信息安全生產(chǎn)管理標準與信息化管理介紹

信息安全相關(guān)標準介紹

第一頁，共七十九頁。內(nèi)容提綱一、標準和標準化概述二、信息安全標準化組織三、信息安全標準體系研究四、重要信息安全標準介紹

六、存在問題分析五、研究熱點追蹤第二頁，共七十九頁。一、標準和標準化

概述第三頁，共七十九頁。信息安全標準是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計、研發(fā)、生產(chǎn)、建設(shè)、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)；統(tǒng)一標準是信息系統(tǒng)互聯(lián)、互通、互操作的前提；信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要手段；從國家意義上來說，信息安全標準關(guān)系到國家的安全及經(jīng)濟利益，標準往往成為保護國家利益、促進產(chǎn)業(yè)發(fā)展的一種重要手段。

信息安全標準化的作用一、標準和標準化概念第四頁，共七十九頁。標準化的基本原理

我國標準化工作者根據(jù)自己的實踐，用自己的語言，總結(jié)了“簡化”、“統(tǒng)一”、“協(xié)調(diào)”、“選優(yōu)”的八字原理，成為我國標準化界的一種共識。1、簡化具有同種功能的標準化對象，當(dāng)其多樣性的發(fā)展規(guī)模超出必要的范圍時，即應(yīng)消除其中多余的、可替換的和低功能的環(huán)節(jié)，保持其構(gòu)成的精練合理，使總體功能最佳。2、統(tǒng)一在一定時期，一定條件下，對標準化對象的形式、功能或其它技術(shù)特性所確立的一致性，應(yīng)與被取代的事物功能等效。3、協(xié)調(diào)在標準系統(tǒng)中，只有當(dāng)各個標準（子系統(tǒng)）之間的功能彼此協(xié)調(diào)時，才能實現(xiàn)整體系統(tǒng)的功能最佳。4、選優(yōu)按照特定的目標，在一定的限定條件下，對標準系統(tǒng)的構(gòu)成因素及其關(guān)系進行選擇、設(shè)計或調(diào)整，使之達到最理想效果。一、標準和標準化概念第五頁，共七十九頁。

國際標準在區(qū)域標準或國家標準中的采用，以相應(yīng)國際標準為基礎(chǔ)發(fā)布區(qū)域或國家標準性文件，或認可該國際標準具有與國家標準性文件相同的地位，同時標明與相應(yīng)國際標準的差異。根據(jù)采用的程度可分為：等同采用、非等效采用和修改采用。1、等同采用：符合下述條件時，區(qū)域標準或國家標準與相應(yīng)國際標準等同：（1）區(qū)域標準或國家標準在技術(shù)內(nèi)容，標準結(jié)構(gòu)或措詞方面相同（或者等同翻譯）或（2）區(qū)域標準或國家標準盡管有微小編輯修改，但在技術(shù)內(nèi)容方面等同。2、修改采用（MOD）：區(qū)域標準或國家標準對相應(yīng)國際標準按下述條件進行修改。區(qū)域標準或國家標準與相應(yīng)國際標準之間允許存在技術(shù)性差異，但是要清楚地標識并說明這些差異。區(qū)域標準或國家標準反應(yīng)相應(yīng)國際標準的結(jié)構(gòu)。只有修改后兩個標準的內(nèi)容和結(jié)構(gòu)還可以進行比較，才允許對標準的結(jié)構(gòu)進行修改。3、非等效采用：區(qū)域標準或國家標準與相應(yīng)的國際標準在技術(shù)內(nèi)容和文本結(jié)構(gòu)上不同，同時它們之間的差異也沒有清楚地標識?！狈堑刃А边€包括在區(qū)域標準或國家標準中只保留有少量或不重要的國際標準條款的情況?！狈堑刃А辈粚儆诓捎脟H標準。國際標準的采用一、標準和標準化概念第六頁，共七十九頁。二、信息安全標準化組織介紹第七頁，共七十九頁。2.1國際信息安全標準化組織

ISO/IECJTC1SC27

早在1977年，世界上就出現(xiàn)了第一個數(shù)據(jù)加密標準，這是國外乃至國際上信息安全標準化工作的開端。隨著通信和計算機網(wǎng)絡(luò)的發(fā)展，國際上信息安全標準化工作也于80年代有了較快的發(fā)展，在90年代已經(jīng)引起了世界各國的普遍關(guān)注。目前世界上與信息安全標準化有關(guān)的主要組織有：國際標準化組織（ISO）、國際電工委員會（IEC）、國際電信聯(lián)盟（ITU）、互聯(lián)網(wǎng)工程任務(wù)組（IETF）等。工作組介紹ISO（國際標準化組織）和IEC（國際電工委員會）是世界上專門的標準化組織。在信息技術(shù)領(lǐng)域，ISO和IEC成立了一個聯(lián)合技術(shù)委員會JTC1。SC27是JTC1中專門從事信息安全通用方法及技術(shù)標準化工作的分技術(shù)委員會。SC27IT安全技術(shù)分委員會成立于1990年4月，2006年5月SC27工作組調(diào)整后，SC27下設(shè)五個工作組，各工作組信息如表2.1所示，各工作組關(guān)系如圖2.1所示。第八頁，共七十九頁。2.1國際信息安全標準化組織制定標準情況

截止到2007年底，該分技術(shù)委員會已制定和正在研制的國際標準有120多項，這些標準主要涉及密碼算法、散列函數(shù)、數(shù)字簽名、實體鑒別、安全評估、安全管理等領(lǐng)域，近幾年頒布的比較有影響力的標準有：ISO/IEC15408（IT安全性評估準則，包含3個部分）、ISO/IEC15443（IT安全保障框架，包含3個部分）、ISO/IEC218279（系統(tǒng)安全工程能力成熟模型）和ISO/IEC27000系列（信息安全管理系統(tǒng)，已完成7個部分，計劃包含20多個子標準）。

聯(lián)絡(luò)關(guān)系介紹

隨著邊緣技術(shù)的出現(xiàn)，以及JTC1內(nèi)其他分技術(shù)委員會職責(zé)范圍的交叉，SC27啟動了聯(lián)合工作機制，與許多組織進行了成功的合作。例如：ISO/IECJTC1內(nèi)有SC6，SC17，SC18，SC21，SC22和SC30；ISO內(nèi)包括TC68和TC215；外部組織包括CCIMB、ETSI、ITU-T和ISSEA。和SC27存在聯(lián)絡(luò)關(guān)系的相關(guān)標準化機構(gòu)或協(xié)會及聯(lián)絡(luò)類型如下：第九頁，共七十九頁。2.1國際信息安全標準化組織SC27成員組成情況

