CISP-22-信息安全標(biāo)準(zhǔn)-new課件

信息安全標(biāo)準(zhǔn)中國(guó)信息安全測(cè)評(píng)中心目錄標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介國(guó)際、外國(guó)、我國(guó)信息安全標(biāo)準(zhǔn)化機(jī)構(gòu)信息安全相關(guān)國(guó)際標(biāo)準(zhǔn)和指南信息安全相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)和指南一些補(bǔ)充材料一、標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介國(guó)家標(biāo)準(zhǔn)：GB/TXXXX.X-200XGBXXXX-200X行業(yè)標(biāo)準(zhǔn)：GA，GJB

地方標(biāo)準(zhǔn)：DBXX/TXXX-200X DBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：QXXX-XXX-200X標(biāo)準(zhǔn)化基礎(chǔ)知識(shí)（1/4）標(biāo)準(zhǔn)化基礎(chǔ)知識(shí)（2/4）標(biāo)準(zhǔn)化：為在一定的范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)則的活動(dòng)實(shí)質(zhì)：通過(guò)制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，達(dá)到統(tǒng)一。目的：獲得最佳秩序和社會(huì)效益。意義：促進(jìn)和帶動(dòng)產(chǎn)業(yè)發(fā)展；解決安全互聯(lián)互通。國(guó)際級(jí)區(qū)域級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員服務(wù)系統(tǒng)產(chǎn)品過(guò)程管理應(yīng)用技術(shù)機(jī)制體系、框架術(shù)語(yǔ)XYZX軸代表標(biāo)準(zhǔn)化對(duì)象Y軸代表標(biāo)準(zhǔn)化的內(nèi)容Z軸代表標(biāo)準(zhǔn)化的級(jí)別。標(biāo)準(zhǔn)化基礎(chǔ)知識(shí)（3/4）標(biāo)準(zhǔn)化三維空間我國(guó)通行“標(biāo)準(zhǔn)化八字原理”：“統(tǒng)一”原理“簡(jiǎn)化”原理“協(xié)調(diào)”原理“最優(yōu)”化原理標(biāo)準(zhǔn)化基礎(chǔ)知識(shí)（4/4）標(biāo)準(zhǔn)化管理性質(zhì)標(biāo)準(zhǔn)化提供的事公共服務(wù)，依法管理標(biāo)準(zhǔn)化管理的性質(zhì)是國(guó)家公共行政行為。標(biāo)準(zhǔn)化的管理標(biāo)準(zhǔn)化管理機(jī)構(gòu)國(guó)務(wù)院授權(quán)履行行政管理職能，主管機(jī)構(gòu)是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)（StandardizationAdministrationofthePeople’sRepublicofChina，簡(jiǎn)稱：SAC）標(biāo)準(zhǔn)的制定全國(guó)專(zhuān)業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)是由國(guó)家標(biāo)準(zhǔn)化主管機(jī)構(gòu)依法組建的專(zhuān)家型技術(shù)組織我國(guó)標(biāo)準(zhǔn)化管理和組織機(jī)構(gòu)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，http:///

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信息安全標(biāo)委會(huì)，TC260），/

全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信標(biāo)委,英文縮寫(xiě)為CITS），負(fù)責(zé)全國(guó)信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對(duì)應(yīng)的標(biāo)準(zhǔn)化工作。

http:///

全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱金標(biāo)委），負(fù)責(zé)金融系統(tǒng)標(biāo)準(zhǔn)化技術(shù)歸口管理工作和國(guó)際標(biāo)準(zhǔn)化組織中銀行與相關(guān)金融業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（ISO/TC68、TC222）的歸口管理工作。

http:///

我國(guó)標(biāo)準(zhǔn)工作歸口單位標(biāo)準(zhǔn)化基礎(chǔ)采標(biāo)：等同采用IDT（identical）修改采用MOD（modified）非等效采用NEQ（notequivalent）IT標(biāo)準(zhǔn)化IT標(biāo)準(zhǔn)發(fā)展趨勢(shì)(1)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向發(fā)展。(2)信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。(3)信息技術(shù)標(biāo)準(zhǔn)化的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。(4)從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、安全等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向發(fā)展。二、國(guó)際、外國(guó)、我國(guó)信息安全標(biāo)準(zhǔn)化機(jī)構(gòu)信息安全標(biāo)準(zhǔn)化組織

