信息安全保障實(shí)踐

信息安全保障實(shí)踐2課程內(nèi)容23知識(shí)子域：國外信息安全保障情況了解發(fā)達(dá)國家信息安全狀況和信息安全保障的主要舉措了解發(fā)達(dá)國家信息安全方面主要?jiǎng)討B(tài)知識(shí)子域：我國信息安全保障工作總體情況了解我國信息安全保障工作發(fā)展階段理解國家信息安全保障基本原則了解國家信息安全保障建設(shè)主要內(nèi)容知識(shí)域：信息安全保障工作概況34發(fā)達(dá)國家信息安全狀況發(fā)達(dá)國家信息安全保障的主要舉措國外信息安全保障情況45發(fā)達(dá)國家信息安全保障的主要舉措信息安全是國家安全的重要組成部分已成為世界各國的共識(shí);各國紛紛出臺(tái)自己的信息安全戰(zhàn)略和政策，加強(qiáng)自身的國家信息安全保障體系建設(shè)。56國外信息安全保障體系的最新趨勢(shì)戰(zhàn)略：發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略、政策評(píng)估報(bào)告、推進(jìn)計(jì)劃等文件政治：通過設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)機(jī)構(gòu)、設(shè)立協(xié)調(diào)官，強(qiáng)化集中領(lǐng)導(dǎo)和綜合協(xié)調(diào)軍事：陸續(xù)成立網(wǎng)絡(luò)戰(zhàn)司令部，開展大規(guī)模攻防演練，招募網(wǎng)絡(luò)戰(zhàn)精英人才，加快軍事網(wǎng)絡(luò)和通信系統(tǒng)的升級(jí)改造，網(wǎng)絡(luò)戰(zhàn)成為熱門話題外交：信息安全問題的國際交流與對(duì)話增多，美歐盟友之間網(wǎng)絡(luò)協(xié)同攻防傾向愈加明顯，信息安全成為國際多邊或雙邊談判的實(shí)質(zhì)性內(nèi)容科技：各國尋求走突破性跨越式發(fā)展路線推進(jìn)技術(shù)創(chuàng)新，力求在科技發(fā)展上保持和占據(jù)優(yōu)勢(shì)地位關(guān)鍵基礎(chǔ)設(shè)施仍然是信息安全保障的最核心內(nèi)容7美國信息安全保障戰(zhàn)略：