SC27成員包括積極參加成員（P成員）和觀察員（O成員）兩種。P成員可參與TC、SC的技術(shù)工作，而O成員則只能獲取信息。每個TC或SC均從P成員中任命一個成員主持秘書處并領(lǐng)導(dǎo)該委員會或分委員會。P成員：31個包括：巴西、西班牙、法國、美國、印度、英國、捷克共和國、德國、丹麥、馬來西亞、烏克蘭、俄羅斯聯(lián)邦、比利時、日本、韓國、肯尼亞、荷蘭、奧地利、波蘭、南非、中國、澳大利亞、加拿大、盧森堡、芬蘭、瑞典、挪威、瑞士、新西蘭、新加坡、意大利。O成員：11個包括：羅馬尼亞、印度尼西亞、愛沙尼亞、阿根廷、塞爾維亞、立陶宛、匈牙利、愛爾蘭、以色列、斯洛伐克、土耳其。

第十頁，共七十九頁。2.1國際信息安全標準化組織

國際電工委員會（InternationalElectrotechnicalCommission）成立于1906年，是世界上成立最早的非政府性國際電工標準化機構(gòu)，是聯(lián)合國經(jīng)社理事會（ECOSOC）的甲級咨詢組織。1947年ISO成立后，IEC曾作為電工部門并入ISO，但在技術(shù)上、財務(wù)上仍保持其獨立性。根據(jù)1976年ISO與IEC的新協(xié)議，兩組織都是法律上獨立的組織，IEC負責(zé)有關(guān)電工、電子領(lǐng)域的國際標準化工作，其他領(lǐng)域則由ISO負責(zé)。IEC除與ISO聯(lián)合成立了JTC1外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會負責(zé)安全標準研制，如TC56（可靠性）、TC74（IT設(shè)備安全和功效）、TC77（電磁兼容）、TC108（音頻/視頻）、信息技術(shù)和通信技術(shù)電子設(shè)備的安全等，并制定相關(guān)國際標準，如信息技術(shù)設(shè)備安全（IEC60950）等。

國際電工委員會（IEC）

第十一頁，共七十九頁。2.1國際信息安全標準化組織國際電信聯(lián)盟（ITU）

國際電信聯(lián)盟電信標準局ITU-T所屬的第17研究組SG17，主要負責(zé)研究通信系統(tǒng)安全標準。2001年底，SG7、SG10和SG17合并形成了新的SG17。在2001至2004年這一研究期中，SG17下設(shè)了Question10項目組來專門從事信息安全標準研究。在此研究期內(nèi)，Q10組主要集中于定義通信系統(tǒng)相關(guān)的整個安全框架，項目組活動涉及到協(xié)調(diào)、配合并推動其他通信系統(tǒng)安全相關(guān)的規(guī)范制定。根據(jù)2004年3月SG17組會議安排，在下一個研究期，SG17將把Q10改組成以下六個課題組：Q.G-安全項目、Q.H-安全結(jié)構(gòu)和框架、Q.I-計算機網(wǎng)絡(luò)安全、Q.J-安全管理、Q.K-基于生物特征的身份認證、Q.L-安全通信服務(wù)。ITU-T單獨或與ISO聯(lián)合開發(fā)了消息處理系統(tǒng)（MHS）、目錄系統(tǒng)（X.400系列、X.500系列）和安全框架、安全模型等方面的信息安全標準，其中的X.509標準是開展電子商務(wù)認證的重要基礎(chǔ)標準。截止2009年3月，ITU-T正式發(fā)布的信息安全標準達100多個。第十二頁，共七十九頁。2.1國際信息安全標準化組織互聯(lián)網(wǎng)工程任務(wù)組（IETF）

IETF主要關(guān)注與互聯(lián)網(wǎng)有關(guān)的網(wǎng)絡(luò)與信息安全問題，其請求注解（RFC）是業(yè)界公認的事實標準。IETF一直設(shè)有專門的安全研究領(lǐng)域，負責(zé)研究網(wǎng)絡(luò)授權(quán)、認證、審計等與安全保護有關(guān)的協(xié)議和標準。目前，IETF有關(guān)信息安全的工作組有：BTNS（有點安全總比沒有強）、DKIM（域密鑰標識郵件）、EMU（EAP方法改進）、HOKEY（切換鍵控）、ISMS（關(guān)于SNMP的整套安全模型）、KEYPROV（對稱密鑰的準備）、KITTEN（下一代GSS-API）、KRB-WG（kerbero工作組）、LTANS（長期歸檔和公證服務(wù)）、MSEC（組播安全）、NEA（網(wǎng)絡(luò)端點評價）、OPENPGP（關(guān)于PGP的開放式規(guī)范）、PKIX（基于X.509的公鑰基礎(chǔ)設(shè)施）、SASL（簡單鑒別和安全分層）、SMIME（S/MIME郵件安全）、SYSLOG（在網(wǎng)絡(luò)事件記錄方面的安全課題）、TLS（傳送層安全）等17個。第十三頁，共七十九頁。

截止到2006年底，有關(guān)安全方面的RFC有270多個。這些工業(yè)標準對提高和改善互聯(lián)網(wǎng)的安全性起到了至關(guān)重要的作用，如PKI、IPSec、TLS、PGP等方面的RFC成為了指導(dǎo)互聯(lián)網(wǎng)安全的重要文件。當(dāng)前IETF主要關(guān)注垃圾郵件處理、無線網(wǎng)絡(luò)安全、組播安全、安全審計、安全認證、PKI、TLS等方面的問題。

第十四頁，共七十九頁。2.2美國信息安全標準化組織美國國家標準化協(xié)會（ANSI）

ANSI于20世紀80年代初開始數(shù)據(jù)加密標準化工作，共制定了3項美國國家標準。ANSI中技術(shù)委員會NCITS（即X3）負責(zé)信息技術(shù)，承擔(dān)著JTC1秘書處的工作，其中，分技術(shù)委員會T4專門負責(zé)IT安全技術(shù)標準化工作，對口JTC1的SC27。ANSI負責(zé)金融安全的X3（NCITS）、X9（負責(zé)制定金融業(yè)務(wù)標準）、X12（負責(zé)制定商業(yè)交易標準）等組織制定了很多有關(guān)數(shù)據(jù)加密、銀行業(yè)務(wù)安全和EDI安全等方面的標準。這些標準中，許多經(jīng)國際標準化組織反復(fù)討論后成為國際標準。已制定金融交易卡、密碼服務(wù)消息，以及實現(xiàn)商業(yè)交易安全等方面的安全標準10多個。

