信息安全标准-信息安全

合集下载

网络与信息安全标准精选(最新)

网络与信息安全标准精选(最新)

网络与信息安全标准精选(最新)

网络与信息安全标准精选(最新)

1·引言

网络与信息安全成为了当今信息社会不可忽视的重要问题。为确保网络与信息系统能够正常运行,保护企业和用户的重要数据,制定和遵守相关安全标准是必不可少的。本文档总结了网络与信息安全的相关标准,以指导机构和个人在构建和维护安全的网络与信息系统中的行为。

2·网络安全标准

2·1 网络架构与设计标准

●定义网络边界和安全区域

●设计网络拓扑和安全策略

●确保网络设备和协议的安全性

2·2 网络访问控制标准

●配置访问控制列表(ACL)

●实施身份验证和授权机制

●监测和审计网络访问行为

2·3 网络流量管理标准

●配置网络流量控制策略

●分析和管理网络流量

●部署入侵检测和防御系统

2·4 网络安全事件响应标准

●建立和维护安全事件响应团队

●制定网络安全事件响应流程

●收集和分析安全事件数据

3·信息安全标准

3·1 信息保密性标准

●加密重要的信息存储和传输

●确保访问控制和权限管理

●定期进行信息安全检查和评估3·2 信息完整性标准

●采取控制措施防止信息的非法篡改●确保信息备份和恢复的可用性

●实施数据完整性检查和验证机制

3·3 信息可用性标准

●实施灾备和容灾机制,确保信息系统可持续运行

●保护网络和系统免受拒绝服务攻击

●制定容量规划和性能优化策略

4·法律名词及注释

4·1 个人信息保护法:指保障公民个人信息安全,保护公民个人信息权益的法律法规。

4·2 计算机信息系统安全保护条例:指针对计算机信息系统的安全保护工作,制定的法律法规。

4·3 网络安全法:指为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,维护网络经济秩序和社会秩序,促进网络和信息技术的健康发展,制定的法律法规。

信息安全管理体系标准

信息安全管理体系标准

信息安全管理体系标准

信息安全管理体系标准(Information Security Management System,ISMS)是

指为了保护信息资产,确保信息系统安全运行,防范各类信息安全风险而建立的一套制度、方法和流程。它是企业信息安全管理的基础,也是企业信息安全保障的核心。

首先,信息安全管理体系标准的制定是企业信息安全保障的基础。企业在日常

运营中会涉及大量的信息资产,包括客户信息、财务数据、商业机密等,这些信息资产的安全对企业的发展和生存至关重要。而信息安全管理体系标准的制定可以帮助企业建立起一套完善的信息安全管理制度,明确各部门的责任和权限,确保信息资产得到有效保护。

其次,信息安全管理体系标准的实施可以有效防范各类信息安全风险。随着互

联网的发展,信息安全面临着越来越多的挑战,如网络攻击、数据泄露、恶意软件等。而信息安全管理体系标准可以帮助企业建立起一套完善的风险评估和应对机制,及时发现和应对各类安全威胁,保障信息资产的安全。

此外,信息安全管理体系标准的持续改进也是企业信息安全保障的重要环节。

随着信息技术的不断发展和变革,信息安全风险也在不断演变,因此企业需要不断改进和完善自身的信息安全管理体系标准,以适应新的安全挑战和需求,确保信息资产的持续安全。

总的来说,信息安全管理体系标准对企业的重要性不言而喻。它不仅是企业信

息安全保障的基础,也是企业应对各类信息安全风险的有效手段。因此,企业应该高度重视信息安全管理体系标准的制定和实施,不断完善和改进自身的信息安全管理体系,以确保信息资产的安全和可靠性。只有这样,企业才能在激烈的市场竞争中立于不败之地,实现长期稳定的发展。