一個(gè)輪回三屆政府四個(gè)文件網(wǎng)絡(luò)空間國家安全戰(zhàn)略框架98年克林頓政府PDD6300年信息系統(tǒng)保護(hù)國家計(jì)劃01年布什政府PCIPB03年保護(hù)網(wǎng)際空間國家戰(zhàn)略1998年5月，克林頓政府發(fā)布了第63號(hào)總統(tǒng)令（PDD63）：《克林頓政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》2000年1月，克林頓政府發(fā)布了《信息系統(tǒng)保護(hù)國家計(jì)劃V1.0》，提出了美國政府在21世紀(jì)之初若干年的網(wǎng)絡(luò)空間安全發(fā)展規(guī)劃。2001年10月16日，布什政府意識(shí)到了911之后信息安全的嚴(yán)峻性，發(fā)布了第13231號(hào)行政令《信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》，宣布成立“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”，簡(jiǎn)稱PCIPB，代表政府全面負(fù)責(zé)國家的網(wǎng)絡(luò)空間安全工作2003年2月，在征求國民意見的基礎(chǔ)上，發(fā)布了《保護(hù)網(wǎng)際空間的國家戰(zhàn)略》的正式版本，對(duì)原草案版本做了大篇幅的改動(dòng)，重點(diǎn)突出國家政府層面上的戰(zhàn)略任務(wù)，這是一個(gè)非常大的跨越2010年3月2日，奧巴馬政府部分解密了CNCI，包括3個(gè)重要目標(biāo)，12個(gè)倡議8美國CNCI：網(wǎng)絡(luò)“曼哈頓計(jì)劃”2008年1月2日發(fā)布的國家安全總統(tǒng)令54/國土安全總統(tǒng)令23，建立了國家網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)。三道防線建立第一線防御：減少當(dāng)前漏洞和隱患，預(yù)防入侵；全面應(yīng)對(duì)各類威脅：增強(qiáng)反間能力，加強(qiáng)供應(yīng)鏈安全來抵御各種威脅；強(qiáng)化未來安全環(huán)境：增強(qiáng)研究、開發(fā)和教育以及投資先進(jìn)的技術(shù)來構(gòu)建將來的環(huán)境。十二項(xiàng)任務(wù)9美國信息安全保障的重點(diǎn)對(duì)象2001年美國出臺(tái)《美國愛國者法案》，定義“關(guān)鍵基礎(chǔ)實(shí)施”的含義；2003年12月發(fā)布《國土安全總統(tǒng)令/HSPD-7》確定了17個(gè)關(guān)鍵基礎(chǔ)設(shè)施；2008年3月國土安全部將關(guān)鍵制造業(yè)類為第18項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施；目前美國的關(guān)鍵基礎(chǔ)設(shè)施和主要資源部門；10美國信息安全保障組織機(jī)構(gòu)網(wǎng)絡(luò)安全協(xié)調(diào)官：負(fù)責(zé)領(lǐng)導(dǎo)白宮“網(wǎng)絡(luò)安全辦公室”，制定和發(fā)布國家信息安全政策首任網(wǎng)絡(luò)安全協(xié)調(diào)官霍華德·施密特，被喻為“網(wǎng)絡(luò)沙皇”國土安全部（DHS）、國家安全局（NSA）、國防部（DOD）、聯(lián)邦調(diào)查局（FBI）、中央情況報(bào)局（CIA）、國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）等6個(gè)機(jī)構(gòu)具體執(zhí)行不同的分管職責(zé)公私合作機(jī)構(gòu):國家基礎(chǔ)設(shè)施顧問委員會(huì)（NIAC）、信息共享和分析中心（ISAC）、網(wǎng)絡(luò)安全全國聯(lián)盟（NCSA）等等11美國信息安全保障基本做法1993年克林頓政府提出興建“國家信息基礎(chǔ)設(shè)施”（信息高速公路），1998年首次提出信息安全的概念和意義；1998年5月國家安全局制定了《信息保障技術(shù)框架》；2000年公布首個(gè)《信息系統(tǒng)保護(hù)國家計(jì)劃》；2002年下半年，以《國土安全戰(zhàn)略》為引導(dǎo)，布什政府逐步出臺(tái)一系列國家安全政策，將信息保障戰(zhàn)略納入總體國家戰(zhàn)略之中：2003年2月，發(fā)布《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》、《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)的國家戰(zhàn)略》12美國信息安全保障基本做法2005年美國建立了國家漏洞庫（NVD），利用技術(shù)優(yōu)勢(shì)掌握全球最全面的信息安全漏洞信息2008年1月8日，布什以第54號(hào)國家安全總統(tǒng)令和第23號(hào)國土安全總統(tǒng)令的形式簽署《國家網(wǎng)絡(luò)安全綜合計(jì)劃》這項(xiàng)計(jì)劃高度強(qiáng)調(diào)國家意志，被稱為信息安全的“曼哈頓計(jì)劃；目標(biāo)：保護(hù)沒有網(wǎng)絡(luò)安全，防止美國遭到敵對(duì)的電子攻擊，并能對(duì)敵方展開在線攻擊；預(yù)算：高達(dá)300-400億美元屬于高度機(jī)密，2010年3月奧巴馬政府公開了其部分內(nèi)容要求美國政府與安全有關(guān)的部門參與實(shí)施13英國信息安全保障體系建設(shè)動(dòng)態(tài)全面緊跟美國，2009年6月，英國發(fā)布首份國家《網(wǎng)絡(luò)安全戰(zhàn)略》，宣布成立“網(wǎng)絡(luò)安全辦公室”和“網(wǎng)絡(luò)安全運(yùn)行中心”，提出建立新的網(wǎng)絡(luò)管理機(jī)構(gòu)的具體措施。注重信息安全標(biāo)準(zhǔn)組織建設(shè)，重視將本國標(biāo)準(zhǔn)向海外推廣，積極參與國際信息安全標(biāo)準(zhǔn)制定。英國BSI7799標(biāo)準(zhǔn)享譽(yù)全球，已成為國際標(biāo)準(zhǔn)，并主導(dǎo)ISO/IEC27000系列標(biāo)準(zhǔn)強(qiáng)化網(wǎng)絡(luò)監(jiān)控，規(guī)定警方和國家安全、稅務(wù)等監(jiān)察部門有權(quán)監(jiān)控電子郵件和移動(dòng)電話等系統(tǒng)，成為西方大國中唯一的政府可以要求網(wǎng)絡(luò)用戶交出加密資料密鑰的國家14英國信息安全保障的重點(diǎn)對(duì)象英國國計(jì)民生不可或缺的許多關(guān)鍵服務(wù)依賴信息技術(shù)，有10個(gè)部分被認(rèn)為是在提供“基本服務(wù)”。15英國信息安全保障組織機(jī)構(gòu)國家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心負(fù)責(zé)信息安全工作的跨部門機(jī)構(gòu)運(yùn)行著英國的計(jì)算機(jī)應(yīng)急響應(yīng)小組信息保障中央主辦局和民事應(yīng)急局——負(fù)責(zé)信息安全工作的重要政府機(jī)構(gòu)16英國信息安全保障基本做法立法工作1984年制定《數(shù)據(jù)保護(hù)法》1990年出臺(tái)《反計(jì)算機(jī)濫用法》1997年實(shí)施《電信詐騙法》2000年出臺(tái)《信息自由法》1998年貿(mào)易和工業(yè)部發(fā)表《加強(qiáng)競(jìng)爭(zhēng)力白皮書》：確定了英國建設(shè)信息社會(huì)的方式2005年英國政府制定發(fā)表了《信息保障管理框架》：作為信息安全保障戰(zhàn)略。17英國信息安全保障基本做法2009年6月，英國政府推出首份《國家網(wǎng)絡(luò)安全戰(zhàn)略》，宣布成立“網(wǎng)絡(luò)安全辦公室”和“網(wǎng)絡(luò)安全運(yùn)行中心”，提出了建立網(wǎng)絡(luò)管理機(jī)制的具體措施英國建立了兩個(gè)國家級(jí)的計(jì)算機(jī)應(yīng)急響應(yīng)小組英國政府計(jì)算機(jī)響應(yīng)小組英國國防部計(jì)算機(jī)應(yīng)急響應(yīng)小組注重政府信息系統(tǒng)安全采用網(wǎng)絡(luò)邏輯隔離、PKI等安全技術(shù)加強(qiáng)政務(wù)外網(wǎng)安全構(gòu)建支持“身份聯(lián)合管理”的內(nèi)部電子郵件系統(tǒng)注重標(biāo)準(zhǔn)制定，BS7799是國際信息安全管理標(biāo)準(zhǔn)ISO27000的前身注重網(wǎng)絡(luò)監(jiān)管是唯一政府可以要求網(wǎng)絡(luò)用戶交出加密密鑰的國家18德國信息安全保障體系建設(shè)動(dòng)態(tài)世界上第一個(gè)建立電子政務(wù)標(biāo)準(zhǔn)的國家。1991年，德國在內(nèi)政部下建立信息安全局（BSI），負(fù)責(zé)處理與網(wǎng)絡(luò)空間相關(guān)的所有問題。重視關(guān)鍵基礎(chǔ)設(shè)施信息安全保障，建立日爾曼人的“基線”防御。1997年建立部際關(guān)鍵基礎(chǔ)設(shè)施工作組；2005年出臺(tái)《信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃》和《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的基線保護(hù)概念》19法國信息安全保障體系建設(shè)動(dòng)態(tài)2003年12月總理辦公室提出《強(qiáng)化信息系統(tǒng)安全國家計(jì)劃》并得到政府批準(zhǔn)實(shí)施，四大目標(biāo)：確保國家領(lǐng)導(dǎo)通信安全；確保政府信息通信安全；建立計(jì)算機(jī)反共濟(jì)能力；將法國信息系統(tǒng)安全納入歐盟顳部法國安全政策范圍。