美國國家標準技術(shù)研究所（NIST）

NIST主要負責(zé)制定聯(lián)邦計算機系統(tǒng)標準和指導(dǎo)文件，所出版的標準和規(guī)范被稱作聯(lián)邦信息處理標準（FIPS）。FIPS安全標準也是美國軍用信息安全標準的重要來源。

第十五頁，共七十九頁。2.2美國信息安全標準化組織

FIPS由NIST在廣泛搜集政府各部門及私人部門的意見的基礎(chǔ)上寫成。正式發(fā)布之前，將FIPS分送給每個政府機構(gòu)，并在”聯(lián)邦注冊”上刊印出版。經(jīng)再次征求意見之后，NIST局長把標準連同NIST的建議一起呈送美國商業(yè)部，由商務(wù)部長簽字劃押同意或反對這個標準。FIPS安全標準的一個著名實例就是數(shù)據(jù)加密標準（DES）。從二十世紀70年代公布的數(shù)據(jù)加密標準（DES）開始，NIST制定了一系列有關(guān)信息安全方面的聯(lián)邦信息處理標準（FIPS），美國國家標準技術(shù)研究院（NIST）制定了大量與信息安全有關(guān)的非密敏感標準，截止到2006年底已制定了30多項信息安全相關(guān)的聯(lián)邦信息處理標準（FIPS）和近120項信息安全相關(guān)的專題出版物（SP800系列和SP500系列），這些標準和指南涉及密碼算法、密碼模塊評測、信息系統(tǒng)評測、信息系統(tǒng)管理等多個方面，最常用的FIPS安全標準有DES、AES等。

美國國家標準技術(shù)研究所（NIST）第十六頁，共七十九頁。2.2美國信息安全標準化組織美國電氣電工工程師協(xié)會（IEEE）

IEEE在網(wǎng)絡(luò)與信息安全標準化方面的貢獻主要包含兩個方面：一是電氣和電磁安全，如IEEEC2《國家電氣安全規(guī)程》等；另一方面是信息安全，提出了LAN/WAN安全（IEEE802.10）、WLAN安全（IEEE802.11i）和公鑰密碼（P1363）等方面的標準。從1990年IEEE成立802.11“無線局域網(wǎng)工作組”以來，相繼成立的802.15“無線個人網(wǎng)絡(luò)工作組”、802.16“無線寬帶網(wǎng)絡(luò)工作組”和802.20“移動寬帶無線接入工作組”等在無線通信安全方面也作了大量的貢獻，如正在研制的IEEE802.11i。目前，IEEE主要關(guān)注WLAN安全、WiMAX安全、汽車電子安全等。第十七頁，共七十九頁。除上述主要的國際和地區(qū)性標準化組織外，3GPP、3GPP2、OMA（開放移動聯(lián)盟）、OASIS（結(jié)構(gòu)化信息標準促進組織）、ATIS（電信工業(yè)解決方案聯(lián)盟）、ECMA（歐洲計算機制造商協(xié)會）等專業(yè)性標準組織以及英德等國也制定了一些安全標準。2.3國外其它信息安全標準化組織OMA在網(wǎng)絡(luò)與信息安全標準化方面，主要側(cè)重于數(shù)據(jù)業(yè)務(wù)。在OMA設(shè)有專門的技術(shù)委員會負責(zé)安全標準研究，即TCsecurity，目前主要關(guān)注無線公鑰基礎(chǔ)設(shè)施（WPKI）、在線證書狀態(tài)協(xié)議（OCSP）、應(yīng)用層安全、智能卡Web服務(wù)、移動在線認證以及在線密鑰生成等方面的研究。在OMA除TCsecurity外，還設(shè)有專門的技術(shù)委員會負責(zé)數(shù)字版權(quán)管理方面的研究。ATIS也設(shè)有一個技術(shù)工作委員會（IDSC），專門負責(zé)信息安全和數(shù)據(jù)安全方面的標準研究，主要在身份鑒別、數(shù)據(jù)保護、風(fēng)險管理等方面，并出版了相應(yīng)的報告。

主要制定計算機及其相關(guān)應(yīng)用的標準和技術(shù)報告，經(jīng)常向ISO提交標準提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個技術(shù)委員會，其中TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36——“IT安全”負責(zé)信息技術(shù)設(shè)備的安全標準，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評估標準化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。是歐洲地區(qū)性標準化組織，已頒布120多個網(wǎng)絡(luò)與信息安全標準。其下屬技術(shù)委員會SAFETY（安全），主要研究電氣安全方面的標準；技術(shù)委員會ESI（電子簽名和基礎(chǔ)設(shè)施）主要研究電子簽名和PKI方面的標準；技術(shù)委員會LI（合法監(jiān)聽）主要研究合法監(jiān)聽方面的標準；特設(shè)組SAGE（安全算法專家組）負責(zé)研究密碼算法方面的標準，如GSM鑒權(quán)算法A3/A5算法。目前，ETSI主要關(guān)注電子簽名、合法監(jiān)聽、移動通信安全、NGN安全、安全算法和智能卡安全等。

主要制定計算機及其相關(guān)應(yīng)用的標準和技術(shù)報告，經(jīng)常向ISO提交標準提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個技術(shù)委員會，其中TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36——“IT安全”負責(zé)信息技術(shù)設(shè)備的安全標準，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評估標準化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。3GPP在其業(yè)務(wù)和系統(tǒng)技術(shù)規(guī)范組下專門設(shè)置有工作組即WG3負責(zé)安全標準研究，3GPP2也在TSG-S業(yè)務(wù)和系統(tǒng)下設(shè)工作組WG4負責(zé)安全標準研究。此兩標準組織所研究的安全標準主要是與第三代移動通信有關(guān)，主要涉及算法、安全架構(gòu)（如IMS安全架構(gòu)等）等。1.歐洲計算機生產(chǎn)商協(xié)會（ECMA）