网络信息安全等级与标准2023简版

网络信息安全等级与标准2023简版

网络信息安全等级与标准

网络信息安全等级与标准

1. 简介

网络信息安全是现代社会中的重要问题,随着信息技术的快速发展和互联网的普及应用,网络安全等级与标准变得越来越重要。本文将介绍网络信息安全等级与标准的概念、作用以及相关方面的内容。

2. 网络信息安全等级和标准的概念

2.1 网络信息安全等级

网络信息安全等级是指根据一定的标准和要求,将网络安全的重要性分为不同的等级。在不同的安全等级下,需要采取不同的安全措施和管理措施来保护网络信息的安全。网络信息安全等级的设定可以帮助机构和个人更好地了解网络安全的需求,并采取相应的防护措施。

2.2 网络信息安全标准

网络信息安全标准是指通过制定一系列的规定和要求,对网络信息安全进行评估和监管。网络信息安全标准可以帮助机构和个人识别网络安全风险,确定相应的安全措施,并指导网络安全管理工作的实施。

3. 网络信息安全等级的作用

3.1 提供安全保障

网络信息安全等级的设定可以帮助机构和个人了解网络安全的风险和威胁,从而采取相应的措施保护网络信息的安全。不同等级的安全措施可以提供不同程度的安全保障,确保网络信息不受未经授权的访问、恶意攻击和数据泄露的威胁。

3.2 促进互联互通

网络信息安全等级的统一标准可以促进不同网络之间的互联互通。通过遵循相同的安全标准,不同网络可以建立起互信机制,实现信息的安全传输和共享。这对于推动信息化进程、促进经济发展具有重要意义。

3.3 规范网络运营

网络信息安全等级的设定可以帮助规范网络运营行为。各级网络安全等级的要求和标准可以引导网络运营者加强安全管理,落实网络安全责任,提高网络安全的整体水平。

信息安全标准的分级与分类

信息安全标准的分级与分类

信息安全标准的分级与分类

信息安全标准的分级与分类是为了根据信息系统的安全性需求,确定相应的安全保护措施和控制要求。下面是一般情况下的信息安全标准分级与分类:

1. 一般信息安全级别:适用于一般的商业机构、个人用户等,要求对信息系统进行基本的保护,包括密码管理、网络防火墙、入侵检测等基本安全措施。

2. 重要信息安全级别:适用于政府机关、金融机构、国防军事等涉及国家安全和核心利益的部门和行业。要求对信息系统进行更严格的保护,包括加密通信、访问控制、数据备份和恢复等高级安全措施。

3. 机密信息安全级别:适用于特定的国家安全、军事、科研等领域,要求对信息系统进行最高级别的保护,包括物理安全控制、密钥管理、安全审计等严格的安全措施。

根据实际情况,各个国家和组织可能会有不同的信息安全标准和分类体系,例如ISO 27001信息安全管理体系标准就是一个国际上被广泛采用的标准。此外,根据不同行业的特殊需求,还可以制定专门的信息安全标准和分类,例如医疗行业的HIPAA标准、金融行业的PCI DSS 标准等。

总的来说,信息安全标准的分级与分类是为了根据信息系统所涉及的数据敏感性、安全需求和行业特点,确定相应的安全措施和要求,以保护信息系统免受潜在的威胁和风险。

信息安全的国际标准

信息安全的国际标准

信息安全的国际标准

随着互联网的快速发展和信息技术的广泛应用,信息安全问题日益凸显,对于个人、组织和国家都具有重要意义。为了确保信息系统的安全性,各国纷纷制定了一系列的信息安全国际标准来指导和规范信息安全工作。本文将介绍一些重要的信息安全国际标准。

ISO/IEC 27001是信息安全管理系统(ISMS)的国际标准。该标准指导组织建立、实施、运行、监控、维护和改进信息安全管理系统,以保护组织的信息资产。ISO/IEC 27001包含了一个适用于任何类型和规模组织的通用框架,该框架帮助组织根据其特定的信息安全风险和法规要求来制定安全措施。