2009年7月7日，成立國家級(jí)“網(wǎng)絡(luò)和信息安全局”，置于總理領(lǐng)導(dǎo)之下，隸屬國防部。20其他西方國家信息安全保障體系建設(shè)動(dòng)態(tài)加拿大：2004年提出了《國家安全政策》；2004年11月發(fā)布《國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略》；2010年10月3日，發(fā)布《加拿大網(wǎng)絡(luò)安全戰(zhàn)略》。澳大利亞：把信息網(wǎng)絡(luò)技術(shù)作為國家經(jīng)濟(jì)和社會(huì)發(fā)展的重要推動(dòng)力量。制定并采取一系列與信息安全有關(guān)的政策和措施，把建立安全可靠的網(wǎng)絡(luò)空間作為信息安全保障的戰(zhàn)略目標(biāo)?！?1重點(diǎn)保護(hù)對(duì)象：經(jīng)濟(jì)、國內(nèi)和外交政策、科學(xué)和技術(shù)、國家信息和通信系統(tǒng)、國防、司法、災(zāi)害響應(yīng)機(jī)構(gòu)：俄羅斯聯(lián)邦安全理事會(huì)；俄羅斯聯(lián)邦安全局（國家安全管理機(jī)關(guān)，信息安全工作主管和執(zhí)法機(jī)關(guān)）；俄羅斯技術(shù)和出口控制局；俄羅斯聯(lián)邦保衛(wèi)局、信息技術(shù)和通信部基本做法：《俄羅斯國家安全綱要》作為信息安全戰(zhàn)略；注重安全測(cè)評(píng)；實(shí)施信息安全分級(jí)管理。俄羅斯信息安全保障體系建設(shè)動(dòng)態(tài)22亞太地區(qū)信息安全保障體系建設(shè)動(dòng)態(tài)日本：實(shí)施了“保障型”信息安全戰(zhàn)略；強(qiáng)調(diào)“信息安全保障是日本綜合安全保障體系的核心”。韓國：將信息安全視為使館國防安全的重大戰(zhàn)略問題，不斷加大信息安全保障系統(tǒng)管理力度，加快信息安全系統(tǒng)的建設(shè)步伐；在2010年建立信息安全司令部，以維護(hù)韓國的國家網(wǎng)絡(luò)安全。…23日本重點(diǎn)保護(hù)對(duì)象：通信、政府和行政管理服務(wù)、金融、民航、鐵路、后勤保障、電力、天然氣、醫(yī)療服務(wù)、水機(jī)構(gòu)：日本IT戰(zhàn)略本部、國家信息安全中心、信息安全政策理事會(huì)、經(jīng)濟(jì)貿(mào)易產(chǎn)業(yè)省、國家警察廳基本做法：1992年建立國家計(jì)算機(jī)應(yīng)急響應(yīng)協(xié)調(diào)中心；2001年實(shí)施《建設(shè)先進(jìn)信息和電信網(wǎng)絡(luò)社會(huì)基本法》，同年公布《確保電子政務(wù)實(shí)施過程中的信息安全行動(dòng)方案；》2003年經(jīng)濟(jì)經(jīng)濟(jì)貿(mào)易產(chǎn)業(yè)省開發(fā)多種信息安全評(píng)估系統(tǒng)；2004年國家警察廳在每個(gè)地區(qū)局建立反高科技犯罪科；2005年成立國家信息安全中心以美國《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》為藍(lán)本，發(fā)布《日本計(jì)算機(jī)安全戰(zhàn)略》。24印度重點(diǎn)保護(hù)對(duì)象：銀行和金融、保險(xiǎn)、民航、電信、原子能、電力、郵政、鐵路、太空、石油和天然氣、國防、執(zhí)法機(jī)關(guān)機(jī)構(gòu)：國家信息委員會(huì)、國家信息安全協(xié)調(diào)中心、信息基礎(chǔ)設(shè)施保護(hù)中心、信息技術(shù)局、印度計(jì)算機(jī)應(yīng)急響應(yīng)小組基本做法：2000年，頒布《信息安全法》；積極推廣互聯(lián)網(wǎng)和IT基礎(chǔ)設(shè)施建設(shè)等；2009年印度政府宣布開發(fā)“中央監(jiān)控系統(tǒng)”，直接連接國內(nèi)所有通信服務(wù)商，實(shí)現(xiàn)對(duì)印度境內(nèi)所有電話和互聯(lián)網(wǎng)通信的監(jiān)聽25分析總結(jié)——重點(diǎn)保護(hù)對(duì)象各國之間歷史、國情、文化不同，具體的重點(diǎn)保護(hù)對(duì)象也有所差異，但共同特點(diǎn)是將與國家安全、社會(huì)穩(wěn)定和民生密切相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施作為信息安全保障的重點(diǎn)；《國際關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)手冊(cè)（CIIPHandbook）2008/2009》顯示，所有國家最常被提到的關(guān)鍵部門都是現(xiàn)代化社會(huì)的核心部門，也是被破壞后可能造成極大規(guī)模災(zāi)害的部門；其中銀行和金融被全部24個(gè)接受CIIP調(diào)查的國家列為國家關(guān)鍵基礎(chǔ)設(shè)施。26分析總結(jié)——信息安全組織機(jī)構(gòu)少數(shù)國家在中央政府一級(jí)設(shè)立機(jī)構(gòu)專門負(fù)責(zé)處理網(wǎng)絡(luò)信息安全問題，如美國；大多數(shù)國家信息安全管理職能由不同政府部門的多個(gè)機(jī)構(gòu)和單位共同承擔(dān)；機(jī)構(gòu)單位的設(shè)立，以及機(jī)構(gòu)在信息安全管理中的影響力，受到民防傳統(tǒng)、資源配置、歷史經(jīng)驗(yàn)以及決策者對(duì)信息安全威脅總體認(rèn)識(shí)程度的影響；兩種觀念在機(jī)構(gòu)設(shè)置問題上具有較大影響力：執(zhí)法機(jī)關(guān)強(qiáng)調(diào)信息安全屬于防范敵對(duì)勢(shì)力入侵及網(wǎng)絡(luò)犯罪的范疇經(jīng)營(yíng)基礎(chǔ)設(shè)施的部門將調(diào)信息安全屬于技術(shù)問題或經(jīng)濟(jì)成本問題在現(xiàn)實(shí)信息安全威脅性質(zhì)的決定下，前一種觀念在大多數(shù)國家成為主流27分析總結(jié)——基本做法將信息安全視為國家安全的重要組成部分是主流積極推動(dòng)信息安全立法和標(biāo)準(zhǔn)規(guī)范建設(shè)是主流重視對(duì)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的監(jiān)管和安全測(cè)評(píng)是主流普遍重視信息安全事件應(yīng)急響應(yīng)普遍認(rèn)識(shí)到公共私營(yíng)合作伙伴關(guān)系的重要性，一方面政府加強(qiáng)管理力度，一方面充分利用社會(huì)資源28我國信息安全保障工作發(fā)展階段國家信息安全保障基本原則國家信息安全保障建設(shè)主要內(nèi)容我國信息安全保障總體情況2829階段主要工作2001-2002啟動(dòng)國家信息化小組重組；網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立2003-2005逐步展開積極推進(jìn)國家出臺(tái)指導(dǎo)政策；召開第一次全國信息安全保障會(huì)議；發(fā)布國家信息安全戰(zhàn)略；國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開四次會(huì)議2006至今深化落實(shí)信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得新成果；信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得新進(jìn)展我國信息安全保障工作發(fā)展階段2930信息安全保障的基本原則——立足國情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。等級(jí)保護(hù)制度：根據(jù)應(yīng)用系統(tǒng)、應(yīng)用單位的重要程度，將信息系統(tǒng)劃分為不同的重要級(jí)別，然后采用不同的技術(shù)和產(chǎn)品進(jìn)行保護(hù)。國家信息安全保障基本原則3031我國信息安全保障建設(shè)的主要內(nèi)容建立健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障建立健全信息安全法律法規(guī)體系，推進(jìn)信息安全法制建設(shè)建立完善信息安全標(biāo)準(zhǔn)體系，加強(qiáng)信息安全標(biāo)準(zhǔn)化工作建立信息安全技術(shù)體系，實(shí)現(xiàn)國家信息化發(fā)展的自主可控建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)32建立健全信息安全組織與管理體制機(jī)制2002年，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立；2003年前我國具備了一套分層次、分領(lǐng)域的信息安全相關(guān)法律法規(guī)；2003年第27號(hào)文件頒布推動(dòng)我國信息安全法制建設(shè)進(jìn)入一個(gè)新階段，信息安全法律體系進(jìn)一步深化和發(fā)展；信息安全法制建設(shè)工作的現(xiàn)狀和發(fā)展。33建設(shè)信息安全基礎(chǔ)設(shè)施，