2.歐洲電信標準協(xié)會（ETSI）

3.3GPP

4.開放移動聯(lián)盟（OMA）

6.結(jié)構(gòu)化信息標準促進組織（OASIS）

5.電信工業(yè)解決方案聯(lián)盟（ATIS）

其它信息安全標準化組織此外，英國標準學(xué)會（BSI）所制定的BS7799系列標準和德國的IT基線保護手冊也是國際上比較有影響力的安全標準。第十八頁，共七十九頁。2.4我國信息安全標準化組織全國信息安全標準化技術(shù)委員會（TC260）

全國信息安全標準化技術(shù)委員會（TC260）成立于2002年4月15日。它是ISO/IECJTC1SC27的國內(nèi)對口組織。信安標委主要負責(zé)全國信息安全技術(shù)、安全機制、安全服務(wù)、安全管理和安全評估等領(lǐng)域的標準化工作，負責(zé)統(tǒng)一協(xié)調(diào)信息安全國家標準年度計劃項目的申報，并組織國家標準的送審和報批工作，是我國網(wǎng)絡(luò)與信息安全國家標準的牽頭組織。組織結(jié)構(gòu)

信安標委的標準研究工作采用工作組的方式進行，其組織結(jié)構(gòu)如圖所示。

第十九頁，共七十九頁。2.4我國信息安全標準化組織工作組情況

委員會以開放式的工作組為主體開展信息安全標準的研究制定工作。由于工作組是根據(jù)信息安全標準體系結(jié)構(gòu)進行設(shè)立的，這保證了各工作組任務(wù)的明確性和相互間的協(xié)調(diào)性。

WG1：信息安全標準體系與協(xié)調(diào)工作組任務(wù)：研究信息安全標準體系；跟蹤國際信息安全標準發(fā)展動態(tài)；研究、分析國內(nèi)信息安全標準的應(yīng)用需求；研究并提出新工作項目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項目。負責(zé)標準體系研究和標準化協(xié)調(diào)。組長：中國電子技術(shù)標準化研究所林寧工作組聯(lián)絡(luò)處：中國電子技術(shù)標準化研究所WG1開展的研究項目：①信息安全標準體系的研究②電子政務(wù)標準化指南—第六部分：信息安全③信息安全標準術(shù)語第二十頁，共七十九頁。2.4我國信息安全標準化組織WG2：涉密信息系統(tǒng)標準工作組

任務(wù)：負責(zé)涉密信息系統(tǒng)標準研究

組長：組長單位為國家保密局WG1開展的研究項目：①涉密信息消除和介質(zhì)銷毀②信息安全保密產(chǎn)品技術(shù)要求和測試方法③涉密信息系統(tǒng)技術(shù)要求和測評④涉密信息系統(tǒng)管理WG3：密碼標準工作組任務(wù)：負責(zé)密碼相關(guān)國家標準研究

組長：組長單位為國家密碼管理局

正開展的研究項目：①分組算法應(yīng)用接口規(guī)范②證書認證系統(tǒng)密碼及相關(guān)安全技術(shù)規(guī)范③PCI密碼卡技術(shù)規(guī)范④ECC算法應(yīng)用接口規(guī)范⑤雜湊算法應(yīng)用接口規(guī)范第二十一頁，共七十九頁。2.4我國信息安全標準化組織WG4：PKI/PMI工作組

任務(wù)：國內(nèi)外PKI/PMI標準體系的分析；研究PKI/PMI標準體系；國內(nèi)急用的標準調(diào)研；完成一批PKI/PMI基礎(chǔ)性標準的制定工作。鑒別與授權(quán)工作組。主要負責(zé)PKI/PMI等方面的標準研究，已完成GB/T20518《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》等10多個標準的研究。

組長：中國科學(xué)院研究生院馮登國

副組長：國家信息安全工程技術(shù)研究中心袁文恭、國家信息中心吳亞非工作組聯(lián)絡(luò)處：國家信息中心開展的研究項目：①公開密鑰和屬性證書框架(X.509)②時間戳規(guī)范③基于X509的證書管理協(xié)議④數(shù)字證書狀態(tài)查詢協(xié)議⑤PKI組件最小互操作規(guī)范⑥PKI安全支撐平臺等⑦證書認證機構(gòu)運營管理規(guī)范

⑧證書載體應(yīng)用程序接口⑨基于X509的國內(nèi)數(shù)字證書格式規(guī)范⑩PKI系統(tǒng)安全保護等級技術(shù)要求第二十二頁，共七十九頁。2.4我國信息安全標準化組織WG5：信息安全評估工作組

任務(wù)：調(diào)研國內(nèi)外測評標準現(xiàn)狀與發(fā)展趨勢；研究提出我國統(tǒng)一測評標準體系的思路和框架；研究提出信息系統(tǒng)和網(wǎng)絡(luò)的安全測評標準思路和框架；研究提出急需的測評標準項目和制定計劃。信息安全評估工作組。負責(zé)安全評估方面的標準研究，已完成網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券系統(tǒng)等應(yīng)用系統(tǒng)評估標準以及安全路由器、防火墻、入侵檢測系統(tǒng)等產(chǎn)品評估標準，正在開展安全等級保護相關(guān)的評估標準研究。

組長：解放軍信息安全測評認證中心崔書昆副組長：公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局景乾元、國家信息安全評測認證中心李守鵬

工作組聯(lián)絡(luò)處：解放軍信息安全測評認證中心第二十三頁，共七十九頁。2.4我國信息安全標準化組織WG7：信息安全管理工作組

任務(wù)：信息安全管理標準體系的研究；國內(nèi)急用的標準調(diào)研；完成一批信息安全管理相關(guān)基礎(chǔ)性標準的制定工作。已完成ISO/IEC13335.1-2、ISO/IEC17799等國際標準的采標工作，正在開展ISO/IEC27000系列標準的采標工作，并正在研究風(fēng)險管理、安全事件管理、災(zāi)難備份等。

組長：中國電子技術(shù)標準化研究所王立建

工作組聯(lián)絡(luò)處：中國電子技術(shù)標準化研究所

WG7開展的研究項目：①信息技術(shù)安全技術(shù)IT安全管理指南②信息技術(shù)信息安全管理實用規(guī)則③信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)第二十四頁，共七十九頁。2.4我國信息安全標準化組織標準制定情況