ISO/IEC 27002是信息技术安全技术参考,为信息安全管理体系提供了一系列的最佳实践。该标准涵盖了信息安全管理的各个方面,包括组织安全政策、人员安全、资产管理、访问控制、密码管理、物理和环境安全、通信和运营管理等。组织可以依据ISO/IEC 27002来制定自己的信息安全管理控制措施,以满足ISO/IEC 27001的要求。

PCI DSS是针对支付卡行业的信息安全标准。PCI DSS由支付卡行业安全标准理事会(PCI SSC)制定,适用于接受、存储、处理和传输持卡人数据的组织。该标准要求组织建立和维护安全的支付环境,以保护持卡人数据的机密性和完整性。符合PCI DSS的组织可以提供更安全的支付服务,增加持卡人的信任度。

GDPR是欧洲的一项针对个人数据保护的法规。该法规要求组织在处理欧洲公民的个人数据时加强对数据隐私和保护的管理。GDPR要

求组织确保个人数据的合法性、透明性,明确个人数据的处理目的,并采取适当的安全措施来保护个人数据的安全性。GDPR的实施对于保护公民个人数据的隐私权具有重要意义。

信息安全管理标准

信息安全管理标准

信息安全管理标准

信息安全管理标准是企业和组织在信息安全管理方面的基本依据,它是为了保护信息系统和信息资产的安全性而制定的一系列管理规范和要求。信息安全管理标准的制定和执行,对于保障企业的信息安全至关重要,下面将从信息安全管理标准的重要性、内容要点和执行过程等方面进行详细介绍。

首先,信息安全管理标准的重要性不言而喻。随着信息技术的快速发展,信息安全问题日益突出,各种安全威胁不断涌现。如果企业和组织没有相应的信息安全管理标准,就无法有效地识别、评估和应对各种安全风险,这将给企业带来严重的损失。因此,制定和执行信息安全管理标准,可以帮助企业建立健全的信息安全管理体系,提高信息安全意识,保护信息资产的安全。

其次,信息安全管理标准的内容要点主要包括信息安全政策、组织架构、资源管理、安全控制、安全运维、安全应急响应和安全监督等方面。信息安全政策是信息安全管理标准的核心,它应该明确规定企业的信息安全目标、原则和责任,为信息安全管理提供指导。组织架构要合理规划信息安全管理的组织结构和职责分工,确保信息安全工作的顺利开展。资源管理要求对信息安全的人员、设

备和资金进行有效管理和配置,确保信息安全工作的顺利进行。安

全控制是信息安全管理的重要环节,它包括对信息系统和网络的访

问控制、数据加密、安全审计等措施,以防止未经授权的访问和数

据泄露。安全运维要求对信息系统和网络进行定期维护和更新,及

时修补安全漏洞,确保信息系统的稳定和安全运行。安全应急响应

要求建立健全的安全事件应急响应机制,及时处置各类安全事件,

减少损失。安全监督要求对信息安全管理工作进行定期检查和评估,确保信息安全管理标准的有效执行。

信息安全管理标准

信息安全管理标准

信息安全管理标准

信息安全是当今社会不可忽视的重要议题,随着互联网的普及和信

息技术的快速发展,信息安全已成为各个领域的关注焦点。为了有效

保护信息资产和用户隐私,在企业和组织中制定并实施信息安全管理

标准是必不可少的。本文将从信息安全意识培养、组织安全管理、访

问控制、系统开发与维护、风险管理等方面探讨信息安全管理标准的

重要性和实施步骤。

一、信息安全意识培养

信息安全意识是信息安全管理的基础,企业和组织应该通过培训、

宣传等方式提高员工的信息安全意识。首先,制定企业内部的信息安

全政策,明确员工对于信息安全的责任和义务。其次,开展定期的信

息安全培训,包括但不限于信息安全意识教育、安全演练等,使员工

了解信息安全的重要性和应对紧急情况的能力。最后,建立信息安全

沟通渠道,鼓励员工主动报告安全漏洞或异常行为,形成全员参与的

信息安全管理氛围。

二、组织安全管理

组织安全管理包括建立信息安全组织管理结构和相关制度。首先,

明确信息安全管理的职责和权限,明确上下级之间的沟通和协调机制。其次,建立信息安全管理委员会,负责监督和推动信息安全工作的落实。同时,制定信息安全政策、制度和流程,确保信息安全管理的规