國(guó)際標(biāo)準(zhǔn)——ISO（國(guó)際標(biāo)準(zhǔn)化組織）由146個(gè)國(guó)家標(biāo)準(zhǔn)成員（每個(gè)國(guó)家一個(gè)）組成的世界聯(lián)盟建立于1947（）2.952技術(shù)成員190技術(shù)委員會(huì)(TCs)、544子委員會(huì)(SCs)、2.188工作組(WGs)工作成果發(fā)布為國(guó)際標(biāo)準(zhǔn)（IS）同安全相關(guān)的機(jī)構(gòu)ISO/IECJTC1/SC27：IT安全技術(shù)ISOTC68“金融服務(wù)（FinancialServices）”ISOTC215“健康醫(yī)療學(xué)（HealthInformatics）”國(guó)際信息安全相關(guān)組織（1/4）ISOJTC1其他分技術(shù)委員會(huì)：SC6—系統(tǒng)間通信與信息交換SC17—識(shí)別卡和有關(guān)設(shè)備SC18—文件處理及有關(guān)通信SC21—開(kāi)放系統(tǒng)互連，數(shù)據(jù)管理和開(kāi)放式分布處理SC22—程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的安全標(biāo)準(zhǔn)。SC30—開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。國(guó)際信息安全相關(guān)組織（2/4）

IECTC56可靠性；TC74IT設(shè)備安全和功效；TC77電磁兼容；CISPR無(wú)線電干擾特別委員會(huì)

ITU前身是CCITT消息處理系統(tǒng)目錄系統(tǒng)(X.400系列、X.500系列)安全框架安全模型等標(biāo)準(zhǔn)國(guó)際信息安全相關(guān)組織（3/4）IETF（170多個(gè)RFC、12個(gè)工作組）PGP開(kāi)發(fā)規(guī)范(openpgp)；鑒別防火墻遍歷(aft)；通用鑒別技術(shù)(cat)；域名服務(wù)系統(tǒng)安全(dnssec)；IP安全協(xié)議(ipsec)；一次性口令鑒別(otp)；X.509公鑰基礎(chǔ)設(shè)施(pkix)；S/MIME郵件安全(smime)；安全Shell(secsh)；簡(jiǎn)單公鑰基礎(chǔ)設(shè)施(spki)；傳輸層安全(tls)Web處理安全(wts)國(guó)際信息安全相關(guān)組織（4/4）IEEESILS（LAN/WAN）安全P1363公鑰密碼標(biāo)準(zhǔn)ECMA(歐洲計(jì)算機(jī)廠商協(xié)會(huì))TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36——“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。外國(guó)信息安全標(biāo)準(zhǔn)化組織（1/2）美國(guó)ANSINCITS-T4制定IT安全技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPS-197NISTSpecialPublication800系列DOD負(fù)責(zé)涉密信息NSA國(guó)防部指令（DODI）（如TCSEC）英國(guó)BS7799醫(yī)療衛(wèi)生信息系統(tǒng)安全加拿大計(jì)算機(jī)安全管理日本JIS國(guó)家標(biāo)準(zhǔn)JISC工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)韓國(guó)KISA負(fù)責(zé)防火墻、IDS、PKI方面標(biāo)準(zhǔn)外國(guó)信息安全標(biāo)準(zhǔn)化組織（2/2）我國(guó)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