提供國家信息安全保障能力支撐建立信息安全通報(bào)和應(yīng)急處置體系信息安全應(yīng)急處理機(jī)制的建立

信息安全通報(bào)機(jī)制的建立建立以密碼技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)信任體系建立信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估體系建立信息安全測(cè)評(píng)認(rèn)證體系完善信息安全監(jiān)控體系34建立信息安全人才培養(yǎng)體系，

加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)加強(qiáng)信息安全理論研究和信息安全學(xué)科、專業(yè)建設(shè)加強(qiáng)信息安全的本科、碩士和博士學(xué)歷教育培養(yǎng)信息安全的“執(zhí)法”人才、組織決策管理人才、安全技術(shù)開發(fā)人才和技術(shù)服務(wù)人才加強(qiáng)安全宣傳教育，普及全民信息安全意識(shí)35信息安全保障的基本原則——信息安全的等級(jí)保護(hù)制度等級(jí)保護(hù)制度：根據(jù)應(yīng)用系統(tǒng)、應(yīng)用單位的重要程度，將信息系統(tǒng)劃分為不同的重要級(jí)別，然后采用不同的技術(shù)和產(chǎn)品進(jìn)行保護(hù)。國家信息安全保障基本原則3536我國信息安全保障建設(shè)的主要內(nèi)容建立健全國家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障建立健全信息安全法律法規(guī)體系，推進(jìn)信息安全法制建設(shè)建立完善信息安全標(biāo)準(zhǔn)體系，加強(qiáng)信息安全標(biāo)準(zhǔn)化工作建立信息安全技術(shù)體系，實(shí)現(xiàn)國家信息化發(fā)展的自主可控建設(shè)信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)37建立健全信息安全組織與管理體制機(jī)制2002年，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立；2003年前我國具備了一套分層次、分領(lǐng)域的信息安全相關(guān)法律法規(guī)；2003年第27號(hào)文件頒布推動(dòng)我國信息安全法制建設(shè)進(jìn)入一個(gè)新階段，信息安全法律體系進(jìn)一步深化和發(fā)展；信息安全法制建設(shè)工作的現(xiàn)狀和發(fā)展。38建設(shè)信息安全基礎(chǔ)設(shè)施，

提供國家信息安全保障能力支撐建立信息安全通報(bào)和應(yīng)急處置體系信息安全應(yīng)急處理機(jī)制的建立

信息安全通報(bào)機(jī)制的建立建立以密碼技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)信任體系建立信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估體系建立信息安全測(cè)評(píng)認(rèn)證體系完善信息安全監(jiān)控體系39建立信息安全人才培養(yǎng)體系，