截止到2007年底，信安標委成立后共開展了115項國家標準的制定工作，有一半以上是自主研制的，目前有59項已完成制定，還有56項在研究制定中。在跟蹤研究國際標準的同時，我國積極為國際標準作貢獻。2007年我國提出的《信息安全管理體系審核指南》和《三元實體鑒別》兩項提案被SC27接受，成為國際標準新工作項目。

信安標委未來工作重點

信息安全標準化工作在以后幾年中，在重點做好信息安全保障體系建設(shè)急需重要標準的同時，要重點抓好信息安全國家標準的宣貫和試點示范工作，推進標準的實施應(yīng)用。

第二十五頁，共七十九頁。2.4我國信息安全標準化組織公安信息系統(tǒng)安全標準化技術(shù)委員會公安部信息系統(tǒng)安全標準化技術(shù)委員會主要負責(zé)：規(guī)劃和制定計算機信息系統(tǒng)安全保護等級、應(yīng)用系統(tǒng)安全等級評估檢測、計算機信息系統(tǒng)安全產(chǎn)品、計算機信息系統(tǒng)安全管理等方面標準。公安部已發(fā)布了14個正式標準，主要涉及計算機病毒檢測、等級保護等方面，正在開展等級保護方面的有近40個。公安信息安全標準體系圖如圖所示。

第二十六頁，共七十九頁。2.4我國信息安全標準化組織

此外，安全部、國家保密局、國家密碼管理委員會等相繼制定、頒布了一批信息安全的行業(yè)標準，為推動信息安全技術(shù)在各行業(yè)的應(yīng)用和普及發(fā)揮了積極的作用。

中國通信標準化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會

中國通信標準化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會（編號為TC8），負責(zé)組織開展通信行業(yè)網(wǎng)絡(luò)與信息安全標準化工作。TC8現(xiàn)設(shè)有4個工作組有線網(wǎng)絡(luò)安全（WG1）、無線網(wǎng)絡(luò)安全（WG2）、安全管理（WG3）、安全基礎(chǔ)（WG4），另外還設(shè)有安全防護標準和綠色上網(wǎng)標準2個特設(shè)項目組。第二十七頁，共七十九頁。三、信息安全標準

體系

第二十八頁，共七十九頁。3.信息安全標準體系課題目標至今，在世界范圍內(nèi)尚未形成統(tǒng)一的、公認的標準體系結(jié)構(gòu)。但是許多國家、不同部門都在研究自身的信息安全標準體系結(jié)構(gòu)。（1）美國的體系結(jié)構(gòu)第二十九頁，共七十九頁。3.信息安全標準體系

WG1需求安全服務(wù)與指南標準（22項）WG2安全技術(shù)和機制標準（45項）WG3系統(tǒng)和產(chǎn)品安全評估與認證標準（15項）ISO-JTC/SC27ISO-JTC/SC27（2）ISO標準體系結(jié)構(gòu)（截止到2007年底）第三十頁，共七十九頁。3.信息安全標準體系實體安全（A）環(huán)境安全（A10）設(shè)備安全（A20）媒體安全（A30）

運行安全（B）風(fēng)險分析（B10）審計跟蹤（B20）備份與恢復(fù)（B30）應(yīng)急（B40）應(yīng)急計劃輔助軟件（B41）應(yīng)急設(shè)施（B42）信息安全（C）操作系統(tǒng)安全（C10）安全操作系統(tǒng)（C11）操作系統(tǒng)安全部件（C12）數(shù)據(jù)庫安全（C20）安全數(shù)據(jù)庫系統(tǒng)（C21）數(shù)據(jù)庫系統(tǒng)安全部件（C22）網(wǎng)絡(luò)安全（C30）網(wǎng)絡(luò)安全管理（C31）安全網(wǎng)絡(luò)系統(tǒng)（C32）網(wǎng)絡(luò)系統(tǒng)安全部件（C33）（3）GA163-1997關(guān)于計算機信息系統(tǒng)安全專用產(chǎn)品分類原則第三十一頁，共七十九頁。3.信息安全標準體系（4）一種信息安全產(chǎn)品與標準體系結(jié)構(gòu)草案1、網(wǎng)絡(luò)通信安全類7、內(nèi)容安全類2、身份鑒別類8、基礎(chǔ)平臺與中間3、應(yīng)用安全類9、惡意代碼防治類4、監(jiān)控與審計類10、密碼基礎(chǔ)類5、安全隔離類11、密碼設(shè)備類6、數(shù)據(jù)安全類12、密碼模塊類第三十二頁，共七十九頁。3.信息安全標準體系（5）一種基于通用標準體系結(jié)構(gòu)的信息安全標準體系結(jié)構(gòu)國際級區(qū)域級企業(yè)級國家級行業(yè)級地方級產(chǎn)品系統(tǒng)人員服務(wù)事件對象基礎(chǔ)技術(shù)工作管理內(nèi)容第三十三頁，共七十九頁。3.2我國信息安全標準體系信息安全技術(shù)標準體系框架

信息安全技術(shù)標準從總體上可劃分為六大類：基礎(chǔ)標準、技術(shù)與機制標準、管理標準、測評標準、密碼技術(shù)標準和保密技術(shù)標準，在每一大類的基礎(chǔ)上，可按照標準所涉及的主要內(nèi)容進行細分。信息安全技術(shù)標準體系總體框架如圖所示。

圖3.1信息安全技術(shù)標準體系總體框架

第三十四頁，共七十九頁。3.2我國信息安全標準體系標準體系介紹基礎(chǔ)標準

：圖3.2基礎(chǔ)標準體系框架第三十五頁，共七十九頁。3.2我國信息安全標準體系第三十六頁，共七十九頁。3.2我國信息安全標準體系第三十七頁，共七十九頁。3.2我國信息安全標準體系技術(shù)與機制標準圖3.3技術(shù)與機制標準體系框架技術(shù)與機制標準包括標識與鑒別、授權(quán)與訪問控制、實體管理和物理安全技術(shù)標準，體系框架如圖所示。

第三十八頁，共七十九頁。3.2我國信息安全標準體系第三十九頁，共七十九頁。3.2我國信息安全標準體系第四十頁，共七十九頁。3.2我國信息安全標準體系第四十一頁，共七十九頁。3.2我國信息安全標準體系第四十二頁，共七十九頁。3.2我國信息安全標準體系圖4.4信息安全管理標準體系框架信息安全管理標準