TC2602002年4月15日成立共54個(gè)標(biāo)準(zhǔn)（2007年1月31日更新）其中2002年前21個(gè)標(biāo)準(zhǔn)目前分為6個(gè)工作組：WG1:標(biāo)準(zhǔn)體系與協(xié)調(diào)WG2:涉密WG3:密碼WG4:標(biāo)識(shí)與鑒別WG5:信息安全評(píng)估WG7：信息安全管理三、信息安全相關(guān)國(guó)際標(biāo)準(zhǔn)和指南詞匯安全體系結(jié)構(gòu)安全框架安全模型GB/T5271.8-2000信息技術(shù)詞匯第8部分：安全GB/T9387.2-1995開(kāi)放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)ISO/IEC10181-1~7開(kāi)放系統(tǒng)的安全框架GB/T17965高層安全模型GB/T18231低層安全模型ISO/IEC15443-1IT安全保障框架IATF信息保障技術(shù)框架ISO/IEC11586-1~6通用高層安全網(wǎng)絡(luò)層安全GJB2256-1994軍用計(jì)算機(jī)安全術(shù)語(yǔ)RFC2401因特網(wǎng)安全體系結(jié)構(gòu)ISO/IEC7498-4管理框架傳輸層安全信息安全基礎(chǔ)標(biāo)準(zhǔn)信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)的歷史和發(fā)展1985年美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則（TCSEC）1999年GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則2001年GB/T18336信息技術(shù)安全性評(píng)估準(zhǔn)則1991年歐洲信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）1989年英國(guó)可信級(jí)別標(biāo)準(zhǔn)（MEMO3DTI）德國(guó)評(píng)估標(biāo)準(zhǔn)（ZSEIC）法國(guó)評(píng)估標(biāo)準(zhǔn)（B-W-RBOOK）1993年美國(guó)NIST的MSFR1993年加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCEC）1993年美國(guó)聯(lián)邦準(zhǔn)則（FC

1.0）國(guó)際

通用評(píng)估準(zhǔn)則1996年，CC

1.01998年，CC2.01999年，CC2.11999年國(guó)際標(biāo)準(zhǔn)ISO/IEC

15408可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）信息安全技術(shù)的里程碑1985年作為美國(guó)國(guó)防部標(biāo)準(zhǔn)（DoD）發(fā)布（DoD5200.28-STD）桔皮書(shū)簡(jiǎn)介主要為軍用標(biāo)準(zhǔn)。延用至民用。主要針對(duì)主機(jī)型分時(shí)操作系統(tǒng)，主要關(guān)注保密性安全級(jí)別主要按功能分類(lèi)安全級(jí)別從高到低分為A、B、C、D四級(jí)，級(jí)下再分小級(jí)，包含D、C1、C2、B1、B2、B3、A1這7個(gè)級(jí)別。后發(fā)展為彩虹系列彩虹系列桔皮書(shū)：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則黃皮書(shū)：桔皮書(shū)的應(yīng)用指南紅皮書(shū)：可信網(wǎng)絡(luò)解釋紫皮書(shū)：可信數(shù)據(jù)庫(kù)解釋。。?？尚庞?jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）D:最小保護(hù)MinimalProtectionC1:自主安全保護(hù)DiscretionarySecurityProtectionC2:訪問(wèn)控制保護(hù)ControlledAccessProtectionB1:安全標(biāo)簽保護(hù)LabeledSecurityProtectionB2:結(jié)構(gòu)化保護(hù)StructuredProtectionB3:安全域保護(hù)SecurityDomainA1:驗(yàn)證設(shè)計(jì)保護(hù)VerifiedDesign低保證系統(tǒng)高保證系統(tǒng)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）

安全級(jí)別可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）

缺陷集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過(guò)為嚴(yán)格，不便于實(shí)際開(kāi)發(fā)和測(cè)評(píng)信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分。功能準(zhǔn)則在測(cè)定上分10級(jí)。1－5級(jí)對(duì)應(yīng)于TCSEC的C1到B3。6－10級(jí)加上了以下概念：F-IN：數(shù)據(jù)和程序的完整性F-AV：系統(tǒng)可用性F-DI：數(shù)據(jù)通信完整性F-DC：數(shù)據(jù)通信保密性F-DX包括保密性和完整性的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則分為6級(jí)：E1：測(cè)試E2：配置控制和可控的分配E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼E4：詳細(xì)的脆弱性分析E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng)E6：設(shè)計(jì)與源碼在形式上一致。信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）

與TCSEC的不同安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開(kāi)對(duì)產(chǎn)品和系統(tǒng)的評(píng)估都適用，提出評(píng)估對(duì)象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCEC）加拿大，1989年公布，專(zhuān)為政府需求而設(shè)計(jì)與ITSEC類(lèi)似，將安全分為功能性需求和保證性需要兩部分。功能性要求分為四個(gè)大類(lèi)：a保密性b完整性c可用性d可控性在每種安全需求下又分成很多小類(lèi)，表示安全性上的差別，分級(jí)條數(shù)為0－5級(jí)。美國(guó)聯(lián)邦準(zhǔn)則(FC)對(duì)TCSEC的升級(jí)1992年12月公布引入了“保護(hù)輪廓（PP）”這一重要概念每個(gè)輪廓都包括功能部分、開(kāi)發(fā)保證部分和評(píng)測(cè)部分。分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)。供美國(guó)政府用、民用和商用。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則第一級(jí)用戶自主保護(hù)級(jí)→ 自主保護(hù)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)→ 指導(dǎo)保護(hù)第三級(jí)安全標(biāo)記保護(hù)級(jí)→ 監(jiān)督保護(hù)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí) → 強(qiáng)制保護(hù)