加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)加強(qiáng)信息安全理論研究和信息安全學(xué)科、專業(yè)建設(shè)加強(qiáng)信息安全的本科、碩士和博士學(xué)歷教育培養(yǎng)信息安全的“執(zhí)法”人才、組織決策管理人才、安全技術(shù)開發(fā)人才和技術(shù)服務(wù)人才加強(qiáng)安全宣傳教育，普及全民信息安全意識(shí)40階段主要工作2001-2002啟動(dòng)國家信息化小組重組；網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立2003-2005逐步展開積極推進(jìn)國家出臺(tái)指導(dǎo)政策；召開第一次全國信息安全保障會(huì)議；發(fā)布國家信息安全戰(zhàn)略；國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開四次會(huì)議2006至今深化落實(shí)信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得新成果；信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得新進(jìn)展我國信息安全保障工作發(fā)展階段4041啟動(dòng)階段（2001-2002）2001年至2002年，是我國網(wǎng)絡(luò)與信息安全事件頻發(fā)且性質(zhì)嚴(yán)重的時(shí)期，鑒于嚴(yán)峻的信息安全形勢(shì)，國家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立，我國信息安全保障工作正式啟動(dòng)。2001年至2002年中國發(fā)生的網(wǎng)絡(luò)和信息安全事件：來自境外邪教組織、敵對(duì)勢(shì)力的破壞各種政治謠言、反動(dòng)宣傳和社會(huì)敏感熱點(diǎn)問題日益增多網(wǎng)絡(luò)系統(tǒng)、重要信息系統(tǒng)自身存在諸多安全隱患如深圳證券交易所因系統(tǒng)崩潰停市半天，造成直接經(jīng)濟(jì)損失和社會(huì)影響；北京首都國際機(jī)場(chǎng)信息系統(tǒng)出現(xiàn)故障，造成上百個(gè)航班延誤，數(shù)萬名旅客滯留。42積極推進(jìn)階段（2003-2005）2003年至2005年，是國家信息安全保障體系建設(shè)逐步展開和推進(jìn)的階段，國家出臺(tái)指導(dǎo)政策，召開第一次全國信息安全保障會(huì)議，發(fā)布國家信息安全戰(zhàn)略，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開了四次會(huì)議，信息安全保障各項(xiàng)工作積極推進(jìn)。2003年7月，國家信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)27號(hào)文件件）。2004年1月9日國家信息安全保障工作會(huì)議召開。2005年3月29日，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組第四次會(huì)議召開。2005年12月16日，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組第五次會(huì)議召開。會(huì)議主要關(guān)注：高度重視信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)信任體系以及保密和密碼工作，進(jìn)一步完善各項(xiàng)措施和政策規(guī)定，提高信息安全建設(shè)和管理水平。43深化落實(shí)階段（2006年至今）2006年至今，圍繞27號(hào)文件開展的各項(xiàng)信息安全保障工作邁出了新的堅(jiān)實(shí)步伐。信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得了新成果。指導(dǎo)政策從完善到落實(shí)等級(jí)保護(hù)工作取得重要進(jìn)展信息安全風(fēng)險(xiǎn)評(píng)估工作更加深入推進(jìn)機(jī)制從實(shí)踐到成型 標(biāo)準(zhǔn)規(guī)范從研究到實(shí)施在全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)信息安全技術(shù)分委員會(huì)和各界、各部門的努力下，本著積極采用國際標(biāo)準(zhǔn)的原則，轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)。44我國在信息安全保障領(lǐng)域的國際合作在信息安全領(lǐng)域開展國際合作，是充分利用我國戰(zhàn)略發(fā)展的機(jī)遇期，營(yíng)造和諧、和平的良好國際環(huán)境，謀求我更深更廣發(fā)展的重要措施。嚴(yán)格遵守《聯(lián)合國憲章》和國際公認(rèn)的信息通信技術(shù)的使用準(zhǔn)則，妥善解決信息安全問題。倡導(dǎo)加強(qiáng)各國在信息安全領(lǐng)域的交流與合作。45制定信息安全保障需求的作用制定信息系統(tǒng)安全保障需求的方法和原則信息安全保障解決方案確定安全保障解決方案的原則實(shí)施信息安全保障解決方案的原則信息安全測(cè)評(píng)信息安全測(cè)評(píng)的重要性國內(nèi)外信息安全測(cè)評(píng)現(xiàn)狀產(chǎn)品、人員、商資、系統(tǒng)測(cè)評(píng)的方法和流程持續(xù)提高信息系統(tǒng)安全保障能力。信息系統(tǒng)安全監(jiān)護(hù)和維護(hù)確定需求制定方案開展測(cè)評(píng)持續(xù)改進(jìn)信息安全保障工作基本內(nèi)容4546確定需求制定方案開展測(cè)評(píng)持續(xù)改進(jìn)步驟一：確定信息系統(tǒng)安全保障需求步驟二：規(guī)范化、結(jié)構(gòu)化的描述信息系統(tǒng)安全保障具體需求步驟三：根據(jù)信息系統(tǒng)安全保障需求編制具體的信息系統(tǒng)安全保障解決方案步驟五：用戶根據(jù)信息系統(tǒng)安全保障評(píng)估情況進(jìn)行改進(jìn)，形成滿足安全保障需求的可持續(xù)改進(jìn)的安全保障能力。步驟四：對(duì)信息系統(tǒng)安全保障進(jìn)行評(píng)估信息安全保障建設(shè)步驟4647知識(shí)域：信息安全保障工作基本內(nèi)容知識(shí)子域：確定安全需求理解確定信息系統(tǒng)安全保障需求的作用理解確定信息系統(tǒng)安全保障需求的方法和原則47為什么要提取信息安全需求信息安全需求是安全方案設(shè)計(jì)和安全措施實(shí)施的依據(jù)準(zhǔn)確地提取安全需求一方面可以保證安全措施可以全面覆蓋信息系統(tǒng)面臨的風(fēng)險(xiǎn)，是安全防護(hù)能力達(dá)到業(yè)務(wù)目標(biāo)和法規(guī)政策的要求的基礎(chǔ)另一方面可以提高安全措施的針對(duì)性，避免不必要的安全投入，防止浪費(fèi)482023/1/1349“信息系統(tǒng)安全保障需求描述”風(fēng)險(xiǎn)評(píng)估確定信息系統(tǒng)安全保障具體需求如何制定信息安全保障需求49法規(guī)符合性50

安全需求的制定流程安全需求的主要內(nèi)容

制定信息系統(tǒng)安全保障需求的方法和原則5051$VISIOCORPORATION目標(biāo)映射至要求安全策略系統(tǒng)現(xiàn)狀安全目標(biāo)抵抗支持客戶審閱安全威脅系統(tǒng)

環(huán)境

風(fēng)險(xiǎn)，策略,假設(shè)技術(shù)要求管理要求工程要求符合性聲明系統(tǒng)安全保障級(jí)別系統(tǒng)

描述安全需求的制定流程5152

信息系統(tǒng)保護(hù)輪廓（ISPP）是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境，從組織機(jī)構(gòu)的策略和風(fēng)險(xiǎn)的實(shí)際情況出發(fā)，對(duì)具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述。表達(dá)一類產(chǎn)品或系統(tǒng)的安全目的和要求。

ISPP是從信息系統(tǒng)的所有者（用戶）的角度規(guī)范化、結(jié)構(gòu)化的描述信息系統(tǒng)安全保障需求。信息系統(tǒng)安全保障的具體需求由信息系統(tǒng)保護(hù)輪廓(ISPP)確定。ISPP52標(biāo)準(zhǔn)化的安全保障需求文檔-ISPP53ISSP引言信息系統(tǒng)描述信息系統(tǒng)安全環(huán)境安全保障目的安全保障要求ISPP應(yīng)用注解符合性聲明規(guī)范化、結(jié)構(gòu)化信息系統(tǒng)安全保障具體需求5354ISPP的框架結(jié)構(gòu)5455信息系統(tǒng)安全保護(hù)輪廓（ISPP）描述用戶信息系統(tǒng)安全保障要求第二部分技術(shù)保障安全技術(shù)控制組件技術(shù)架構(gòu)能力級(jí)第三部分管理保障安全管理控制組件管理能力級(jí)第四部分工程保障安全工程控制組件工程能力級(jí)參考國家標(biāo)準(zhǔn)制定安全需求55安全需求的具體內(nèi)容可以從國家標(biāo)準(zhǔn)《信息系統(tǒng)安全保障評(píng)估保障評(píng)估框架》中抽取56知識(shí)域：信息系統(tǒng)安全保障工作基本內(nèi)容知識(shí)子域：設(shè)計(jì)和實(shí)施信息安全方案

