認證活動人員的能力和執(zhí)業(yè)資格，予以承認的合格評定活動。 認證的對象分為三類 ：產品、服務和管理體系。在信息安全領域，目前針

9、對這三類對象的認證活動在我國都已開展，即信息安全產品認證、信息安全服務認證和信息安全管理體系認證。 國家信息化領導小組關于加強信息安全保障丁作的意見（中辦發(fā)200327號）文件及其后發(fā)布的關于建立國家信息安全產品認證認可體系的通知（國認證聯200457號）文件對信息安全產品認證工作做出了規(guī)定，這也是我國信息安全保障體系建設中的一項基礎性工作。除此之外，信息安全服務認證和信息安全管理體系認證也是我國信息安全認證認可事業(yè)的重要組成部分，我國認證認可主管部門為推動這些工作也作了大量努力。 六. 我國對信息安全認證認可的主要內容有哪些？ 1信息安全產品認證 國家認監(jiān)委會同有關部門推進了統(tǒng)一的信息安全產

10、品認證認可體系的建設，成立了國家信息安全產品認證管理委員會及其執(zhí)委會，成立了專門的認證機構 （中國信息安全認證中心），公布了信息安全產品強制性認證、指定認證機構和第一批指定實驗室，公布了信息安全產品強制性認證目錄，制定了檢測收費標準，公布了認證實施規(guī)則，明確了強制性認證所依據的技術標準、規(guī)范以及相關技術指標。 2信息安全服務資質認證，其中包括：信息安全應急處理服務資質認證、信息安全風險評估服務資質認證和信息系統(tǒng)安全集成服務資質認證。 隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、安全集成、災難恢復、系統(tǒng)測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服

11、務在信息安全保障中的作用日益突出。信息安全服務資質管理和相關認證評價工作已成為信息安全保障工作的重要組成部分。 3信息安全管理體系（ISMS）認證，信息安全管理體系簡稱ISMS（Information Security Management System）。 為了推動 ISO/IEC 27000標準族的應用和轉化，原國務院信息辦于 2006年 3月至 2007年 1月組織開展了“信息安全管理標準應用（ISMS）試點”工作。在試點的基礎上，完成了ISO/IEC 27001：2005和ISO/IEC27002：2005的轉化工作，上述標準已經等同采用為國家標準GB/T 22080-2008信息技術

12、 安全技術 信息安全管理體系要求和國家標準GB/T22081-2008信息技術 安全技術 信息安全管理實用規(guī)則，并于2008年11月1日起實施。 4信息技術服務管理（ITSM）體系認證Information technology Service management ITSM認證是對組織能否有效交付IT服務的能力進行評價的過程。隨著IT的迅猛發(fā)展，有效地提供IT服務管理以滿足業(yè)務和顧客的要求，已經成為了各類組織建立、實施、運行IT服務管理體系的內在需求和動力。通過建立IT服務管理體系并尋求第三方認證已逐漸成為各類組織提高和檢驗自身IT服務管理水平的優(yōu)先選擇。 七. 我國對信息安全人員資格的認證

13、有哪些？ 目前，我國對信息安全人員資質的最高認可是“注冊信息安全專業(yè)人員”，英文為Certified Information Security Professional（簡稱CISP）。注冊信息安全專業(yè)人員是有關信息安全企業(yè)，信息安全咨詢服務機構、信息安全測評認證機構（包含授權測評機構）、社會各組織、團體、企事業(yè)有關信息系統(tǒng)（網絡）建設、運行和應用管理的技術部門（含標準化部門）必備的專業(yè)崗位人員，其基本職能是對信息系統(tǒng)的安全提供技術保障，其所具備的專業(yè)資質和能力，由中國信息安全產品測評認證中心（CNITSEC）實施認證。 根據實際崗位工作需要，CISP分為三類，分別是“注冊信息安全工程師”,英

14、文為Certified Information Security Engineer（簡稱CISE），CISE主要從事信息安全技術開發(fā)服務工程建設等工作；“注冊信息安全管理人員”， 英文為Certified Information Security Officer（簡稱CISO），CISO從事信息安全管理等相關工作；“注冊信息安全審核員”，英文為Certified Information Security Auditor（簡稱CISA），CISA從事信息系統(tǒng)的安全性審核或評估等工作。 在國家信息安全測評認證機構（包含授權測評機構）、信息安全咨詢服務機構、社會各組織、團體、企事業(yè)單位從事信息安全服務或高級安全管理工作的人員，具備一定的信息安全基礎知識，了解并掌握GB/T 18336、ISO 154