信息安全生產(chǎn)管理標(biāo)準(zhǔn)與信息化管理介紹

信息安全相關(guān)標(biāo)準(zhǔn)介紹

第一頁(yè)，共七十九頁(yè)。內(nèi)容提綱一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概述二、信息安全標(biāo)準(zhǔn)化組織三、信息安全標(biāo)準(zhǔn)體系研究四、重要信息安全標(biāo)準(zhǔn)介紹

六、存在問(wèn)題分析五、研究熱點(diǎn)追蹤第二頁(yè)，共七十九頁(yè)。一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化

概述第三頁(yè)，共七十九頁(yè)。信息安全標(biāo)準(zhǔn)是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、測(cè)評(píng)中解決其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)；統(tǒng)一標(biāo)準(zhǔn)是信息系統(tǒng)互聯(lián)、互通、互操作的前提；信息安全標(biāo)準(zhǔn)是我國(guó)信息安全保障體系的重要組成部分，是政府進(jìn)行宏觀管理的重要手段；從國(guó)家意義上來(lái)說(shuō)，信息安全標(biāo)準(zhǔn)關(guān)系到國(guó)家的安全及經(jīng)濟(jì)利益，標(biāo)準(zhǔn)往往成為保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段。

信息安全標(biāo)準(zhǔn)化的作用一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念第四頁(yè)，共七十九頁(yè)。標(biāo)準(zhǔn)化的基本原理

我國(guó)標(biāo)準(zhǔn)化工作者根據(jù)自己的實(shí)踐，用自己的語(yǔ)言，總結(jié)了“簡(jiǎn)化”、“統(tǒng)一”、“協(xié)調(diào)”、“選優(yōu)”的八字原理，成為我國(guó)標(biāo)準(zhǔn)化界的一種共識(shí)。1、簡(jiǎn)化具有同種功能的標(biāo)準(zhǔn)化對(duì)象，當(dāng)其多樣性的發(fā)展規(guī)模超出必要的范圍時(shí)，即應(yīng)消除其中多余的、可替換的和低功能的環(huán)節(jié)，保持其構(gòu)成的精練合理，使總體功能最佳。2、統(tǒng)一在一定時(shí)期，一定條件下，對(duì)標(biāo)準(zhǔn)化對(duì)象的形式、功能或其它技術(shù)特性所確立的一致性，應(yīng)與被取代的事物功能等效。3、協(xié)調(diào)在標(biāo)準(zhǔn)系統(tǒng)中，只有當(dāng)各個(gè)標(biāo)準(zhǔn)（子系統(tǒng)）之間的功能彼此協(xié)調(diào)時(shí)，才能實(shí)現(xiàn)整體系統(tǒng)的功能最佳。4、選優(yōu)按照特定的目標(biāo)，在一定的限定條件下，對(duì)標(biāo)準(zhǔn)系統(tǒng)的構(gòu)成因素及其關(guān)系進(jìn)行選擇、設(shè)計(jì)或調(diào)整，使之達(dá)到最理想效果。一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念第五頁(yè)，共七十九頁(yè)。

國(guó)際標(biāo)準(zhǔn)在區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)中的采用，以相應(yīng)國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)發(fā)布區(qū)域或國(guó)家標(biāo)準(zhǔn)性文件，或認(rèn)可該國(guó)際標(biāo)準(zhǔn)具有與國(guó)家標(biāo)準(zhǔn)性文件相同的地位，同時(shí)標(biāo)明與相應(yīng)國(guó)際標(biāo)準(zhǔn)的差異。根據(jù)采用的程度可分為：等同采用、非等效采用和修改采用。1、等同采用：符合下述條件時(shí)，區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)與相應(yīng)國(guó)際標(biāo)準(zhǔn)等同：（1）區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)在技術(shù)內(nèi)容，標(biāo)準(zhǔn)結(jié)構(gòu)或措詞方面相同（或者等同翻譯）或（2）區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)盡管有微小編輯修改，但在技術(shù)內(nèi)容方面等同。2、修改采用（MOD）：區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)對(duì)相應(yīng)國(guó)際標(biāo)準(zhǔn)按下述條件進(jìn)行修改。區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)與相應(yīng)國(guó)際標(biāo)準(zhǔn)之間允許存在技術(shù)性差異，但是要清楚地標(biāo)識(shí)并說(shuō)明這些差異。區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)反應(yīng)相應(yīng)國(guó)際標(biāo)準(zhǔn)的結(jié)構(gòu)。只有修改后兩個(gè)標(biāo)準(zhǔn)的內(nèi)容和結(jié)構(gòu)還可以進(jìn)行比較，才允許對(duì)標(biāo)準(zhǔn)的結(jié)構(gòu)進(jìn)行修改。3、非等效采用：區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)與相應(yīng)的國(guó)際標(biāo)準(zhǔn)在技術(shù)內(nèi)容和文本結(jié)構(gòu)上不同，同時(shí)它們之間的差異也沒(méi)有清楚地標(biāo)識(shí)?！狈堑刃А边€包括在區(qū)域標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)中只保留有少量或不重要的國(guó)際標(biāo)準(zhǔn)條款的情況?！狈堑刃А辈粚儆诓捎脟?guó)際標(biāo)準(zhǔn)。國(guó)際標(biāo)準(zhǔn)的采用一、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化概念第六頁(yè)，共七十九頁(yè)。二、信息安全標(biāo)準(zhǔn)化組織介紹第七頁(yè)，共七十九頁(yè)。2.1國(guó)際信息安全標(biāo)準(zhǔn)化組織

ISO/IECJTC1SC27

早在1977年，世界上就出現(xiàn)了第一個(gè)數(shù)據(jù)加密標(biāo)準(zhǔn)，這是國(guó)外乃至國(guó)際上信息安全標(biāo)準(zhǔn)化工作的開(kāi)端。隨著通信和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，國(guó)際上信息安全標(biāo)準(zhǔn)化工作也于80年代有了較快的發(fā)展，在90年代已經(jīng)引起了世界各國(guó)的普遍關(guān)注。目前世界上與信息安全標(biāo)準(zhǔn)化有關(guān)的主要組織有：國(guó)際標(biāo)準(zhǔn)化組織（ISO）、國(guó)際電工委員會(huì)（IEC）、國(guó)際電信聯(lián)盟（ITU）、互聯(lián)網(wǎng)工程任務(wù)組（IETF）等。工作組介紹ISO（國(guó)際標(biāo)準(zhǔn)化組織）和IEC（國(guó)際電工委員會(huì)）是世界上專(zhuān)門(mén)的標(biāo)準(zhǔn)化組織。在信息技術(shù)領(lǐng)域，ISO和IEC成立了一個(gè)聯(lián)合技術(shù)委員會(huì)JTC1。SC27是JTC1中專(zhuān)門(mén)從事信息安全通用方法及技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)。SC27IT安全技術(shù)分委員會(huì)成立于1990年4月，2006年5月SC27工作組調(diào)整后，SC27下設(shè)五個(gè)工作組，各工作組信息如表2.1所示，各工作組關(guān)系如圖2.1所示。第八頁(yè)，共七十九頁(yè)。2.1國(guó)際信息安全標(biāo)準(zhǔn)化組織制定標(biāo)準(zhǔn)情況

截止到2007年底，該分技術(shù)委員會(huì)已制定和正在研制的國(guó)際標(biāo)準(zhǔn)有120多項(xiàng)，這些標(biāo)準(zhǔn)主要涉及密碼算法、散列函數(shù)、數(shù)字簽名、實(shí)體鑒別、安全評(píng)估、安全管理等領(lǐng)域，近幾年頒布的比較有影響力的標(biāo)準(zhǔn)有：ISO/IEC15408（IT安全性評(píng)估準(zhǔn)則，包含3個(gè)部分）、ISO/IEC15443（IT安全保障框架，包含3個(gè)部分）、ISO/IEC218279（系統(tǒng)安全工程能力成熟模型）和ISO/IEC27000系列（信息安全管理系統(tǒng)，已完成7個(gè)部分，計(jì)劃包含20多個(gè)子標(biāo)準(zhǔn)）。