理解信息安全方案的作用和主要內(nèi)容理解制定信息安全方案的主要原則理解信息安全方案實(shí)施的主要原則

5657信息安全保障解決方案是一個(gè)動(dòng)態(tài)的風(fēng)險(xiǎn)管理過程，通過對(duì)信息系統(tǒng)生命周期內(nèi)風(fēng)險(xiǎn)的控制，來解決在運(yùn)行環(huán)境中信息系統(tǒng)安全建設(shè)所面臨的各種問題，從而有效保障業(yè)務(wù)系統(tǒng)及應(yīng)用的持續(xù)發(fā)展信息安全保障解決方案57信息安全保障解決方案制定的原則以風(fēng)險(xiǎn)評(píng)估和法規(guī)要求得出的安全需求為依據(jù)考慮系統(tǒng)的業(yè)務(wù)功能和價(jià)值考慮系統(tǒng)風(fēng)險(xiǎn)哪些是必須處置的，哪些是可接受的貼合實(shí)際具有可實(shí)施性可接受的成本合理的進(jìn)度技術(shù)可實(shí)現(xiàn)性組織管理和文化的可接受性582023/1/1359信息系統(tǒng)安全目標(biāo)（ISST）是根據(jù)信息系統(tǒng)保護(hù)輪廓（ISPP）編制的信息系統(tǒng)安全保障方案。某一特定產(chǎn)品或系統(tǒng)的安全需求。ISST從信息系統(tǒng)安全保障的建設(shè)方（廠商）的角度制定的信息系統(tǒng)安全保障方案。信息系統(tǒng)安全目標(biāo)（ISST）規(guī)范化、結(jié)構(gòu)化信息系統(tǒng)安全保障方案5960ISST的結(jié)構(gòu)和內(nèi)容ISST引言信息系統(tǒng)描述信息系統(tǒng)安全環(huán)境安全保障目的安全保障要求信息系統(tǒng)概要規(guī)范ISPP聲明符合性聲明6061編制信息系統(tǒng)安全保障目標(biāo)（ISST）信息系統(tǒng)安全保障方案6162信息系統(tǒng)安全保障目標(biāo)（ISST）描述用戶信息系統(tǒng)安全保障方案第二部分技術(shù)保障安全技術(shù)控制組件技術(shù)架構(gòu)能力級(jí)第三部分管理保障安全管理控制組件管理能力級(jí)第四部分工程保障安全工程控制組件工程能力級(jí)信息系統(tǒng)安全保護(hù)輪廓（ISPP）信息系統(tǒng)安全保障方案6263以信息安全保障方案為依據(jù)覆蓋方案提出的建設(shè)目標(biāo)和建設(shè)內(nèi)容規(guī)范的實(shí)施過程實(shí)施的質(zhì)量、進(jìn)度和成本必須受控實(shí)施過程中出現(xiàn)的變更必須受控充分考慮實(shí)施風(fēng)險(xiǎn)，如資源不足、組織文化的抵觸情緒、對(duì)業(yè)務(wù)正常運(yùn)行造成的影響、信息泄露或破壞等信息安全保障實(shí)施的原則6364覆蓋信息系統(tǒng)全生命周期以風(fēng)險(xiǎn)和策略為核心風(fēng)險(xiǎn)評(píng)估貫穿系統(tǒng)全生命周期建立完整的策略體系涉及技術(shù)、管理、工程、人技術(shù)：分層多點(diǎn)的深度防御系統(tǒng)管理：建立能力成熟的信息安全管理體系工程：選擇有能力的信息安全集成商和服務(wù)商人：建立完善的人才體系，增強(qiáng)安全意識(shí)和文化信息安全保障實(shí)施的內(nèi)容6465策略體系風(fēng)險(xiǎn)管理系統(tǒng)測(cè)評(píng)/風(fēng)險(xiǎn)評(píng)估生命周期安全管理對(duì)手，動(dòng)機(jī)和攻擊國家/業(yè)務(wù)/機(jī)構(gòu)策略，規(guī)范，標(biāo)準(zhǔn)使命要求組織體系建設(shè)業(yè)務(wù)持續(xù)性管理應(yīng)急響應(yīng)管理意識(shí)培訓(xùn)和教育策略標(biāo)準(zhǔn)流程，指導(dǎo)方針&實(shí)踐信息安全保障實(shí)施-管理體系6566管理體系建設(shè)方法相關(guān)方信息安全需求&期待設(shè)計(jì)和實(shí)施ISMS改進(jìn)ISMSPlan計(jì)劃Do實(shí)施Act改進(jìn)Check檢查開發(fā)、維護(hù)&改進(jìn)循環(huán)相關(guān)方管理的信息安全Plan計(jì)劃（建立ISMS環(huán)境）根據(jù)組織機(jī)構(gòu)的整體策略和目標(biāo)，建立同控制風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的安全策略、目的、目標(biāo)、過程和流程以交付結(jié)果。Do做（設(shè)計(jì)&實(shí)施）實(shí)施和操作策略（過程和流程）Check檢查（監(jiān)控&審核）通過策略、目的和實(shí)踐經(jīng)驗(yàn)測(cè)量和評(píng)估過程執(zhí)行，并將結(jié)果匯報(bào)給決策人。Act行動(dòng)（改進(jìn)）建立糾正和預(yù)防行動(dòng)以進(jìn)一步改進(jìn)過程的執(zhí)行建立ISMS環(huán)境&風(fēng)險(xiǎn)評(píng)估監(jiān)控&審核ISMS6667信息安全外部環(huán)境（政策、法律法規(guī)和標(biāo)準(zhǔn)）數(shù)據(jù)應(yīng)用系統(tǒng)網(wǎng)絡(luò)物理邊界信息安全管理和工程數(shù)據(jù)應(yīng)用系統(tǒng)網(wǎng)絡(luò)物理邊界信息安全管理和工程網(wǎng)絡(luò)基礎(chǔ)設(shè)施端到端數(shù)據(jù)流安全檢測(cè)和響應(yīng)基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施信息安全保障實(shí)施-技術(shù)保障6768信息安全保障實(shí)施-工程過程68DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM發(fā)掘需求定義系統(tǒng)要求定義系統(tǒng)體系結(jié)構(gòu)開發(fā)詳細(xì)設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)用戶/用戶代表評(píng)估有效性計(jì)劃組織開發(fā)采購實(shí)施交付運(yùn)行維護(hù)廢棄將安全措施融入信息系統(tǒng)生命周期69信息安全保障實(shí)施-工程過程6970知識(shí)域：信息系統(tǒng)安全保障工作基本內(nèi)容70知識(shí)子域：信息安全測(cè)評(píng)了解信息安全測(cè)評(píng)的重要性了解國內(nèi)外信息安全測(cè)評(píng)概況理解信息安全產(chǎn)品測(cè)評(píng)方法和流程理解信息系統(tǒng)安全測(cè)評(píng)方法和流程了解服務(wù)商資質(zhì)測(cè)評(píng)方法和流程了解信息安全人員資質(zhì)測(cè)評(píng)方法和流程71信息系統(tǒng)安全保障評(píng)估信息系統(tǒng)安全保障評(píng)估——在信息系統(tǒng)所處的運(yùn)行環(huán)境中對(duì)信息系統(tǒng)安全保障的具體工作和活動(dòng)進(jìn)行客觀的評(píng)估，通過信息系統(tǒng)安全保障評(píng)估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關(guān)方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風(fēng)險(xiǎn)降低到其可接受的程度的主觀信心。7172信息系統(tǒng)安全保障評(píng)估的作用7273信息安全保障評(píng)估評(píng)估是信息系統(tǒng)安全保障的一個(gè)重要概念，系統(tǒng)所有者可以根據(jù)評(píng)估所得到的客觀評(píng)估結(jié)果建立其主觀的信心。評(píng)估對(duì)象是信息系統(tǒng)，不僅包含了信息技術(shù)系統(tǒng)，還包括同信息系統(tǒng)所處的運(yùn)行環(huán)境相關(guān)的人和管理等領(lǐng)域。評(píng)估是一種動(dòng)態(tài)持續(xù)的評(píng)估過程。7374美國歐洲亞太國際組織中國國內(nèi)外信息安全保障測(cè)評(píng)74752023/1/13國防部:1997年《IT安全認(rèn)證認(rèn)可過程》（DITSCAP）2007年《信息保障認(rèn)證和認(rèn)可過程》（DIACAP）國土安全部:關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)劃RAMCAP(RiskAnalysisandManagementforCriticalAssetProtection)商務(wù)部/NIST：《IT系統(tǒng)安全自評(píng)估指南》（SP800-26）《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》（SP800-30）（SP800-53a）審計(jì)署/OMB：FISMA科研機(jī)構(gòu)：CMUOCTAVE,SANDIARAM-*