第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)→ 專(zhuān)控保護(hù)通用準(zhǔn)則（CC）GB/T18336國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1993年開(kāi)始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國(guó)際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓”，將評(píng)估過(guò)程分“功能”和“保證”兩部分；是目前最全面的評(píng)價(jià)準(zhǔn)則通用準(zhǔn)則（CC）國(guó)際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)一組規(guī)則集一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn)通用測(cè)試方法（CEM）已有安全準(zhǔn)則的總結(jié)和兼容通用的表達(dá)方式，便于理解靈活的架構(gòu)可以定義自己的要求擴(kuò)展CC要求準(zhǔn)則今后發(fā)展的框架評(píng)測(cè)級(jí)別對(duì)應(yīng)GB/T18336CCGB17859TCSECCTCPECITSECDT-0E0EAL1-T-1-EAL2第一級(jí)C1T-2E1EAL3第二級(jí)C2T-3E2EAL4第三級(jí)B1T-4E3EAL5第四級(jí)B2T-5E4EAL6第五級(jí)B3T-6E5EAL7A1T-7E6保證功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E5E6D級(jí)C1級(jí)C2級(jí)B1級(jí)B2級(jí)B3級(jí)A1級(jí)F-C1級(jí)F-C2級(jí)F-B1級(jí)F-B2級(jí)F-B3級(jí)HP-UNIX(VV)Winnt3.5Winnt4.0Win2000評(píng)測(cè)級(jí)別對(duì)應(yīng)IATF信息安全保障技術(shù)框架IATF—分層多點(diǎn)深度防御IATF—分層多點(diǎn)深度防御

技術(shù)保護(hù)區(qū)域保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保衛(wèi)邊界保衛(wèi)計(jì)算環(huán)境支撐性基礎(chǔ)設(shè)施IATF—分層多點(diǎn)深度防御

攻擊類(lèi)型描述被動(dòng)攻擊被動(dòng)攻擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動(dòng)攻擊可能造成在沒(méi)有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個(gè)人的信用卡號(hào)碼和醫(yī)療檔案等。主動(dòng)攻擊主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。物理臨近攻擊是指一未被授權(quán)的個(gè)人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對(duì)信息的訪問(wèn)。內(nèi)部人員攻擊內(nèi)部人員攻擊可以分為惡意或無(wú)惡意攻擊。前者指內(nèi)部人員對(duì)信息的惡意破壞或不當(dāng)使用，或使他人的訪問(wèn)遭到拒絕；后者指由于粗心、無(wú)知以及其它非惡意的原因而造成的破壞。軟硬件裝配分發(fā)攻擊指在工廠生產(chǎn)或分銷(xiāo)過(guò)程中對(duì)硬件和軟件進(jìn)行的惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼，比如后門(mén)。信息安全管理標(biāo)準(zhǔn)概述ISO/IECJTC1SC27

安全技術(shù)子委員會(huì)介紹ISO/IECJTC1SC27的名稱是“IT安全技術(shù)”。其工作領(lǐng)域是IT安全的通用方法和技術(shù)，包括：為IT安全服務(wù)識(shí)別通用要求（包括要求方法）；開(kāi)發(fā)安全技術(shù)和機(jī)制（包括注冊(cè)流程以及安全組件的關(guān)系）；開(kāi)發(fā)安全指南（例如，解釋文件、風(fēng)險(xiǎn)分析）；以及開(kāi)發(fā)管理支持文件和標(biāo)準(zhǔn)（例如，術(shù)語(yǔ)和安全評(píng)估準(zhǔn)則）。JTC1/SC27–IT安全技術(shù)子委員會(huì)的活動(dòng)超過(guò)80個(gè)項(xiàng)目（其他幾乎50個(gè)是活躍的）超過(guò)50個(gè)發(fā)布的信息安全標(biāo)準(zhǔn)近2年發(fā)展尤其活躍和迅猛WG5“隱私、標(biāo)識(shí)和生物測(cè)定技術(shù)安全”ISO/IECJTC1SC27工作組方向評(píng)估指南技術(shù)產(chǎn)品系統(tǒng)過(guò)程環(huán)境WG1“ISMS”WG2“密碼技術(shù)和安全機(jī)制”WG3“安全評(píng)估”WG4“安全控制和服務(wù)”已發(fā)布ISO/IEC27001:2005