聯(lián)絡(luò)關(guān)系介紹

隨著邊緣技術(shù)的出現(xiàn)，以及JTC1內(nèi)其他分技術(shù)委員會(huì)職責(zé)范圍的交叉，SC27啟動(dòng)了聯(lián)合工作機(jī)制，與許多組織進(jìn)行了成功的合作。例如：ISO/IECJTC1內(nèi)有SC6，SC17，SC18，SC21，SC22和SC30；ISO內(nèi)包括TC68和TC215；外部組織包括CCIMB、ETSI、ITU-T和ISSEA。和SC27存在聯(lián)絡(luò)關(guān)系的相關(guān)標(biāo)準(zhǔn)化機(jī)構(gòu)或協(xié)會(huì)及聯(lián)絡(luò)類(lèi)型如下：第九頁(yè)，共七十九頁(yè)。2.1國(guó)際信息安全標(biāo)準(zhǔn)化組織SC27成員組成情況

SC27成員包括積極參加成員（P成員）和觀察員（O成員）兩種。P成員可參與TC、SC的技術(shù)工作，而O成員則只能獲取信息。每個(gè)TC或SC均從P成員中任命一個(gè)成員主持秘書(shū)處并領(lǐng)導(dǎo)該委員會(huì)或分委員會(huì)。P成員：31個(gè)包括：巴西、西班牙、法國(guó)、美國(guó)、印度、英國(guó)、捷克共和國(guó)、德國(guó)、丹麥、馬來(lái)西亞、烏克蘭、俄羅斯聯(lián)邦、比利時(shí)、日本、韓國(guó)、肯尼亞、荷蘭、奧地利、波蘭、南非、中國(guó)、澳大利亞、加拿大、盧森堡、芬蘭、瑞典、挪威、瑞士、新西蘭、新加坡、意大利。O成員：11個(gè)包括：羅馬尼亞、印度尼西亞、愛(ài)沙尼亞、阿根廷、塞爾維亞、立陶宛、匈牙利、愛(ài)爾蘭、以色列、斯洛伐克、土耳其。

第十頁(yè)，共七十九頁(yè)。2.1國(guó)際信息安全標(biāo)準(zhǔn)化組織

國(guó)際電工委員會(huì)（InternationalElectrotechnicalCommission）成立于1906年，是世界上成立最早的非政府性國(guó)際電工標(biāo)準(zhǔn)化機(jī)構(gòu)，是聯(lián)合國(guó)經(jīng)社理事會(huì)（ECOSOC）的甲級(jí)咨詢(xún)組織。1947年ISO成立后，IEC曾作為電工部門(mén)并入ISO，但在技術(shù)上、財(cái)務(wù)上仍保持其獨(dú)立性。根據(jù)1976年ISO與IEC的新協(xié)議，兩組織都是法律上獨(dú)立的組織，IEC負(fù)責(zé)有關(guān)電工、電子領(lǐng)域的國(guó)際標(biāo)準(zhǔn)化工作，其他領(lǐng)域則由ISO負(fù)責(zé)。IEC除與ISO聯(lián)合成立了JTC1外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會(huì)負(fù)責(zé)安全標(biāo)準(zhǔn)研制，如TC56（可靠性）、TC74（IT設(shè)備安全和功效）、TC77（電磁兼容）、TC108（音頻/視頻）、信息技術(shù)和通信技術(shù)電子設(shè)備的安全等，并制定相關(guān)國(guó)際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備安全（IEC60950）等。

國(guó)際電工委員會(huì)（IEC）

第十一頁(yè)，共七十九頁(yè)。2.1國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際電信聯(lián)盟（ITU）

國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)局ITU-T所屬的第17研究組SG17，主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。2001年底，SG7、SG10和SG17合并形成了新的SG17。在2001至2004年這一研究期中，SG17下設(shè)了Question10項(xiàng)目組來(lái)專(zhuān)門(mén)從事信息安全標(biāo)準(zhǔn)研究。在此研究期內(nèi)，Q10組主要集中于定義通信系統(tǒng)相關(guān)的整個(gè)安全框架，項(xiàng)目組活動(dòng)涉及到協(xié)調(diào)、配合并推動(dòng)其他通信系統(tǒng)安全相關(guān)的規(guī)范制定。根據(jù)2004年3月SG17組會(huì)議安排，在下一個(gè)研究期，SG17將把Q10改組成以下六個(gè)課題組：Q.G-安全項(xiàng)目、Q.H-安全結(jié)構(gòu)和框架、Q.I-計(jì)算機(jī)網(wǎng)絡(luò)安全、Q.J-安全管理、Q.K-基于生物特征的身份認(rèn)證、Q.L-安全通信服務(wù)。ITU-T單獨(dú)或與ISO聯(lián)合開(kāi)發(fā)了消息處理系統(tǒng)（MHS）、目錄系統(tǒng)（X.400系列、X.500系列）和安全框架、安全模型等方面的信息安全標(biāo)準(zhǔn)，其中的X.509標(biāo)準(zhǔn)是開(kāi)展電子商務(wù)認(rèn)證的重要基礎(chǔ)標(biāo)準(zhǔn)。截止2009年3月，ITU-T正式發(fā)布的信息安全標(biāo)準(zhǔn)達(dá)100多個(gè)。第十二頁(yè)，共七十九頁(yè)。2.1國(guó)際信息安全標(biāo)準(zhǔn)化組織互聯(lián)網(wǎng)工程任務(wù)組（IETF）

IETF主要關(guān)注與互聯(lián)網(wǎng)有關(guān)的網(wǎng)絡(luò)與信息安全問(wèn)題，其請(qǐng)求注解（RFC）是業(yè)界公認(rèn)的事實(shí)標(biāo)準(zhǔn)。IETF一直設(shè)有專(zhuān)門(mén)的安全研究領(lǐng)域，負(fù)責(zé)研究網(wǎng)絡(luò)授權(quán)、認(rèn)證、審計(jì)等與安全保護(hù)有關(guān)的協(xié)議和標(biāo)準(zhǔn)。目前，IETF有關(guān)信息安全的工作組有：BTNS（有點(diǎn)安全總比沒(méi)有強(qiáng)）、DKIM（域密鑰標(biāo)識(shí)郵件）、EMU（EAP方法改進(jìn)）、HOKEY（切換鍵控）、ISMS（關(guān)于SNMP的整套安全模型）、KEYPROV（對(duì)稱(chēng)密鑰的準(zhǔn)備）、KITTEN（下一代GSS-API）、KRB-WG（kerbero工作組）、LTANS（長(zhǎng)期歸檔和公證服務(wù)）、MSEC（組播安全）、NEA（網(wǎng)絡(luò)端點(diǎn)評(píng)價(jià)）、OPENPGP（關(guān)于PGP的開(kāi)放式規(guī)范）、PKIX（基于X.509的公鑰基礎(chǔ)設(shè)施）、SASL（簡(jiǎn)單鑒別和安全分層）、SMIME（S/MIME郵件安全）、SYSLOG（在網(wǎng)絡(luò)事件記錄方面的安全課題）、TLS（傳送層安全）等17個(gè)。第十三頁(yè)，共七十九頁(yè)。

截止到2006年底，有關(guān)安全方面的RFC有270多個(gè)。這些工業(yè)標(biāo)準(zhǔn)對(duì)提高和改善互聯(lián)網(wǎng)的安全性起到了至關(guān)重要的作用，如PKI、IPSec、TLS、PGP等方面的RFC成為了指導(dǎo)互聯(lián)網(wǎng)安全的重要文件。當(dāng)前IETF主要關(guān)注垃圾郵件處理、無(wú)線網(wǎng)絡(luò)安全、組播安全、安全審計(jì)、安全認(rèn)證、PKI、TLS等方面的問(wèn)題。

第十四頁(yè)，共七十九頁(yè)。2.2美國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)國(guó)家標(biāo)準(zhǔn)化協(xié)會(huì)（ANSI）