政策明確,技術(shù)實(shí)用美國—風(fēng)險(xiǎn)評(píng)估領(lǐng)頭羊75762023/1/13歐盟：CORAS安全關(guān)鍵系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)英國：COBRA，CRAMM，用例推理德國：德國聯(lián)邦I(lǐng)T基線防護(hù)手冊(cè)（ITBPM）法國:EBIOS,MEHARI瑞典:ATAM(安全架構(gòu)評(píng)估),XMASS挪威:安全策略評(píng)估芬蘭:安全指標(biāo)評(píng)估

技術(shù)創(chuàng)新強(qiáng),未形成明確政策歐洲-積極探索創(chuàng)新76772023/1/13日本：政府和關(guān)鍵信息系統(tǒng)安全基線措施評(píng)估韓國：信息安全等級(jí)風(fēng)險(xiǎn)評(píng)估新加坡：信息安全風(fēng)險(xiǎn)審計(jì)和評(píng)估

追隨多,創(chuàng)新少亞太：及時(shí)跟進(jìn)，確保發(fā)展77782023/1/13ISO:ISO27004信息安全管理的度量指標(biāo)和測(cè)量ITU:基于通信安全架構(gòu)(x.805)的風(fēng)險(xiǎn)評(píng)估ISACA：信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估指南、安全評(píng)估之滲透測(cè)試和漏洞分析指南

注重操作實(shí)用，弱化理論方法國際組織：規(guī)范標(biāo)準(zhǔn)787979《信息安全風(fēng)險(xiǎn)評(píng)估指南》

-資產(chǎn)/威脅/脆弱性《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)指南》

-安全保護(hù)基線《信息系統(tǒng)安全保障評(píng)估框架》

-安全保障措施與能力2023/1/13我國風(fēng)險(xiǎn)評(píng)估技術(shù)情況7980我國信息安全測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn)我國信息安全測(cè)評(píng)認(rèn)證所使用的標(biāo)準(zhǔn)主要有三個(gè)來源：采用國家標(biāo)準(zhǔn)、在沒有國家標(biāo)準(zhǔn)的情況下采用國際標(biāo)準(zhǔn)、采用認(rèn)證中心管委會(huì)批準(zhǔn)的技術(shù)要求和保護(hù)輪廓。8081國家信息安全測(cè)評(píng)主要對(duì)象

信息產(chǎn)品安全測(cè)評(píng)信息系統(tǒng)安全測(cè)評(píng)服務(wù)商資質(zhì)測(cè)評(píng)信息安全人員資質(zhì)測(cè)評(píng)8182信息安全產(chǎn)品測(cè)評(píng)8283信息產(chǎn)品安全評(píng)估是測(cè)評(píng)機(jī)構(gòu)對(duì)產(chǎn)品的安全性做出的獨(dú)立評(píng)價(jià)，目的是為產(chǎn)品認(rèn)證提供證據(jù)，增強(qiáng)用戶對(duì)已評(píng)估產(chǎn)品安全的信任，向消費(fèi)者提供信息技術(shù)安全產(chǎn)品的采購依據(jù)，從而推動(dòng)信息技術(shù)安全產(chǎn)業(yè)的發(fā)展、提高信息技術(shù)安全科研和生產(chǎn)水平。信息產(chǎn)品安全測(cè)評(píng)依據(jù)的標(biāo)準(zhǔn)是：CC、CEM和CNITSEC的要求信息安全產(chǎn)品測(cè)評(píng)8384產(chǎn)品認(rèn)證的基本要求產(chǎn)品認(rèn)證屬于典型完整的產(chǎn)品質(zhì)量認(rèn)證。