信息安全管理系統(tǒng)——要求ISO/IEC27002:2005(ISO/IEC17799)

信息安全管理實(shí)踐準(zhǔn)則ISO/IEC27006:2007

RequirementsfortheaccreditationofbodiesprovidingcertificationofISMSISO/IEC13335

信息和通信技術(shù)安全的管理ISO/IECTR13335

IT安全管理指南即將發(fā)布ISO/IEC27000:2006

信息安全管理系統(tǒng)基礎(chǔ)和詞匯表目前狀態(tài)：1stCDISO/IEC27003:2007

信息安全管理系統(tǒng)實(shí)施指南目前狀態(tài)：3rdWDISO/IEC27004:2006

信息安全管理測(cè)量目前狀態(tài)：1stCDISO/IEC27005:2007

信息安全風(fēng)險(xiǎn)管理目前狀態(tài)：FCDISO/IEC27007

信息安全管理系統(tǒng)審計(jì)師指南目前狀態(tài)：尚未批準(zhǔn)WG1：信息安全管理系統(tǒng)（ISMS）參考文件：SC27StandingDocument7(SD7)CATALOGUEOFISO/IECJTC1/SC27PROJECTSANDSTANDARDS(SC27N5717)，2007-04-24ISMS

概述和詞匯表ISO/IEC27000:2008?(ISO/IEC13335-1)ISMS

測(cè)量

ISO/IEC27004:2008?風(fēng)險(xiǎn)管理

BS7799-3:2006ISO/IEC27005:2007?(ISO/IECTR13335-3:1998)ISMS要求

ISO/IEC27001:2005(BS7799-2:2002)ISMS

實(shí)踐準(zhǔn)則

ISO/IEC27002:2005(ISO/IEC17799)ISMS實(shí)施指南

ISO/IEC27003:2008?ISMS審計(jì)師指南ISO/IEC27007?ISMS

認(rèn)證體制

ISO/IEC27006:2007(EA7/03)ISO/IEC27000標(biāo)準(zhǔn)族特定標(biāo)準(zhǔn)和指南附錄A信息安全管理標(biāo)準(zhǔn)概述

西方發(fā)達(dá)國(guó)家的信息安全管理標(biāo)準(zhǔn)西方發(fā)達(dá)國(guó)家的信息安全管理標(biāo)準(zhǔn)英國(guó)（BSI）BS7799BS15000美國(guó)（NIST）NISTSP的以下一些標(biāo)準(zhǔn)指南信息安全管理標(biāo)準(zhǔn)

BS7799BS7799標(biāo)準(zhǔn)BS7799-1

信息安全管理導(dǎo)則（codeofpracticeforinformationsecuritymanagement），現(xiàn)已成為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799。BS7799-2：信息安全管理系統(tǒng)規(guī)范（specificationforinformationsecuritymanagementsystems），27001。BS7799-3：信息安全風(fēng)險(xiǎn)評(píng)估，27005。ISO/IEC17799:2005年第2版，27002。ISO/IEC17799:2005標(biāo)準(zhǔn)結(jié)構(gòu)前言0引言1范圍2術(shù)語(yǔ)和定義3本標(biāo)準(zhǔn)的組織結(jié)構(gòu)4風(fēng)險(xiǎn)評(píng)估和處置5安全策略6信息安全的組織結(jié)構(gòu)7資產(chǎn)管理8人力資源安全9物理和環(huán)境安全10通信和運(yùn)行管理11訪問(wèn)控制12信息系統(tǒng)采購(gòu)、開(kāi)發(fā)和維護(hù)13信息安全事故管理14業(yè)務(wù)持續(xù)性管理15符合性信息安全管理系統(tǒng)規(guī)范