ANSI于20世紀(jì)80年代初開(kāi)始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作，共制定了3項(xiàng)美國(guó)國(guó)家標(biāo)準(zhǔn)。ANSI中技術(shù)委員會(huì)NCITS（即X3）負(fù)責(zé)信息技術(shù)，承擔(dān)著JTC1秘書(shū)處的工作，其中，分技術(shù)委員會(huì)T4專(zhuān)門(mén)負(fù)責(zé)IT安全技術(shù)標(biāo)準(zhǔn)化工作，對(duì)口JTC1的SC27。ANSI負(fù)責(zé)金融安全的X3（NCITS）、X9（負(fù)責(zé)制定金融業(yè)務(wù)標(biāo)準(zhǔn)）、X12（負(fù)責(zé)制定商業(yè)交易標(biāo)準(zhǔn)）等組織制定了很多有關(guān)數(shù)據(jù)加密、銀行業(yè)務(wù)安全和EDI安全等方面的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中，許多經(jīng)國(guó)際標(biāo)準(zhǔn)化組織反復(fù)討論后成為國(guó)際標(biāo)準(zhǔn)。已制定金融交易卡、密碼服務(wù)消息，以及實(shí)現(xiàn)商業(yè)交易安全等方面的安全標(biāo)準(zhǔn)10多個(gè)。

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）

NIST主要負(fù)責(zé)制定聯(lián)邦計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)和指導(dǎo)文件，所出版的標(biāo)準(zhǔn)和規(guī)范被稱(chēng)作聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）。FIPS安全標(biāo)準(zhǔn)也是美國(guó)軍用信息安全標(biāo)準(zhǔn)的重要來(lái)源。

第十五頁(yè)，共七十九頁(yè)。2.2美國(guó)信息安全標(biāo)準(zhǔn)化組織

FIPS由NIST在廣泛搜集政府各部門(mén)及私人部門(mén)的意見(jiàn)的基礎(chǔ)上寫(xiě)成。正式發(fā)布之前，將FIPS分送給每個(gè)政府機(jī)構(gòu)，并在”聯(lián)邦注冊(cè)”上刊印出版。經(jīng)再次征求意見(jiàn)之后，NIST局長(zhǎng)把標(biāo)準(zhǔn)連同NIST的建議一起呈送美國(guó)商業(yè)部，由商務(wù)部長(zhǎng)簽字劃押同意或反對(duì)這個(gè)標(biāo)準(zhǔn)。FIPS安全標(biāo)準(zhǔn)的一個(gè)著名實(shí)例就是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。從二十世紀(jì)70年代公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）開(kāi)始，NIST制定了一系列有關(guān)信息安全方面的聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS），美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定了大量與信息安全有關(guān)的非密敏感標(biāo)準(zhǔn)，截止到2006年底已制定了30多項(xiàng)信息安全相關(guān)的聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）和近120項(xiàng)信息安全相關(guān)的專(zhuān)題出版物（SP800系列和SP500系列），這些標(biāo)準(zhǔn)和指南涉及密碼算法、密碼模塊評(píng)測(cè)、信息系統(tǒng)評(píng)測(cè)、信息系統(tǒng)管理等多個(gè)方面，最常用的FIPS安全標(biāo)準(zhǔn)有DES、AES等。

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）第十六頁(yè)，共七十九頁(yè)。2.2美國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)電氣電工工程師協(xié)會(huì)（IEEE）

IEEE在網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化方面的貢獻(xiàn)主要包含兩個(gè)方面：一是電氣和電磁安全，如IEEEC2《國(guó)家電氣安全規(guī)程》等；另一方面是信息安全，提出了LAN/WAN安全（IEEE802.10）、WLAN安全（IEEE802.11i）和公鑰密碼（P1363）等方面的標(biāo)準(zhǔn)。從1990年IEEE成立802.11“無(wú)線局域網(wǎng)工作組”以來(lái)，相繼成立的802.15“無(wú)線個(gè)人網(wǎng)絡(luò)工作組”、802.16“無(wú)線寬帶網(wǎng)絡(luò)工作組”和802.20“移動(dòng)寬帶無(wú)線接入工作組”等在無(wú)線通信安全方面也作了大量的貢獻(xiàn)，如正在研制的IEEE802.11i。目前，IEEE主要關(guān)注WLAN安全、WiMAX安全、汽車(chē)電子安全等。第十七頁(yè)，共七十九頁(yè)。除上述主要的國(guó)際和地區(qū)性標(biāo)準(zhǔn)化組織外，3GPP、3GPP2、OMA（開(kāi)放移動(dòng)聯(lián)盟）、OASIS（結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織）、ATIS（電信工業(yè)解決方案聯(lián)盟）、ECMA（歐洲計(jì)算機(jī)制造商協(xié)會(huì)）等專(zhuān)業(yè)性標(biāo)準(zhǔn)組織以及英德等國(guó)也制定了一些安全標(biāo)準(zhǔn)。2.3國(guó)外其它信息安全標(biāo)準(zhǔn)化組織OMA在網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化方面，主要側(cè)重于數(shù)據(jù)業(yè)務(wù)。在OMA設(shè)有專(zhuān)門(mén)的技術(shù)委員會(huì)負(fù)責(zé)安全標(biāo)準(zhǔn)研究，即TCsecurity，目前主要關(guān)注無(wú)線公鑰基礎(chǔ)設(shè)施（WPKI）、在線證書(shū)狀態(tài)協(xié)議（OCSP）、應(yīng)用層安全、智能卡Web服務(wù)、移動(dòng)在線認(rèn)證以及在線密鑰生成等方面的研究。在OMA除TCsecurity外，還設(shè)有專(zhuān)門(mén)的技術(shù)委員會(huì)負(fù)責(zé)數(shù)字版權(quán)管理方面的研究。ATIS也設(shè)有一個(gè)技術(shù)工作委員會(huì)（IDSC），專(zhuān)門(mén)負(fù)責(zé)信息安全和數(shù)據(jù)安全方面的標(biāo)準(zhǔn)研究，主要在身份鑒別、數(shù)據(jù)保護(hù)、風(fēng)險(xiǎn)管理等方面，并出版了相應(yīng)的報(bào)告。

主要制定計(jì)算機(jī)及其相關(guān)應(yīng)用的標(biāo)準(zhǔn)和技術(shù)報(bào)告，經(jīng)常向ISO提交標(biāo)準(zhǔn)提案。JTC1的歐洲秘書(shū)處就設(shè)在ECMA。它有11個(gè)技術(shù)委員會(huì)，其中TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36——“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評(píng)估標(biāo)準(zhǔn)化框架，以及在開(kāi)放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。是歐洲地區(qū)性標(biāo)準(zhǔn)化組織，已頒布120多個(gè)網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)。其下屬技術(shù)委員會(huì)SAFETY（安全），主要研究電氣安全方面的標(biāo)準(zhǔn)；技術(shù)委員會(huì)ESI（電子簽名和基礎(chǔ)設(shè)施）主要研究電子簽名和PKI方面的標(biāo)準(zhǔn)；技術(shù)委員會(huì)LI（合法監(jiān)聽(tīng)）主要研究合法監(jiān)聽(tīng)方面的標(biāo)準(zhǔn)；特設(shè)組SAGE（安全算法專(zhuān)家組）負(fù)責(zé)研究密碼算法方面的標(biāo)準(zhǔn)，如GSM鑒權(quán)算法A3/A5算法。目前，ETSI主要關(guān)注電子簽名、合法監(jiān)聽(tīng)、移動(dòng)通信安全、NGN安全、安全算法和智能卡安全等。

主要制定計(jì)算機(jī)及其相關(guān)應(yīng)用的標(biāo)準(zhǔn)和技術(shù)報(bào)告，經(jīng)常向ISO提交標(biāo)準(zhǔn)提案。JTC1的歐洲秘書(shū)處就設(shè)在ECMA。它有11個(gè)技術(shù)委員會(huì)，其中TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36——“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評(píng)估標(biāo)準(zhǔn)化框架，以及在開(kāi)放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。3GPP在其業(yè)務(wù)和系統(tǒng)技術(shù)規(guī)范組下專(zhuān)門(mén)設(shè)置有工作組即WG3負(fù)責(zé)安全標(biāo)準(zhǔn)研究，3GPP2也在TSG-S業(yè)務(wù)和系統(tǒng)下設(shè)工作組WG4負(fù)責(zé)安全標(biāo)準(zhǔn)研究。此兩標(biāo)準(zhǔn)組織所研究的安全標(biāo)準(zhǔn)主要是與第三代移動(dòng)通信有關(guān)，主要涉及算法、安全架構(gòu)（如IMS安全架構(gòu)等）等。1.歐洲計(jì)算機(jī)生產(chǎn)商協(xié)會(huì)（ECMA）