：技術(shù)與機制標準包括標識與鑒別、授權(quán)與訪問控制、實體管理和物理安全技術(shù)標準，體系框架如圖所示。

第四十三頁，共七十九頁。3.2我國信息安全標準體系第四十四頁，共七十九頁。3.2我國信息安全標準體系信息安全測評標準

：信息安全測評標準包括測評基礎(chǔ)標準、產(chǎn)品測評標準和系統(tǒng)測評標準，信息安全測評標準體系框架如圖5.5所示。如圖所示。

第四十五頁，共七十九頁。第四十六頁，共七十九頁。3.2我國信息安全標準體系第四十七頁，共七十九頁。3.2我國信息安全標準體系第四十八頁，共七十九頁。3.2我國信息安全標準體系第四十九頁，共七十九頁。四、主要信息安全

標準介紹第五十頁，共七十九頁。BS7799系列（ISO/IEC27000系列）?BS7799Part1的全稱是CodeofPracticeforInformationSecurity，也即為信息安全的實施細則。2000年被采納為ISO/IEC17799，目前其最新版本為2005版，也就是ISO17799:2005。ISO/IEC17799:2005通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個安全管理要素，還有39個主要執(zhí)行目標和133個具體控制措施（最佳實踐），供負責(zé)信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用，以規(guī)范化組織機構(gòu)信息安全管理建設(shè)的內(nèi)容。

?BS7799Part2的全稱是InformationSecurityManagementSpecification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC27001:2005，ISO/IEC27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。

第五十一頁，共七十九頁。ISO/IECTR13335系列

ISO/IECTR13335系列標準（舊版）－GMITS，由5部分標準組成：

?ISO/IEC13335-1:1996《IT安全的概念與模型》

?ISO/IEC13335-2:1997《IT安全管理與策劃》

?ISO/IEC13335-3:1998《IT安全管理技術(shù)》

?ISO/IEC13335-4:2000《防護措施的選擇》

?ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》

目前，ISO/IEC13335-1:1996已經(jīng)被新的ISO/IEC13335-1:2004（MICTS第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC13335-2:1997也將被正在開發(fā)的ISO/IEC13335-2（MICTS第2部分：信息安全風(fēng)險管理）取代。

ISO/IECTR13335只是一個技術(shù)報告和指導(dǎo)性文件，并不是可依據(jù)的認證標準，信息安全體系建設(shè)參考BS7799，具體實踐參考ISOTR13335。

第五十二頁，共七十九頁。SSE-CMM

SSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局(NSA)領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。

SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評估方法2.0版發(fā)布。

系統(tǒng)安全工程過程一共有三個相關(guān)組織過程：

?工程過程

?風(fēng)險過程

?保證過程

共分5個能力級別，11個過程區(qū)域：

?基本執(zhí)行級

?計劃跟蹤級?充分定義級?量化控制級

?持續(xù)改進級

2002年被國際標準化組織采納成為國際標準即ISO/IEC21827:2002《信息技術(shù)系統(tǒng)安全工程－成熟度模型》。

SSE-CMM和BS7799都提出了一系列最佳慣例，但BS7799是一個認證標準（第二部分），提出了一個可供認證的ISMS體系，組織應(yīng)該將其作為目標，通過選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤崿F(xiàn)。而SSE-CMM則是一個評估標準，適合作為評估工程實施組織能力與資質(zhì)的標準

第五十三頁，共七十九頁。通用標準CC(ISO/IEC15408)我們通常所稱的通用標準或通用準則（CommonCriteria，簡稱CC）是指ISO/IEC15408:1999標準。目前CC標準的最新版本是2.2；CC2.1版在1999年成為國際標準ISO/IEC15408:1999；我國在2001年等同采用為國家標準GB/T18336－2001。

CC標準由三個部分組成：

?GB/T18336.1－2001idtISO/IEC15408-1:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第1部分：簡介和一般模型?GB/T18336.2－2001idtISO/IEC15408-2:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第2部分：安全功能要求

?GB/T18336.3－2001idtISO/IEC15408-3:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第3部分：安全保證要求

與BS7799標準相比，CC的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標評價上，BS7799在闡述信息安全管理要求時，并沒有強調(diào)技術(shù)細節(jié)。因此，組織在依照BS7799標準來實施ISMS時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC標準。

第五十四頁，共七十九頁。ITIL和BS15000

ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫（InformationTechnologyInfrastructureLibrary）。ITIL針對一些重要的IT實踐，詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。

IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（ServiceDelivery）和服務(wù)支持（ServiceSupport）

服務(wù)交付（ServiceDelivery）：

?ServiceLevelManagement

?FinancialManagementforITService

?CapacityManagement

?ITServiceContinuityManagement

?AvailabilityManagement

服務(wù)支持（ServiceSupport）：

?ServiceDesk

?IncidentManagement

?ProblemManagement

?ConfigurationManagement

?ChangeManagement

?ReleaseManagement

2001年，英國標準協(xié)會在國際IT服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT服務(wù)管理領(lǐng)域具有歷史意義的重大事件。

BS15000有兩個部分，目前都已經(jīng)轉(zhuǎn)化成國際標準了。

?ISO/IEC20000-1:2005信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Informationtechnologyservicemanagement.SpecificationforServiceManagement）

?ISO/IEC20000-2:2005信息技術(shù)服務(wù)管理-服務(wù)管理最佳實踐（Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement）

與BS7799相比，ITIL關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實施流程。ISMS實施者可以將BS7799作為ITIL在信息安全方面的補充，同時引入ITIL流程的方法，以此加強信息安全管理的實施能力。

第五十五頁，共七十九頁。CoBIT

CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標（ControlObjectivesforInformationandrelatedTechnology），是ITGI提出的IT治理模型（ITGovernance)，是一個IT控制和IT治理的框架（Framework）。CobiT是一個在更高的層面上指導(dǎo)管理層進行技術(shù)標準和信息系統(tǒng)管理的IT治理模型。

CoBIT的八個控制過程：

?計劃和組織（Planning&Organisation）

?采購和實施（Acquisition&Implementation）

?交付和支持（Delivery&Support）

?監(jiān)視和評估（Monitoring&Evaluation）

CoBIT的七個控制目標：

?機密性（Confidentiality）

?完整性（Integrity）

?可用性（Availability）

?有效性（Effectiveness）

?高效性（Efficiency）

?可靠性（Reliability）

?符合性（Compliance）

目前基本上存在著兩類控制模型，一類是類似COSO這樣的商業(yè)控制模式（businesscontrolmodel），另一類則是像BS7799這樣的更關(guān)注IT的控制模型（morefocusedonITcontrolmodel），而CoBIT的目標是在兩者之間架起一座橋梁。第五十六頁，共七十九頁。NISTSP800系列