PDCA模型應(yīng)用于ISMS過(guò)程ISO/IEC13335ISO/IECTR13335系列：GMITS（IT安全管理指南）系列標(biāo)準(zhǔn)ISO/IECTR13335-1:1996，第1部分：IT安全概念和模型；ISO/IECTR13335-2:1997，第2部分：管理和規(guī)劃IT安全；ISO/IECTR13335-3:1998，第3部分：IT安全管理技術(shù)；ISO/IECTR13335-4:2000，第4部分：保護(hù)措施的選擇；ISO/IECTR13335-5:2001，第5部分：網(wǎng)絡(luò)安全管理指南。ISO/IECIS13335系列：MICTS（信息和通信技術(shù)安全管理）ISO/IEC13335-1:2004第1部分：信息和通信技術(shù)安全管理概念和模型ISO/IEC13335第1部分綜合了原先ISO/IECTR13335的第1和第2部分。ISO/IEC13335-2，第2部分：信息和通信技術(shù)安全風(fēng)險(xiǎn)管理技術(shù)ISO/IEC13335第2部分目前還在草案階段，計(jì)劃于2006年作為國(guó)際標(biāo)準(zhǔn)正式發(fā)布。ISO/IEC13335第2部分綜合了原先ISO/IECTR13335的第3和第4部分。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)NIST

相關(guān)管理標(biāo)準(zhǔn)指南美國(guó)NIST相關(guān)管理標(biāo)準(zhǔn)指南NISTSP800系列是NIST根據(jù)美國(guó)聯(lián)邦信息安全管理法案（FISMA2002）所賦予的法定職責(zé)所開(kāi)發(fā)的系列文件，即NIST負(fù)責(zé)為除國(guó)家安全系統(tǒng)之外的所有政府機(jī)關(guān)開(kāi)發(fā)保護(hù)政府機(jī)關(guān)運(yùn)行和資產(chǎn)的標(biāo)準(zhǔn)、指南。NISTSP800系列中通信息安全管理相關(guān)的文件：NISTSP800-53：聯(lián)邦信息系統(tǒng)推薦安全控制NISTSP800-18：開(kāi)發(fā)IT系統(tǒng)安全計(jì)劃指南NISTSP800-30：IT系統(tǒng)風(fēng)險(xiǎn)管理指南NISTSP800-34：IT系統(tǒng)業(yè)務(wù)持續(xù)性規(guī)劃指南NISTSP800-50：建立信息安全意識(shí)和培訓(xùn)管理。。。ISO/IEC21827信息安全工程能力成熟度模型

SSE-CMM1993年4月美國(guó)國(guó)家安全局（NSA）開(kāi)始醞量1996年10月出版了SSE-CMM模型的第一個(gè)版本，1997年4月出版了評(píng)定方法的第一個(gè)版本。從1996年6月到1997年6月進(jìn)行許多實(shí)驗(yàn)項(xiàng)目1999年4月出版了第二版。目前，SSE-CMMV3.02002年，ISO/IECIS21827ISO/IEC21827信息安全工程能力成熟度模型

SSE-CMM定義SSE-CMM是系統(tǒng)安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel）的縮寫(xiě)，它描述了一個(gè)組織的安全工程過(guò)程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證。理論基礎(chǔ)現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品。目的SSE-CMM項(xiàng)目的目標(biāo)是促進(jìn)安全工程成為一個(gè)確定的、成熟的和可度量的科目。通過(guò)區(qū)分投標(biāo)者的能力級(jí)別和相關(guān)的計(jì)劃風(fēng)險(xiǎn)來(lái)選擇合格的安全工程提供商；工程組把投資集中在安全工程工具、培訓(xùn)、過(guò)程定義、管理實(shí)施和改進(jìn)上；基于能力的保證，也就是說(shuō)，信賴是基于對(duì)工程組織安全工程實(shí)踐和過(guò)程成熟的信心ISO/IEC21827信息安全工程能力成熟度模型

概念和評(píng)估PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10域方面能力方面能力級(jí)別公共特征通用實(shí)施過(guò)程類(lèi)基礎(chǔ)實(shí)施過(guò)程區(qū)ISO/IEC21827信息安全工程能力成熟度模型