2.歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）

3.3GPP

4.開(kāi)放移動(dòng)聯(lián)盟（OMA）

6.結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）

5.電信工業(yè)解決方案聯(lián)盟（ATIS）

其它信息安全標(biāo)準(zhǔn)化組織此外，英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（BSI）所制定的BS7799系列標(biāo)準(zhǔn)和德國(guó)的IT基線保護(hù)手冊(cè)也是國(guó)際上比較有影響力的安全標(biāo)準(zhǔn)。第十八頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）成立于2002年4月15日。它是ISO/IECJTC1SC27的國(guó)內(nèi)對(duì)口組織。信安標(biāo)委主要負(fù)責(zé)全國(guó)信息安全技術(shù)、安全機(jī)制、安全服務(wù)、安全管理和安全評(píng)估等領(lǐng)域的標(biāo)準(zhǔn)化工作，負(fù)責(zé)統(tǒng)一協(xié)調(diào)信息安全國(guó)家標(biāo)準(zhǔn)年度計(jì)劃項(xiàng)目的申報(bào)，并組織國(guó)家標(biāo)準(zhǔn)的送審和報(bào)批工作，是我國(guó)網(wǎng)絡(luò)與信息安全國(guó)家標(biāo)準(zhǔn)的牽頭組織。組織結(jié)構(gòu)

信安標(biāo)委的標(biāo)準(zhǔn)研究工作采用工作組的方式進(jìn)行，其組織結(jié)構(gòu)如圖所示。

第十九頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織工作組情況

委員會(huì)以開(kāi)放式的工作組為主體開(kāi)展信息安全標(biāo)準(zhǔn)的研究制定工作。由于工作組是根據(jù)信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)進(jìn)行設(shè)立的，這保證了各工作組任務(wù)的明確性和相互間的協(xié)調(diào)性。

WG1：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組任務(wù)：研究信息安全標(biāo)準(zhǔn)體系；跟蹤國(guó)際信息安全標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)；研究、分析國(guó)內(nèi)信息安全標(biāo)準(zhǔn)的應(yīng)用需求；研究并提出新工作項(xiàng)目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項(xiàng)目。負(fù)責(zé)標(biāo)準(zhǔn)體系研究和標(biāo)準(zhǔn)化協(xié)調(diào)。組長(zhǎng)：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所林寧工作組聯(lián)絡(luò)處：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所WG1開(kāi)展的研究項(xiàng)目：①信息安全標(biāo)準(zhǔn)體系的研究②電子政務(wù)標(biāo)準(zhǔn)化指南—第六部分：信息安全③信息安全標(biāo)準(zhǔn)術(shù)語(yǔ)第二十頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織WG2：涉密信息系統(tǒng)標(biāo)準(zhǔn)工作組

任務(wù)：負(fù)責(zé)涉密信息系統(tǒng)標(biāo)準(zhǔn)研究

組長(zhǎng)：組長(zhǎng)單位為國(guó)家保密局WG1開(kāi)展的研究項(xiàng)目：①涉密信息消除和介質(zhì)銷(xiāo)毀②信息安全保密產(chǎn)品技術(shù)要求和測(cè)試方法③涉密信息系統(tǒng)技術(shù)要求和測(cè)評(píng)④涉密信息系統(tǒng)管理WG3：密碼標(biāo)準(zhǔn)工作組任務(wù)：負(fù)責(zé)密碼相關(guān)國(guó)家標(biāo)準(zhǔn)研究

組長(zhǎng)：組長(zhǎng)單位為國(guó)家密碼管理局

正開(kāi)展的研究項(xiàng)目：①分組算法應(yīng)用接口規(guī)范②證書(shū)認(rèn)證系統(tǒng)密碼及相關(guān)安全技術(shù)規(guī)范③PCI密碼卡技術(shù)規(guī)范④ECC算法應(yīng)用接口規(guī)范⑤雜湊算法應(yīng)用接口規(guī)范第二十一頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織WG4：PKI/PMI工作組

任務(wù)：國(guó)內(nèi)外PKI/PMI標(biāo)準(zhǔn)體系的分析；研究PKI/PMI標(biāo)準(zhǔn)體系；國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研；完成一批PKI/PMI基礎(chǔ)性標(biāo)準(zhǔn)的制定工作。鑒別與授權(quán)工作組。主要負(fù)責(zé)PKI/PMI等方面的標(biāo)準(zhǔn)研究，已完成GB/T20518《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式》等10多個(gè)標(biāo)準(zhǔn)的研究。

組長(zhǎng)：中國(guó)科學(xué)院研究生院馮登國(guó)

副組長(zhǎng)：國(guó)家信息安全工程技術(shù)研究中心袁文恭、國(guó)家信息中心吳亞非工作組聯(lián)絡(luò)處：國(guó)家信息中心開(kāi)展的研究項(xiàng)目：①公開(kāi)密鑰和屬性證書(shū)框架(X.509)②時(shí)間戳規(guī)范③基于X509的證書(shū)管理協(xié)議④數(shù)字證書(shū)狀態(tài)查詢(xún)協(xié)議⑤PKI組件最小互操作規(guī)范⑥PKI安全支撐平臺(tái)等⑦證書(shū)認(rèn)證機(jī)構(gòu)運(yùn)營(yíng)管理規(guī)范

⑧證書(shū)載體應(yīng)用程序接口⑨基于X509的國(guó)內(nèi)數(shù)字證書(shū)格式規(guī)范⑩PKI系統(tǒng)安全保護(hù)等級(jí)技術(shù)要求第二十二頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織WG5：信息安全評(píng)估工作組

任務(wù)：調(diào)研國(guó)內(nèi)外測(cè)評(píng)標(biāo)準(zhǔn)現(xiàn)狀與發(fā)展趨勢(shì)；研究提出我國(guó)統(tǒng)一測(cè)評(píng)標(biāo)準(zhǔn)體系的思路和框架；研究提出信息系統(tǒng)和網(wǎng)絡(luò)的安全測(cè)評(píng)標(biāo)準(zhǔn)思路和框架；研究提出急需的測(cè)評(píng)標(biāo)準(zhǔn)項(xiàng)目和制定計(jì)劃。信息安全評(píng)估工作組。負(fù)責(zé)安全評(píng)估方面的標(biāo)準(zhǔn)研究，已完成網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券系統(tǒng)等應(yīng)用系統(tǒng)評(píng)估標(biāo)準(zhǔn)以及安全路由器、防火墻、入侵檢測(cè)系統(tǒng)等產(chǎn)品評(píng)估標(biāo)準(zhǔn)，正在開(kāi)展安全等級(jí)保護(hù)相關(guān)的評(píng)估標(biāo)準(zhǔn)研究。

組長(zhǎng)：解放軍信息安全測(cè)評(píng)認(rèn)證中心崔書(shū)昆副組長(zhǎng)：公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局景乾元、國(guó)家信息安全評(píng)測(cè)認(rèn)證中心李守鵬

工作組聯(lián)絡(luò)處：解放軍信息安全測(cè)評(píng)認(rèn)證中心第二十三頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織WG7：信息安全管理工作組

任務(wù)：信息安全管理標(biāo)準(zhǔn)體系的研究；國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研；完成一批信息安全管理相關(guān)基礎(chǔ)性標(biāo)準(zhǔn)的制定工作。已完成ISO/IEC13335.1-2、ISO/IEC17799等國(guó)際標(biāo)準(zhǔn)的采標(biāo)工作，正在開(kāi)展ISO/IEC27000系列標(biāo)準(zhǔn)的采標(biāo)工作，并正在研究風(fēng)險(xiǎn)管理、安全事件管理、災(zāi)難備份等。

組長(zhǎng)：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所王立建

工作組聯(lián)絡(luò)處：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所

WG7開(kāi)展的研究項(xiàng)目：①信息技術(shù)安全技術(shù)IT安全管理指南②信息技術(shù)信息安全管理實(shí)用規(guī)則③信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型(SSE-CMM)第二十四頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)制定情況