美國國家標準技術(shù)協(xié)會（NationalInstituteofStandardsandTechnology，NIST）發(fā)布的SpecialPublication800文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南，其中有多篇是有關(guān)信息安全管理的，包括：

?SP800-12：計算機安全介紹（AnIntroductiontoComputerSecurity:TheNISTHandbook）

?SP800-30：IT系統(tǒng)風(fēng)險管理指南（RiskManagementGuideforInformationTechnologySystems）

?SP800-34：IT系統(tǒng)應(yīng)急計劃指南（ContingencyPlanningGuideforInformationTechnologySystems）

?SP800-26：IT系統(tǒng)安全自我評估指南（SecuritySelf-AssessmentGuideforInformationTechnologySystems）

這些文件可以作為實施ISMS過程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照（例如風(fēng)險評估、應(yīng)急計劃等），是對BS7799標準很好的補充和細化。

第五十七頁，共七十九頁。五、信息安全標準化研究熱點第五十八頁，共七十九頁。2006年5月8日至17日，ISO/IECJTC1/SC27第32屆工作組會議與與全體會議在西班牙召開。

WG1

（1）WG1工作組會議對WG1和WG4標準項目的預(yù)留編號范圍進行了初步劃定：27000～27009留予WG1的ISMS標準族，27010～27019留予ISMS標準族的解釋性指南與文檔，27030～27039則為WG4安全服務(wù)系列標準編號；（2）根據(jù)SC27第17次全體會議決議，ISO/IECJTC1/SC27要求其秘書處確認當(dāng)前標準ISO/IEC17799將在2007年4月重新編號為ISO/IEC27002。為了進一步推進ISMS標準族的形成，SC27將調(diào)整后的WG1工作組的主要工作范圍劃定在對ISMS的研究制定和維護管理上，同時為促進ISMS的國際互認，對《信息安全管理體系認證機構(gòu)的認可要求》進行了重點研究和討論;（3）基于ISO17021形成的ISO/IEC27006《信息安全管理體系認證機構(gòu)的認可要求》的制定速度明顯加快。SC27/WG1聯(lián)合ITU-T和TC215的專家會同IAF/EACC及ISOCASCO成立了一個小規(guī)模的聯(lián)合任務(wù)組，負責(zé)ISO/IEC27006的起草編制。

2006年JTC1/SC27會議信息安全標準熱點跟蹤

第五十九頁，共七十九頁。WG3

本次WG3會議熱點問題仍然是與產(chǎn)品有關(guān)的安全評估標準，通用準則(CC)標準的發(fā)展問題是本次WG3會議的討論重點。（1）與產(chǎn)品有關(guān)的測試評估標準(包括通用準則(CC），通用評估方法(CEM)等)的修訂是WG3的主要議題。根據(jù)WG3路線圖，會議在目前項目研究狀況和研制計劃的基礎(chǔ)上，WG3將下列3個方面作為近期工作新領(lǐng)域：密碼模塊確認/認證方法；加密協(xié)議的驗證；評價證據(jù)的產(chǎn)生指南。（2）把下列5個方面作為中長期工作的新領(lǐng)域：質(zhì)量認證一致性要求；基于角色的訪問控制；安全系統(tǒng)設(shè)計；加密協(xié)議的驗證；篡改防范的要求與評價。第六十頁，共七十九頁。

（3）CC仍然是國際上產(chǎn)品測試與認證的主要依據(jù)，這次會議仍然致力于CC的推廣、進一步擴大國際互認。如果經(jīng)過修改的CC、通用評估方法(CEM)、保護輪廓/安全目標(PP/ST)的產(chǎn)生指南等標準在ISO/IEC得到通過，將會對CCDB的運作機制產(chǎn)生比較大的影響。WG3已經(jīng)開始提前著手修訂CC-2005和CEM-2005。會議根據(jù)2005年10月推出CC3.0版，針對CCDB提出的意見，討論研究了CC標準的進一步發(fā)展問題。爭論集中在CC的第2部分和第3部分(低等級保護的表述問題）。會議擬訂了對CC、CEM、PP&ST產(chǎn)生指南等重要標準進行修訂的計劃，并給定了各編制階段詳細的時間結(jié)點。ISO15408:2005和ISO8045:2005已經(jīng)開始著手修訂，預(yù)計今年11月份形成CD。PP&ST的產(chǎn)生指南，也已進入修訂階段，并將原計劃發(fā)布標準的時間由2008年11月推遲到2009年5月。對于CC互認問題，WG3在馬來西亞會議上提議撤銷PP注冊程序。此次會議SC27再次強調(diào)了ISO對標準形式的態(tài)度，指出ISO不會采用注冊的方式來形成一個ISO文件，PP在ISO存在的形式只能是按照ISO產(chǎn)生國際標準的程序，最終形成國際標準?？梢灶A(yù)見的CC的廣泛的國際互認應(yīng)該還有很長的路要走。第六十一頁，共七十九頁。

（4）基于世界各國對生物特征識別技術(shù)的應(yīng)用日益廣泛的現(xiàn)實，SC27對與生物特征識別相關(guān)的安全技術(shù)標準也愈加重視。WG3決定啟動一個為期6個月的工作組研究課題，專門研究生物特征識別技術(shù)的評價方法；WG2完成了一個使用生物特征識別技術(shù)產(chǎn)生數(shù)字簽名的研究課題，同時啟動了一個與生物特征識別數(shù)據(jù)鑒別有關(guān)的標準研究課題。WG1

2007年5月2日至12日，ISO/IECJTC1/SC27第34屆工作組會議與與全體會議在俄羅斯召開。來自英國、美國、瑞典、日本和中國等20個國家和地區(qū)的40余名代表出席了該會議。主要討論熱點如下：