安全工程過(guò)程保證論據(jù)風(fēng)險(xiǎn)信息產(chǎn)品或服務(wù)工程過(guò)程Engineering保證過(guò)程Assurance風(fēng)險(xiǎn)過(guò)程Risk安全基本實(shí)施PA01-管理安全控制PA02-評(píng)估影響PA03-評(píng)估安全風(fēng)險(xiǎn)PA04-評(píng)估威脅PA05-評(píng)估脆弱性PA06-建立保證論據(jù)PA07-協(xié)調(diào)安全PA08-監(jiān)視安全態(tài)勢(shì)PA09-提供安全輸入PA10-指定安全要求PA11-驗(yàn)證和確認(rèn)安全計(jì)劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過(guò)程協(xié)調(diào)安全實(shí)施執(zhí)行已定義的過(guò)程建立可測(cè)量的質(zhì)量目標(biāo)客觀地管理過(guò)程的執(zhí)行1非正式執(zhí)行2計(jì)劃與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行基本實(shí)施改進(jìn)組織能力改進(jìn)過(guò)程的有效性能力級(jí)別

代表安全工程組織的成熟級(jí)別

公共特性其他相關(guān)標(biāo)準(zhǔn)系列ITIL框架是IT服務(wù)的一個(gè)廣泛接受的框架。它為IT服務(wù)提供和IT服務(wù)管理等提供了規(guī)范、指南和最佳實(shí)踐；CoBIT模型是ISACA協(xié)會(huì)所提供的一個(gè)IT審計(jì)和治理的框架。它為信息系統(tǒng)審計(jì)和治理提供了一整套的控制目標(biāo)、管理措施、審計(jì)指南等。IT服務(wù)管理—ITIL（IT基礎(chǔ)設(shè)施庫(kù)）信息系統(tǒng)審計(jì)領(lǐng)域

CoBIT—信息和相關(guān)技術(shù)的控制目標(biāo)四、信息安全相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)和指南我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)體系基礎(chǔ)標(biāo)準(zhǔn)：4個(gè)方面技術(shù)與機(jī)制標(biāo)準(zhǔn)：4個(gè)方面管理標(biāo)準(zhǔn)：4個(gè)方面測(cè)評(píng)標(biāo)準(zhǔn)：3個(gè)方面基礎(chǔ)標(biāo)準(zhǔn)：安全術(shù)語(yǔ)體系與模型保密技術(shù)密碼技術(shù)技術(shù)與機(jī)制標(biāo)準(zhǔn)標(biāo)識(shí)與鑒別授權(quán)與訪問(wèn)控制管理技術(shù)物理安全管理標(biāo)準(zhǔn)管理基礎(chǔ)管理要素管理技巧工程與服務(wù)測(cè)評(píng)標(biāo)準(zhǔn)評(píng)估基礎(chǔ)產(chǎn)品評(píng)估系統(tǒng)評(píng)估我國(guó)信息安全標(biāo)準(zhǔn)1999年發(fā)布了10項(xiàng)2000年發(fā)布了8項(xiàng)2001年發(fā)布了5項(xiàng)2002年發(fā)布了4項(xiàng)2003年發(fā)布了6項(xiàng)2004年無(wú)2005年發(fā)布了14項(xiàng)2006年發(fā)布了16項(xiàng)2007年發(fā)布了3項(xiàng)目前有效標(biāo)準(zhǔn)共54項(xiàng)，正在制定的還有34項(xiàng)。1999年發(fā)布的信息安全國(guó)標(biāo)（1/2）GB/T15843.1-1999信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分：概述GB/T15843.4-1999信息技術(shù)安全技術(shù)實(shí)體鑒別第4部分：采用密碼校驗(yàn)函數(shù)的機(jī)制GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T17901.1-1999信息技術(shù)安全技術(shù)密鑰管理第1部分：框架GB/T17902.1-1999信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第1部分：框架GB/T17903.1-1999信息技術(shù)安全技術(shù)抗抵賴第1部分：框架1999年發(fā)布的信息安全國(guó)標(biāo)（2/2）GB/T17903.2-1999信息技術(shù)安全技術(shù)抗抵賴第2部分：使用對(duì)稱技術(shù)的機(jī)制GB/T17903.3-1999信息技術(shù)安全技術(shù)抗抵賴第3部分：使用非對(duì)稱技術(shù)的機(jī)制GB/T18019-1999信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求2000年發(fā)布的信息安全國(guó)標(biāo)（1/2）GB/T17963-2000信息技術(shù)開(kāi)放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議GB/T17964-2000信息技術(shù)安全技術(shù)n位塊密碼算法的操作方式GB/T17965-2000信息技術(shù)開(kāi)放系統(tǒng)互連高層安全模型GB/T18231-2000信息技術(shù)低層安全模型GB/T18237.1-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層安全第1部分：概述、模型和記法2000年發(fā)布的信息安全國(guó)標(biāo)（2/2）GB/T18237.2-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層安全第2部分：安全交換服務(wù)元素（SESE）服務(wù)定義GB/T18237.3-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層安全第3部分：安全交換服務(wù)元素（SESE）協(xié)議規(guī)范GB/T18238.1-2000信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述2001年發(fā)布的信息安全國(guó)標(biāo)GB/T18336.1信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型GB/T18336.2信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求GB/T18336.3信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求GB4943-2001信息技術(shù)設(shè)備的安全GB/T5271.8信息技術(shù)詞匯第8部分：安全2002年發(fā)布的信息安全國(guó)標(biāo)GB/T18238.2-2002信息技術(shù)安全技術(shù)散列函數(shù)第2部分：采用n位塊密碼的散列函數(shù)GB/T18238.3-2002信息技術(shù)安全技術(shù)散列函數(shù)第3部分：專(zhuān)用散列函數(shù)GB/T18794.1-2002信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第1部分：概述GB/T18794.2-2002信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第2部分：鑒別框架