截止到2007年底，信安標(biāo)委成立后共開(kāi)展了115項(xiàng)國(guó)家標(biāo)準(zhǔn)的制定工作，有一半以上是自主研制的，目前有59項(xiàng)已完成制定，還有56項(xiàng)在研究制定中。在跟蹤研究國(guó)際標(biāo)準(zhǔn)的同時(shí)，我國(guó)積極為國(guó)際標(biāo)準(zhǔn)作貢獻(xiàn)。2007年我國(guó)提出的《信息安全管理體系審核指南》和《三元實(shí)體鑒別》兩項(xiàng)提案被SC27接受，成為國(guó)際標(biāo)準(zhǔn)新工作項(xiàng)目。

信安標(biāo)委未來(lái)工作重點(diǎn)

信息安全標(biāo)準(zhǔn)化工作在以后幾年中，在重點(diǎn)做好信息安全保障體系建設(shè)急需重要標(biāo)準(zhǔn)的同時(shí)，要重點(diǎn)抓好信息安全國(guó)家標(biāo)準(zhǔn)的宣貫和試點(diǎn)示范工作，推進(jìn)標(biāo)準(zhǔn)的實(shí)施應(yīng)用。

第二十五頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織公安信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)主要負(fù)責(zé)：規(guī)劃和制定計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)、應(yīng)用系統(tǒng)安全等級(jí)評(píng)估檢測(cè)、計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品、計(jì)算機(jī)信息系統(tǒng)安全管理等方面標(biāo)準(zhǔn)。公安部已發(fā)布了14個(gè)正式標(biāo)準(zhǔn)，主要涉及計(jì)算機(jī)病毒檢測(cè)、等級(jí)保護(hù)等方面，正在開(kāi)展等級(jí)保護(hù)方面的有近40個(gè)。公安信息安全標(biāo)準(zhǔn)體系圖如圖所示。

第二十六頁(yè)，共七十九頁(yè)。2.4我國(guó)信息安全標(biāo)準(zhǔn)化組織

此外，安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等相繼制定、頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn)，為推動(dòng)信息安全技術(shù)在各行業(yè)的應(yīng)用和普及發(fā)揮了積極的作用。

中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)

中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)（編號(hào)為T(mén)C8），負(fù)責(zé)組織開(kāi)展通信行業(yè)網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作。TC8現(xiàn)設(shè)有4個(gè)工作組有線網(wǎng)絡(luò)安全（WG1）、無(wú)線網(wǎng)絡(luò)安全（WG2）、安全管理（WG3）、安全基礎(chǔ)（WG4），另外還設(shè)有安全防護(hù)標(biāo)準(zhǔn)和綠色上網(wǎng)標(biāo)準(zhǔn)2個(gè)特設(shè)項(xiàng)目組。第二十七頁(yè)，共七十九頁(yè)。三、信息安全標(biāo)準(zhǔn)

體系

第二十八頁(yè)，共七十九頁(yè)。3.信息安全標(biāo)準(zhǔn)體系課題目標(biāo)至今，在世界范圍內(nèi)尚未形成統(tǒng)一的、公認(rèn)的標(biāo)準(zhǔn)體系結(jié)構(gòu)。但是許多國(guó)家、不同部門(mén)都在研究自身的信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)。（1）美國(guó)的體系結(jié)構(gòu)第二十九頁(yè)，共七十九頁(yè)。3.信息安全標(biāo)準(zhǔn)體系

WG1需求安全服務(wù)與指南標(biāo)準(zhǔn)（22項(xiàng)）WG2安全技術(shù)和機(jī)制標(biāo)準(zhǔn)（45項(xiàng)）WG3系統(tǒng)和產(chǎn)品安全評(píng)估與認(rèn)證標(biāo)準(zhǔn)（15項(xiàng)）ISO-JTC/SC27ISO-JTC/SC27（2）ISO標(biāo)準(zhǔn)體系結(jié)構(gòu)（截止到2007年底）第三十頁(yè)，共七十九頁(yè)。3.信息安全標(biāo)準(zhǔn)體系實(shí)體安全（A）環(huán)境安全（A10）設(shè)備安全（A20）媒體安全（A30）

運(yùn)行安全（B）風(fēng)險(xiǎn)分析（B10）審計(jì)跟蹤（B20）備份與恢復(fù)（B30）應(yīng)急（B40）應(yīng)急計(jì)劃輔助軟件（B41）應(yīng)急設(shè)施（B42）信息安全（C）操作系統(tǒng)安全（C10）安全操作系統(tǒng)（C11）操作系統(tǒng)安全部件（C12）數(shù)據(jù)庫(kù)安全（C20）安全數(shù)據(jù)庫(kù)系統(tǒng)（C21）數(shù)據(jù)庫(kù)系統(tǒng)安全部件（C22）網(wǎng)絡(luò)安全（C30）網(wǎng)絡(luò)安全管理（C31）安全網(wǎng)絡(luò)系統(tǒng)（C32）網(wǎng)絡(luò)系統(tǒng)安全部件（C33）（3）GA163-1997關(guān)于計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品分類(lèi)原則第三十一頁(yè)，共七十九頁(yè)。3.信息安全標(biāo)準(zhǔn)體系（4）一種信息安全產(chǎn)品與標(biāo)準(zhǔn)體系結(jié)構(gòu)草案1、網(wǎng)絡(luò)通信安全類(lèi)7、內(nèi)容安全類(lèi)2、身份鑒別類(lèi)8、基礎(chǔ)平臺(tái)與中間3、應(yīng)用安全類(lèi)9、惡意代碼防治類(lèi)4、監(jiān)控與審計(jì)類(lèi)10、密碼基礎(chǔ)類(lèi)5、安全隔離類(lèi)11、密碼設(shè)備類(lèi)6、數(shù)據(jù)安全類(lèi)12、密碼模塊類(lèi)第三十二頁(yè)，共七十九頁(yè)。3.信息安全標(biāo)準(zhǔn)體系（5）一種基于通用標(biāo)準(zhǔn)體系結(jié)構(gòu)的信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)國(guó)際級(jí)區(qū)域級(jí)企業(yè)級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)產(chǎn)品系統(tǒng)人員服務(wù)事件對(duì)象基礎(chǔ)技術(shù)工作管理內(nèi)容第三十三頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系信息安全技術(shù)標(biāo)準(zhǔn)體系框架

信息安全技術(shù)標(biāo)準(zhǔn)從總體上可劃分為六大類(lèi)：基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測(cè)評(píng)標(biāo)準(zhǔn)、密碼技術(shù)標(biāo)準(zhǔn)和保密技術(shù)標(biāo)準(zhǔn)，在每一大類(lèi)的基礎(chǔ)上，可按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容進(jìn)行細(xì)分。信息安全技術(shù)標(biāo)準(zhǔn)體系總體框架如圖所示。

圖3.1信息安全技術(shù)標(biāo)準(zhǔn)體系總體框架

第三十四頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)體系介紹基礎(chǔ)標(biāo)準(zhǔn)

：圖3.2基礎(chǔ)標(biāo)準(zhǔn)體系框架第三十五頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第三十六頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第三十七頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系技術(shù)與機(jī)制標(biāo)準(zhǔn)圖3.3技術(shù)與機(jī)制標(biāo)準(zhǔn)體系框架技術(shù)與機(jī)制標(biāo)準(zhǔn)包括標(biāo)識(shí)與鑒別、授權(quán)與訪問(wèn)控制、實(shí)體管理和物理安全技術(shù)標(biāo)準(zhǔn)，體系框架如圖所示。

第三十八頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第三十九頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十一頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十二頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系圖4.4信息安全管理標(biāo)準(zhǔn)體系框架信息安全管理標(biāo)準(zhǔn)

：技術(shù)與機(jī)制標(biāo)準(zhǔn)包括標(biāo)識(shí)與鑒別、授權(quán)與訪問(wèn)控制、實(shí)體管理和物理安全技術(shù)標(biāo)準(zhǔn)，體系框架如圖所示。

第四十三頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十四頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系信息安全測(cè)評(píng)標(biāo)準(zhǔn)