產(chǎn)品認(rèn)證的基本要求是對(duì)認(rèn)證申請(qǐng)者送達(dá)的樣品進(jìn)行型式試驗(yàn)（測(cè)試評(píng)估），同時(shí)對(duì)申請(qǐng)者的質(zhì)量體系（即質(zhì)量保證能力）進(jìn)行檢查、評(píng)審。這兩方面都符合有關(guān)標(biāo)準(zhǔn)要求，則予以認(rèn)證。認(rèn)證通過后，認(rèn)證中心予以發(fā)放證書。證書發(fā)放以后，認(rèn)證中心再從市場(chǎng)和、或工廠（車間）抽樣進(jìn)行核查試驗(yàn)，即監(jiān)督檢驗(yàn)，同時(shí)對(duì)其質(zhì)量體系進(jìn)行監(jiān)督性復(fù)查，若兩方面都合格，即維持認(rèn)證，否則取消認(rèn)證。8485根據(jù)國家標(biāo)準(zhǔn)GB/T18336－2001，信息產(chǎn)品安全的測(cè)評(píng)由低到高劃分為7級(jí)別，即CC的EAL1-7級(jí)。目前中國信息安全測(cè)評(píng)中心開展了1~4級(jí)四個(gè)級(jí)別的測(cè)評(píng)工作。5~7級(jí)三個(gè)級(jí)別的測(cè)評(píng)將視具體情況與委托方研究協(xié)商后確定

獲得的級(jí)別越高，安全性與可信度越高信息安全測(cè)評(píng)級(jí)別8586準(zhǔn)備階段評(píng)估階段認(rèn)證階段監(jiān)督和維持階段信息產(chǎn)品安全測(cè)評(píng)流程8687信息系統(tǒng)安全測(cè)評(píng)87電子商務(wù)系統(tǒng)工業(yè)控制系統(tǒng)電子政務(wù)系統(tǒng)88信息系統(tǒng)安全保障的評(píng)估，是從信息系統(tǒng)安全保障的概念出發(fā)，在信息系統(tǒng)的生命周期內(nèi)，根據(jù)組織機(jī)構(gòu)的要求在信息系統(tǒng)的安全技術(shù)、安全管理和安全工程領(lǐng)域內(nèi)對(duì)信息系統(tǒng)的安全技術(shù)控制措施和技術(shù)架構(gòu)能力、安全管理控制和管理能力以及安全工程實(shí)施控制措施和工程實(shí)施能力進(jìn)行評(píng)估綜合，從而最終得出信息系統(tǒng)在其運(yùn)行環(huán)境中安全保障措施滿足其安全保障要求的符合性以及信息系統(tǒng)安全保障能力的評(píng)估。信息系統(tǒng)安全保障評(píng)估的內(nèi)容8889信息系統(tǒng)安全測(cè)評(píng)標(biāo)準(zhǔn)

信息系統(tǒng)安全測(cè)評(píng)標(biāo)準(zhǔn)是GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》，它為信息系統(tǒng)安全測(cè)評(píng)提供了思路框架和操作規(guī)范保障要素生命周期信息特征8990信息安全保障評(píng)估總體思路9091評(píng)估信息系統(tǒng)安全保障目標(biāo)（ISST）對(duì)信息系統(tǒng)安全保障要求（ISPP）的符合性，即具體的信息系統(tǒng)安全保障措施信息系統(tǒng)在其運(yùn)行環(huán)境下是否滿足信息系統(tǒng)安全保障的需求對(duì)信息系統(tǒng)安全保障的執(zhí)行能力進(jìn)行評(píng)估，評(píng)估信息系統(tǒng)安全保障級(jí)（包括技術(shù)架構(gòu)能力級(jí)、工程能力級(jí)和管理能力級(jí)的評(píng)定）符合性目標(biāo)及級(jí)別目標(biāo)9192信息系統(tǒng)安全分級(jí)分類“信息系統(tǒng)安全保障評(píng)估框架”信息系統(tǒng)安全保障級(jí)ISALTCML安全技術(shù)架構(gòu)能力級(jí)MCML安全管理能力級(jí)ECML安全過程能力級(jí)信息系統(tǒng)安全分級(jí)分類價(jià)值信息特征保密性完整性可用性信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)+92信息系統(tǒng)的分級(jí)原則93信息系統(tǒng)的安全保障能力成熟度級(jí)管理能力成熟度等級(jí)（MCML）：

MCML1、MCML2、MCML3、MCML4和

MCML5工程能力成熟度等級(jí)（PCML）：

PCML1、PCML2、PCML3、PCML4和

PCML5技術(shù)體系架構(gòu)成熟度級(jí)別（TCML）：

TCML1、TCML2、TCML3、TCML4、

TCML59394評(píng)估對(duì)象評(píng)估實(shí)施評(píng)估結(jié)果評(píng)估規(guī)范、準(zhǔn)則評(píng)估方法、工具評(píng)估預(yù)案、組織安全要求安全風(fēng)險(xiǎn)信息系統(tǒng)安全保護(hù)等級(jí)劃分等級(jí)認(rèn)證信息系統(tǒng)安全保障評(píng)估總體框架9495信息系統(tǒng)安全保障等級(jí)評(píng)估規(guī)范的建立安全環(huán)境安全目標(biāo)安全需求評(píng)估規(guī)范ISPP/ISST物理環(huán)境假設(shè)威脅系統(tǒng)使命受保護(hù)資產(chǎn)組織管理管理技術(shù)工程服務(wù)9596服務(wù)商資質(zhì)測(cè)評(píng)96信息安全服務(wù)是指信息安全工程的設(shè)計(jì)、實(shí)施、測(cè)試、運(yùn)行和維護(hù)，以及相關(guān)的咨詢和培訓(xùn)活動(dòng)。集成商開發(fā)商運(yùn)維商97信息安全服務(wù)資質(zhì)測(cè)評(píng)信息安全服務(wù)資質(zhì)測(cè)評(píng)是對(duì)信息安全服務(wù)商的技術(shù)、資源、管理等方面的能力和穩(wěn)定性、可靠性進(jìn)行評(píng)估目前中國信息安全測(cè)評(píng)中心開展的信息安全服務(wù)資質(zhì)評(píng)估包括3個(gè)類別信息安全工程類信息安全開發(fā)類信息系統(tǒng)災(zāi)難恢復(fù)類97服務(wù)資質(zhì)測(cè)評(píng)的作用對(duì)安全服務(wù)提供方：獲得自身安全服務(wù)能力的認(rèn)可獲得自身安全服務(wù)能力規(guī)范和提高（可重復(fù)、可預(yù)測(cè)的過程和實(shí)施減少返工）提高組織的市場(chǎng)競(jìng)爭(zhēng)力（知名度）

對(duì)安全服務(wù)需求方：可獲得選擇服務(wù)商的第三方保證提供有能力、有保障的服務(wù)商的范圍（選擇依據(jù)）

對(duì)社會(huì)和行業(yè)：規(guī)范和