2003年發(fā)布的信息安全國(guó)標(biāo)GB/T18237.4-2003信息技術(shù)開(kāi)放系統(tǒng)互連通用高層安全第4部分：保護(hù)傳送語(yǔ)法規(guī)范GB/T18794.3-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第3部分：訪問(wèn)控制框架GB/T18794.4-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第4部分：抗抵賴框架GB/T18794.5-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第5部分：機(jī)密性框架GB/T18794.6-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第6部分：完整性框架GB/T18794.7-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第7部分：安全審計(jì)和報(bào)警框架2005年發(fā)布的信息安全國(guó)標(biāo)（1/3）GB/T15843.5-2005信息技術(shù)安全技術(shù)實(shí)體鑒別第5部分：使用零知識(shí)技術(shù)的機(jī)制GB/T16264.8-2005信息技術(shù)開(kāi)放系統(tǒng)互連目錄第8部分：公鑰和屬性證書(shū)框架GB/T17902.2-2005信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第2部分：基于身份的機(jī)制GB/T17902.3-2005信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第3部分：基于證書(shū)的機(jī)制GB/T19713-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議2005年發(fā)布的信息安全國(guó)標(biāo)（2/3）GB/T19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型GB/T19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全GB/T19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范2005年發(fā)布的信息安全國(guó)標(biāo)（3/3）GB/T20008-2005信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20009-2005信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20010-2005信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則GB/T20011-2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則2006年發(fā)布的信息安全國(guó)標(biāo)（1/3）GB/T20261-2006信息技術(shù)系統(tǒng)安全工程能力成熟度模型；GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)安全基礎(chǔ)技術(shù)要求》GB/T20271-2006信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求2006年發(fā)布的信息安全國(guó)標(biāo)（2/3）GB/T20274.1-2006《信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》；《信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第二部分：技術(shù)保障》；《信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第三部分：管理保障》；《信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第四部分：工程保障》；GB/T20275-2006信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20276-2006信息技術(shù)安全技術(shù)

智能卡嵌入式軟件安全技術(shù)要求（EAL4增強(qiáng)級(jí)）2006年發(fā)布的信息安全國(guó)標(biāo)（3/3）GB/T20277-2006信息安全技術(shù)網(wǎng)絡(luò)和端設(shè)備隔離部件測(cè)評(píng)方法GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20279-2006信息安全技術(shù)網(wǎng)絡(luò)和端設(shè)備隔離部件技術(shù)要求GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/Z20283-2006信息技術(shù)安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南2007年發(fā)布的信息安全國(guó)標(biāo)GB/T20518-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式》GB/T20519-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范》GB/T20520-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范》正在報(bào)批和研制的（1/4）《信息技術(shù)安全技術(shù)