：信息安全測(cè)評(píng)標(biāo)準(zhǔn)包括測(cè)評(píng)基礎(chǔ)標(biāo)準(zhǔn)、產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)和系統(tǒng)測(cè)評(píng)標(biāo)準(zhǔn)，信息安全測(cè)評(píng)標(biāo)準(zhǔn)體系框架如圖5.5所示。如圖所示。

第四十五頁(yè)，共七十九頁(yè)。第四十六頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十七頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十八頁(yè)，共七十九頁(yè)。3.2我國(guó)信息安全標(biāo)準(zhǔn)體系第四十九頁(yè)，共七十九頁(yè)。四、主要信息安全

標(biāo)準(zhǔn)介紹第五十頁(yè)，共七十九頁(yè)。BS7799系列（ISO/IEC27000系列）?BS7799Part1的全稱(chēng)是CodeofPracticeforInformationSecurity，也即為信息安全的實(shí)施細(xì)則。2000年被采納為ISO/IEC17799，目前其最新版本為2005版，也就是ISO17799:2005。ISO/IEC17799:2005通過(guò)層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個(gè)安全管理要素，還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施（最佳實(shí)踐），供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開(kāi)發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。

?BS7799Part2的全稱(chēng)是InformationSecurityManagementSpecification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC27001:2005，ISO/IEC27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。

第五十一頁(yè)，共七十九頁(yè)。ISO/IECTR13335系列

ISO/IECTR13335系列標(biāo)準(zhǔn)（舊版）－GMITS，由5部分標(biāo)準(zhǔn)組成：

?ISO/IEC13335-1:1996《IT安全的概念與模型》

?ISO/IEC13335-2:1997《IT安全管理與策劃》

?ISO/IEC13335-3:1998《IT安全管理技術(shù)》

?ISO/IEC13335-4:2000《防護(hù)措施的選擇》

?ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》

目前，ISO/IEC13335-1:1996已經(jīng)被新的ISO/IEC13335-1:2004（MICTS第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC13335-2:1997也將被正在開(kāi)發(fā)的ISO/IEC13335-2（MICTS第2部分：信息安全風(fēng)險(xiǎn)管理）取代。

ISO/IECTR13335只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，信息安全體系建設(shè)參考BS7799，具體實(shí)踐參考ISOTR13335。

第五十二頁(yè)，共七十九頁(yè)。SSE-CMM

SSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局(NSA)領(lǐng)導(dǎo)開(kāi)發(fā)的，是專(zhuān)門(mén)用于系統(tǒng)安全工程的能力成熟度模型。

SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評(píng)估方法2.0版發(fā)布。

系統(tǒng)安全工程過(guò)程一共有三個(gè)相關(guān)組織過(guò)程：

?工程過(guò)程

?風(fēng)險(xiǎn)過(guò)程

?保證過(guò)程

共分5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)域：

?基本執(zhí)行級(jí)

?計(jì)劃跟蹤級(jí)?充分定義級(jí)?量化控制級(jí)

?持續(xù)改進(jìn)級(jí)

2002年被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC21827:2002《信息技術(shù)系統(tǒng)安全工程－成熟度模型》。

SSE-CMM和BS7799都提出了一系列最佳慣例，但BS7799是一個(gè)認(rèn)證標(biāo)準(zhǔn)（第二部分），提出了一個(gè)可供認(rèn)證的ISMS體系，組織應(yīng)該將其作為目標(biāo)，通過(guò)選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤?shí)現(xiàn)。而SSE-CMM則是一個(gè)評(píng)估標(biāo)準(zhǔn)，適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn)

第五十三頁(yè)，共七十九頁(yè)。通用標(biāo)準(zhǔn)CC(ISO/IEC15408)我們通常所稱(chēng)的通用標(biāo)準(zhǔn)或通用準(zhǔn)則（CommonCriteria，簡(jiǎn)稱(chēng)CC）是指ISO/IEC15408:1999標(biāo)準(zhǔn)。目前CC標(biāo)準(zhǔn)的最新版本是2.2；CC2.1版在1999年成為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408:1999；我國(guó)在2001年等同采用為國(guó)家標(biāo)準(zhǔn)GB/T18336－2001。

CC標(biāo)準(zhǔn)由三個(gè)部分組成：

?GB/T18336.1－2001idtISO/IEC15408-1:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型?GB/T18336.2－2001idtISO/IEC15408-2:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求

?GB/T18336.3－2001idtISO/IEC15408-3:1999信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求

與BS7799標(biāo)準(zhǔn)相比，CC的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評(píng)價(jià)上，BS7799在闡述信息安全管理要求時(shí)，并沒(méi)有強(qiáng)調(diào)技術(shù)細(xì)節(jié)。因此，組織在依照BS7799標(biāo)準(zhǔn)來(lái)實(shí)施ISMS時(shí)，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC標(biāo)準(zhǔn)。

第五十四頁(yè)，共七十九頁(yè)。ITIL和BS15000

ITIL的全稱(chēng)是信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（InformationTechnologyInfrastructureLibrary）。ITIL針對(duì)一些重要的IT實(shí)踐，詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。

IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（ServiceDelivery）和服務(wù)支持（ServiceSupport）

服務(wù)交付（ServiceDelivery）：

?ServiceLevelManagement

?FinancialManagementforITService

?CapacityManagement

?ITServiceContinuityManagement

?AvailabilityManagement

服務(wù)支持（ServiceSupport）：

?ServiceDesk

?IncidentManagement

?ProblemManagement

?ConfigurationManagement

?ChangeManagement

?ReleaseManagement

2001年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)在國(guó)際IT服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。這成為IT服務(wù)管理領(lǐng)域具有歷史意義的重大事件。

BS15000有兩個(gè)部分，目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。

?ISO/IEC20000-1:2005信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Informationtechnologyservicemanagement.SpecificationforServiceManagement）

?ISO/IEC20000-2:2005信息技術(shù)服務(wù)管理-服務(wù)管理最佳實(shí)踐（Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement）

與BS7799相比，ITIL關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799作為ITIL在信息安全方面的補(bǔ)充，同時(shí)引入ITIL流程的方法，以此加強(qiáng)信息安全管理的實(shí)施能力。

第五十五頁(yè)，共七十九頁(yè)。CoBIT

CoBIT的全稱(chēng)是信息和相關(guān)技術(shù)的控制目標(biāo)（ControlObjectivesforInformationandrelatedTechnology），是ITGI提出的IT治理模型（ITGovernance)，是一個(gè)IT控制和IT治理的框架（Framework）。CobiT是一個(gè)在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的IT治理模型。

CoBIT的八個(gè)控制過(guò)程：

?計(jì)劃和組織（Planning&Organisation）

?采購(gòu)和實(shí)施（Acquisition&Implementation）

?交付和支持（Delivery&Support）

?監(jiān)視和評(píng)估（Monitoring&Evaluation）

CoBIT的七個(gè)控制目標(biāo)：

?機(jī)密性（Confidentiality）

?完整性（Integrity）

?可用性（Availability）

?有效性（Effectiveness）

?高效性（Efficiency）

?可靠性（Reliability）

?符合性（Compliance）

目前基本上存在著兩類(lèi)控制模型，一類(lèi)是類(lèi)似COSO這樣的商業(yè)控制模式（businesscontrolmodel），另一類(lèi)則是像BS7799這樣的更關(guān)注IT的控制模型（morefocusedonITcontrolmodel），而CoBIT的目標(biāo)是在兩者之間架起一座橋梁。第五十六頁(yè)，共七十九頁(yè)。NISTSP800系列

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（NationalInstituteofStandardsandTechnology，NIST）發(fā)布的SpecialPublication800文檔是一系列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南，其中有多篇是有關(guān)信息安全管理的，包括：

?SP800-12：計(jì)算機(jī)安全介紹（AnIntroductiontoComputerSecurity:TheNISTHandbook）

?SP800-30：IT系統(tǒng)風(fēng)險(xiǎn)管理指南（RiskManagementGuideforInformationTechnologySystems）

?SP800-34：IT系統(tǒng)應(yīng)急計(jì)劃指南（ContingencyPlanningGuideforInformationTechnologySystems）

?SP800-26：IT系統(tǒng)安全自我評(píng)估指南（SecuritySelf-AssessmentGuideforInformationTechnologySystems）