本次會議從標準制修訂、新標準立項和路線圖研究等幾個方面，共召開了8個專題會議，包括：

2007年JTC1/SC27會議信息安全標準熱點跟蹤

第六十二頁，共七十九頁。

①ISO/IEC27000-ISMS概述和詞匯；

②ISO/IEC27003-ISMS實施指南；

③ISO/IEC27004-ISMS測量；④ISO/IEC27005-ISMS風(fēng)險管理；

⑤ISO/IEC27007-ISMS審核指南；

⑥特定行業(yè)(Sector-Specific)ISMS標準；

⑦WG1/WG4聯(lián)合會議；⑧WG1路線圖。（1）WG1在2006年11月第33屆會議上啟動了ISMS審核指南的研究項目，在相關(guān)意見和提案的基礎(chǔ)上，審核指南是繼ISMS要求標準(ISO/IEC27001)之后的重要標準之一，預(yù)計未來幾年內(nèi)將成為WG1討論的重點。（2）如何針對不同領(lǐng)域、不同專業(yè)部門提出具體的信息安全控制目標和控制要求，并形成相應(yīng)行業(yè)的ISMS國際標準，是本次討論的熱點，也將成為未來幾年發(fā)展的新方向。目前，ISO/IEC27011《電信信息安全管理指南》已被確定為新工作項目。《彩票業(yè)ISMS標準》和《汽車工業(yè)ISMS標準》被確準，將成為未來幾年發(fā)展的新方向。第六十三頁，共七十九頁。第六十四頁，共七十九頁。第六十五頁，共七十九頁。本次會議主要內(nèi)容包括四個方面：①標準的例行編制工作；②可能影響國際標準的新情況討論；③新項目討論④討論SC27/WG2路線圖。（1）自2006年5月SC27工作組及全體會議后，WG2更名為密碼與安全機制工作組，并及時啟動了幾個新的預(yù)研項目，這些項目反映了JTC1、SC27和WG2對基礎(chǔ)安全機制和算法的關(guān)注點，國內(nèi)應(yīng)關(guān)注相關(guān)工作的進展情況，尤其是對”低功耗加密”應(yīng)高度關(guān)注?！钡凸募用堋笔怯蒘C27的上級機構(gòu)─JTC1直接下達的研究任務(wù)，反映了國際上對移動和嵌入式計算環(huán)境下加密技術(shù)的高度關(guān)注。本次會議上，中國代表團做了”三元對等鑒別和訪問控制”的專題報告，經(jīng)過專家的交流與討論，WG2初步接受了我國的提案，設(shè)立了”三元實體鑒別”新的研究項目。受中國提案的影響，WG2提出今后要將”多元實體鑒別”相關(guān)標準列入今后的路線圖中。WG2第六十六頁，共七十九頁。（2）在WG2工作路線圖中，提出2010年前要大力開展橢圓曲線密碼技術(shù)標準的研究和開發(fā)，2010～2015年將重點開展量子密碼技術(shù)標準化工作。再綜合WG2更名為”密碼與安全機制工作組”、《密碼模塊安全技術(shù)要求》標準的發(fā)布以及《密碼模塊測試要求》等項目的確立這些情況，可以看出SC27正在逐步加大密碼技術(shù)標準的研究與制定工作。WG3（1）本次會議重點對去年10月南非會議以來修改的ISO/IEC15446《保護輪廓和安全目標產(chǎn)生指南》、ISO/IEC15443-3《IT安全保障框架第3部分保障方法分析》、ISO/IEC24759《密碼模塊測試要求》和ISO/IEC19792《生物特征安全評估》等4項標準的文本進行深入研究，逐條分析了各成員國提出的意見，并確定了處理辦法。第六十七頁，共七十九頁。（2）在工作組路線圖中除了目前正在研究的ISO/IEC15408《IT安全評估準則》、ISO/IEC15443《IT安全保障框架》、ISO/IEC15446《安全目標和保護輪廓產(chǎn)生指南》、ISO/IEC18045《安全評估方法》、ISO/IEC19790《密碼模塊安全要求》、ISO/IEC24759《密碼模塊測試要求》、ISO/IEC19791《運行系統(tǒng)安全評估》、ISO/IEC19792《生物特征識別技術(shù)安全測試評估框架》和ISO/IEC21827《系統(tǒng)安全工程能力成熟度模型》等標準項目外，還提出了擬新增加《密碼協(xié)議驗證》、《評估證據(jù)產(chǎn)生指南》、《合格評定要求的融合》、《安全系統(tǒng)設(shè)計》、《篡改保護要求與評估》等研究領(lǐng)域。從這些新設(shè)立的研究領(lǐng)域可以看出，SC27將在信息安全評估的互認和應(yīng)用安全評估方面做更多的工作。

第六十八頁，共七十九頁?！禝T安全保障框架》《IT安全評估準則》《安全目標和保護輪廓產(chǎn)生指南》《安全評估方法》《運行系統(tǒng)安全評估》第六十九頁，共七十九頁。WG4（1）WG4安全控制與服務(wù)工作組是2006年創(chuàng)立的新工作組，去年秋天召開第一次會議，其主要關(guān)注點在信息和通訊技術(shù)的安全，標準項目包括ISO/IEC18028系列網(wǎng)絡(luò)安全標準、ISO/IEC18043《選擇、部署和運行入侵檢測系統(tǒng)(IDS)》、ISO/IEC18044《信息安全事件管理》、ISO/IEC24762《信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南》。研究項目包括事件響應(yīng)相關(guān)標準、信息網(wǎng)絡(luò)空間(Cyber)安全標準、可信第三方服務(wù)標準、業(yè)務(wù)連續(xù)性的信息通信技術(shù)標準和應(yīng)用安全結(jié)構(gòu)標準等。（2）WG4負責(zé)的標準和項目正在整合之中，這次會議已經(jīng)取得了一些初步的共識，將標準按大類整合，形成幾個比較系統(tǒng)的標準。《信息安全事件響應(yīng)》、《信息通信技術(shù)的業(yè)務(wù)連續(xù)性》、《信息網(wǎng)絡(luò)空間(Cyber)安全》項目里的”反間諜軟件”、”反垃圾郵件”、”反釣魚”、”網(wǎng)際安全事件合作與信息共享”和《應(yīng)用安全結(jié)構(gòu)》項目的”安全應(yīng)用結(jié)構(gòu)”、”應(yīng)用安全保障”、”代理/服務(wù)應(yīng)用安全”、”移動代理應(yīng)用安全”等內(nèi)容也都是世界各國和業(yè)界關(guān)注的重點領(lǐng)域，這些應(yīng)用安全標準可能將會成為新的熱點領(lǐng)域。