這些文件可以作為實(shí)施ISMS過(guò)程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照（例如風(fēng)險(xiǎn)評(píng)估、應(yīng)急計(jì)劃等），是對(duì)BS7799標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。

第五十七頁(yè)，共七十九頁(yè)。五、信息安全標(biāo)準(zhǔn)化研究熱點(diǎn)第五十八頁(yè)，共七十九頁(yè)。2006年5月8日至17日，ISO/IECJTC1/SC27第32屆工作組會(huì)議與與全體會(huì)議在西班牙召開(kāi)。

WG1

（1）WG1工作組會(huì)議對(duì)WG1和WG4標(biāo)準(zhǔn)項(xiàng)目的預(yù)留編號(hào)范圍進(jìn)行了初步劃定：27000～27009留予WG1的ISMS標(biāo)準(zhǔn)族，27010～27019留予ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔，27030～27039則為WG4安全服務(wù)系列標(biāo)準(zhǔn)編號(hào)；（2）根據(jù)SC27第17次全體會(huì)議決議，ISO/IECJTC1/SC27要求其秘書(shū)處確認(rèn)當(dāng)前標(biāo)準(zhǔn)ISO/IEC17799將在2007年4月重新編號(hào)為ISO/IEC27002。為了進(jìn)一步推進(jìn)ISMS標(biāo)準(zhǔn)族的形成，SC27將調(diào)整后的WG1工作組的主要工作范圍劃定在對(duì)ISMS的研究制定和維護(hù)管理上，同時(shí)為促進(jìn)ISMS的國(guó)際互認(rèn)，對(duì)《信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求》進(jìn)行了重點(diǎn)研究和討論;（3）基于ISO17021形成的ISO/IEC27006《信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求》的制定速度明顯加快。SC27/WG1聯(lián)合ITU-T和TC215的專(zhuān)家會(huì)同IAF/EACC及ISOCASCO成立了一個(gè)小規(guī)模的聯(lián)合任務(wù)組，負(fù)責(zé)ISO/IEC27006的起草編制。

2006年JTC1/SC27會(huì)議信息安全標(biāo)準(zhǔn)熱點(diǎn)跟蹤

第五十九頁(yè)，共七十九頁(yè)。WG3

本次WG3會(huì)議熱點(diǎn)問(wèn)題仍然是與產(chǎn)品有關(guān)的安全評(píng)估標(biāo)準(zhǔn)，通用準(zhǔn)則(CC)標(biāo)準(zhǔn)的發(fā)展問(wèn)題是本次WG3會(huì)議的討論重點(diǎn)。（1）與產(chǎn)品有關(guān)的測(cè)試評(píng)估標(biāo)準(zhǔn)(包括通用準(zhǔn)則(CC），通用評(píng)估方法(CEM)等)的修訂是WG3的主要議題。根據(jù)WG3路線圖，會(huì)議在目前項(xiàng)目研究狀況和研制計(jì)劃的基礎(chǔ)上，WG3將下列3個(gè)方面作為近期工作新領(lǐng)域：密碼模塊確認(rèn)/認(rèn)證方法；加密協(xié)議的驗(yàn)證；評(píng)價(jià)證據(jù)的產(chǎn)生指南。（2）把下列5個(gè)方面作為中長(zhǎng)期工作的新領(lǐng)域：質(zhì)量認(rèn)證一致性要求；基于角色的訪問(wèn)控制；安全系統(tǒng)設(shè)計(jì)；加密協(xié)議的驗(yàn)證；篡改防范的要求與評(píng)價(jià)。第六十頁(yè)，共七十九頁(yè)。

（3）CC仍然是國(guó)際上產(chǎn)品測(cè)試與認(rèn)證的主要依據(jù)，這次會(huì)議仍然致力于CC的推廣、進(jìn)一步擴(kuò)大國(guó)際互認(rèn)。如果經(jīng)過(guò)修改的CC、通用評(píng)估方法(CEM)、保護(hù)輪廓/安全目標(biāo)(PP/ST)的產(chǎn)生指南等標(biāo)準(zhǔn)在ISO/IEC得到通過(guò)，將會(huì)對(duì)CCDB的運(yùn)作機(jī)制產(chǎn)生比較大的影響。WG3已經(jīng)開(kāi)始提前著手修訂CC-2005和CEM-2005。會(huì)議根據(jù)2005年10月推出CC3.0版，針對(duì)CCDB提出的意見(jiàn)，討論研究了CC標(biāo)準(zhǔn)的進(jìn)一步發(fā)展問(wèn)題。爭(zhēng)論集中在CC的第2部分和第3部分(低等級(jí)保護(hù)的表述問(wèn)題）。會(huì)議擬訂了對(duì)CC、CEM、PP&ST產(chǎn)生指南等重要標(biāo)準(zhǔn)進(jìn)行修訂的計(jì)劃，并給定了各編制階段詳細(xì)的時(shí)間結(jié)點(diǎn)。ISO15408:2005和ISO8045:2005已經(jīng)開(kāi)始著手修訂，預(yù)計(jì)今年11月份形成CD。PP&ST的產(chǎn)生指南，也已進(jìn)入修訂階段，并將原計(jì)劃發(fā)布標(biāo)準(zhǔn)的時(shí)間由2008年11月推遲到2009年5月。對(duì)于CC互認(rèn)問(wèn)題，WG3在馬來(lái)西亞會(huì)議上提議撤銷(xiāo)PP注冊(cè)程序。此次會(huì)議SC27再次強(qiáng)調(diào)了ISO對(duì)標(biāo)準(zhǔn)形式的態(tài)度，指出ISO不會(huì)采用注冊(cè)的方式來(lái)形成一個(gè)ISO文件，PP在ISO存在的形式只能是按照ISO產(chǎn)生國(guó)際標(biāo)準(zhǔn)的程序，最終形成國(guó)際標(biāo)準(zhǔn)?？梢灶A(yù)見(jiàn)的CC的廣泛的國(guó)際互認(rèn)應(yīng)該還有很長(zhǎng)的路要走。第六十一頁(yè)，共七十九頁(yè)。

（4）基于世界各國(guó)對(duì)生物特征識(shí)別技術(shù)的應(yīng)用日益廣泛的現(xiàn)實(shí)，SC27對(duì)與生物特征識(shí)別相關(guān)的安全技術(shù)標(biāo)準(zhǔn)也愈加重視。WG3決定啟動(dòng)一個(gè)為期6個(gè)月的工作組研究課題，專(zhuān)門(mén)研究生物特征識(shí)別技術(shù)的評(píng)價(jià)方法；WG2完成了一個(gè)使用生物特征識(shí)別技術(shù)產(chǎn)生數(shù)字簽名的研究課題，同時(shí)啟動(dòng)了一個(gè)與生物特征識(shí)別數(shù)據(jù)鑒別有關(guān)的標(biāo)準(zhǔn)研究課題。WG1

2007年5月2日至12日，ISO/IECJTC1/SC27第34屆工作組會(huì)議與與全體會(huì)議在俄羅斯召開(kāi)。來(lái)自英國(guó)、美國(guó)、瑞典、日本和中國(guó)等20個(gè)國(guó)家和地區(qū)的40余名代表出席了該會(huì)議。主要討論熱點(diǎn)如下：

本次會(huì)議從標(biāo)準(zhǔn)制修訂、新標(biāo)準(zhǔn)立項(xiàng)和路線圖研究等幾個(gè)方面，共召開(kāi)了8個(gè)專(zhuān)題會(huì)議，包括：

2007年JTC1/SC27會(huì)議信息安全標(biāo)準(zhǔn)熱點(diǎn)跟蹤

第六十二頁(yè)，共七十九頁(yè)。

①I(mǎi)SO/IEC27000-ISMS概述和詞匯；

②ISO/IEC27003-ISMS實(shí)施指南；

③ISO/IEC27004-ISMS測(cè)量；④ISO/IEC27005-ISMS風(fēng)險(xiǎn)管理；

⑤ISO/IEC27007-ISMS審核指南；

⑥特定行業(yè)(Sector-Specific)ISMS標(biāo)準(zhǔn)；

⑦WG1/WG4聯(lián)合會(huì)議；⑧WG1路線圖。（1）WG1在2006年11月第33屆會(huì)議上啟動(dòng)了ISMS審核指南的研究項(xiàng)目，在相關(guān)意見(jiàn)和提案的基礎(chǔ)上，審核指南是繼ISMS要求標(biāo)準(zhǔn)(ISO/IEC27001)之后的重要標(biāo)準(zhǔn)之一，預(yù)計(jì)未來(lái)幾年內(nèi)將成為WG1討論的重點(diǎn)。（2）如何針對(duì)不同領(lǐng)域、不同專(zhuān)業(yè)部門(mén)提出具體的信息安全控制目標(biāo)和控制要求，并形成相應(yīng)行業(yè)的ISMS國(guó)際標(biāo)準(zhǔn)，是本次討論的熱點(diǎn)，也將成為未來(lái)幾年發(fā)展的新方向。目前，ISO/IEC27011《電信信息安全管理指南》已被確定為新工作項(xiàng)目。《彩票業(yè)ISMS標(biāo)準(zhǔn)》和《汽車(chē)工業(yè)ISMS標(biāo)準(zhǔn)》被確準(zhǔn)，將成為未來(lái)幾年發(fā)展的新方向。第六十三頁(yè)，共七十九頁(yè)。第六十四頁(yè)，共七十九頁(yè)。第六十五頁(yè)，共七十九頁(yè)。本次會(huì)議主要內(nèi)容包括四個(gè)方面：①標(biāo)準(zhǔn)的例行編制工作；②可能影響國(guó)際標(biāo)準(zhǔn)的新情況討論；③新項(xiàng)目討論④討論SC27/WG2路線圖。（1）自2006年5月SC27工作組及全體會(huì)議后，WG2更名為密碼與安全機(jī)制工作組，并及時(shí)啟動(dòng)了幾個(gè)新的預(yù)研項(xiàng)目，這些項(xiàng)目反映了JTC1、SC27和WG2對(duì)基礎(chǔ)安全機(jī)制和算法的關(guān)注點(diǎn)，國(guó)內(nèi)應(yīng)關(guān)注相關(guān)工作的進(jìn)展情況，尤其是對(duì)”低功耗加密”應(yīng)高度關(guān)注?！钡凸募用堋笔怯蒘C27的上級(jí)機(jī)構(gòu)─JTC1直接下達(dá)的研究任務(wù)，反映了國(guó)際上對(duì)移動(dòng)和嵌入式計(jì)算環(huán)境下加密技術(shù)的高度關(guān)注。本次會(huì)議上，中國(guó)代表團(tuán)做了”三元對(duì)等鑒別和訪問(wèn)控制”的專(zhuān)題報(bào)告，經(jīng)過(guò)專(zhuān)家的交流與討論，WG2初步接受了我國(guó)的提案，設(shè)立了”三元實(shí)體鑒別”新的研究項(xiàng)目。受中國(guó)提案的影響，WG2提出今后要將”多元實(shí)體鑒別”相關(guān)標(biāo)準(zhǔn)列入今后的路線圖中。WG2第六十六頁(yè)，共七十九頁(yè)。（2）在WG2工作路線圖中，提出2010年前要大力開(kāi)展橢圓曲線密碼技術(shù)標(biāo)準(zhǔn)的研究和開(kāi)發(fā)，2010～2015年將重點(diǎn)開(kāi)展量子密碼技術(shù)標(biāo)準(zhǔn)化工作。再綜合WG2更名為”密碼與安全機(jī)制工作組”、《密碼模塊安全技術(shù)要求》標(biāo)準(zhǔn)的發(fā)布以及《密碼模塊測(cè)試要求》等項(xiàng)目的確立這些情況，可以看出SC27正在逐步加大密碼技術(shù)標(biāo)準(zhǔn)的研究與制定工作。WG3（1）本次會(huì)議重點(diǎn)對(duì)去年10月南非會(huì)議以來(lái)修改的ISO/IEC15446《保護(hù)輪廓和安全目標(biāo)產(chǎn)生指南》、ISO/IEC15443-3《IT安全保障框架第3部分保障方法分析》、ISO/IEC24759《密碼模塊測(cè)試要求》和ISO/IEC19792《生物特征安全評(píng)估》等4項(xiàng)標(biāo)準(zhǔn)的文本進(jìn)行深入研究，逐條分析了各成員國(guó)提出的意見(jiàn)，并確定了處理辦法。第六十七頁(yè)，共七十九頁(yè)。（2）在工作組路線圖中除了目前正在研究的ISO/IEC15408《IT安全評(píng)估準(zhǔn)則》、ISO/IEC15443《IT安全保障框架》、ISO/IEC15446《安全目標(biāo)和保護(hù)輪廓產(chǎn)生指南》、ISO/IEC18045《安全評(píng)估方法》、ISO/IEC19790《密碼模塊安全要求》、ISO/IEC24759《密碼模塊測(cè)試要求》、ISO/IEC19791《運(yùn)行系統(tǒng)安全評(píng)估》、ISO/IEC19792《生物特征識(shí)別技術(shù)安全測(cè)試評(píng)估框架》和ISO/IEC21827《系統(tǒng)安全工程能力成熟度模型》等標(biāo)準(zhǔn)項(xiàng)目外，還提出了擬新增加《密碼協(xié)議驗(yàn)證》、《評(píng)估證據(jù)產(chǎn)生指南》、《合格評(píng)定要求的融合》、《安全系統(tǒng)設(shè)計(jì)》、《篡改保護(hù)要求與評(píng)估》等研究領(lǐng)域。從這些新設(shè)立的研究領(lǐng)域可以看出，SC27將在信息安全評(píng)估的互認(rèn)和應(yīng)用安全評(píng)估方面做更多的工作。

第六十八頁(yè)，共七十九頁(yè)。《IT安全保障框架》《IT安全評(píng)估準(zhǔn)則》《安全目標(biāo)和保護(hù)輪廓產(chǎn)生指南》《安全評(píng)估方法》《運(yùn)行系統(tǒng)安全評(píng)估》第六十九頁(yè)，共七十九頁(yè)。WG4（1）WG4安全控制與服務(wù)工作組是2006年創(chuàng)立的新工作組，去年秋天召開(kāi)第一次會(huì)議，其主要關(guān)注點(diǎn)在信息和通訊技術(shù)的安全，標(biāo)準(zhǔn)項(xiàng)目包括ISO/IEC18028系列網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、ISO/IEC18043《選擇、部署和運(yùn)行入侵檢測(cè)系統(tǒng)(IDS)》、ISO/IEC18044《信息安全事件管理》、ISO/IEC24762《信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南》。研究項(xiàng)目包括事件響應(yīng)相關(guān)標(biāo)準(zhǔn)、信息網(wǎng)絡(luò)空間(Cyber)安全標(biāo)準(zhǔn)、可信第三方服務(wù)標(biāo)準(zhǔn)、業(yè)務(wù)連續(xù)性的信息通信技術(shù)標(biāo)準(zhǔn)和應(yīng)用安全結(jié)構(gòu)標(biāo)準(zhǔn)等。（2）WG4負(fù)責(zé)的標(biāo)準(zhǔn)和項(xiàng)目正在整合之中，這次會(huì)議已經(jīng)取得了一些初步的共識(shí)，將標(biāo)準(zhǔn)按大類(lèi)整合，形成幾個(gè)比較系統(tǒng)的標(biāo)準(zhǔn)?！缎畔踩录憫?yīng)》、《信息通信技術(shù)的業(yè)務(wù)連續(xù)性》、《信息網(wǎng)絡(luò)空間(Cyber)安全》項(xiàng)目里的”反間諜軟件”、”反垃圾郵件”、”反釣魚(yú)”、”網(wǎng)際安全事件合作與信息共享”和《應(yīng)用安全結(jié)構(gòu)》項(xiàng)目的”安全應(yīng)用結(jié)構(gòu)”、”應(yīng)用安全保障”、”代理/服務(wù)應(yīng)用安全”、”移動(dòng)代理應(yīng)用安全”等內(nèi)容也都是世界各國(guó)和業(yè)界關(guān)注的重點(diǎn)領(lǐng)域，這些應(yīng)用安全標(biāo)準(zhǔn)可能將會(huì)成為新的熱點(diǎn)領(lǐng)域。