范性和可操作性。此外,要定期组织信息安全内部审计,对信息系统

和信息资产进行风险评估和漏洞检查,及时发现和解决安全问题。

三、访问控制

访问控制是保护信息资产安全的重要手段,通过合理的访问控制可

以控制用户对系统和数据的访问权限。首先,建立完善的用户管理机制,包括用户注册、授权、身份验证等流程,确保每个用户都拥有明

确的身份信息和权限。其次,实施强密码策略,并定期要求用户更换

信息安全的网络安全标准

信息安全的网络安全标准

信息安全的网络安全标准

信息安全是指对信息的保护,确保其机密性、完整性和可用性。在

当今信息化时代,网络安全成为了信息安全的重要组成部分。为了保

障网络安全,各国纷纷制定了相应的网络安全标准。本文将介绍中国

在信息安全领域的网络安全标准。

一、GB/T 22239-2008 信息安全技术网络安全等级保护基本要求

该标准从系统性、规范性和综合性角度制定了网络安全的基本要求。它以等级保护为基本理念,将网络安全分为四个等级,即“绝密级”、“机密级”、“秘密级”和“内部级”,并对不同等级的要求做了详细规定。

该标准从网络设备、网络运营、网络管理和网络服务等方面规范了网

络安全的标准。

二、GB/T 31112-2014 信息安全技术网络安全协议IPv6扩展域

随着互联网的不断发展,IPv6作为下一代互联网协议,为网络安全

提供了更大的空间和更多的机遇。该标准制定了IPv6扩展域的网络安

全标准。它规定了IPv6扩展域中加密算法、认证算法和数据完整性保

护的标准,以及IPv6扩展域的审计和监测要求。

三、GB/T 20984-2007 信息安全技术网络安全网络病毒防治技术

要求

网络病毒是网络安全的重要威胁之一,对网络的正常运行造成了严

重影响。该标准制定了网络病毒防治的技术要求。它规定了网络病毒

的基本概念和分类,介绍了网络病毒的传播途径和危害,同时提出了网络病毒防治的技术措施和要求。

四、GB/T 31359-2014 信息安全技术云计算信息安全基本要求

云计算作为一种新兴的计算模式,为用户提供了便捷的服务和存储空间。然而,云计算也面临着一系列的安全风险。该标准制定了云计算信息安全的基本要求。它对云计算环境下的身份认证、数据隐私保护、访问控制和安全审计等方面做出了规范,为云计算的安全提供了基本指导。

信息安全国际标准

信息安全国际标准

信息安全国际标准

信息安全国际标准是指由国际标准化组织 (ISO) 提出和制定的用于指导和规范信息安全管理的国际标准。这些国际标准包括以下几个方面:

1. ISO/IEC 27001:信息安全管理体系标准,为组织提供了建立、实施、维护和持续改进信息安全管理体系的要求和指南。

2. ISO/IEC 27002:信息技术安全控制标准,提供了一系列信息安全控制措施的最佳实践,供组织根据其风险和安全需求选择和实施。

3. ISO/IEC 27005:信息安全风险管理标准,提供了一种方法来评估和处理信息安全风险,以帮助组织在制定决策和投资时有效管理风险。

4. ISO/IEC 27017:云计算安全控制标准,提供了在云计算环境中保护信息资产和确保云服务提供商安全性的控制要求和指南。

5. ISO/IEC 27018:云计算个人信息保护标准,为云服务提供商提供了保护个人身份信息的指南,包括隐私保护、数据安全性和合规性要求。

这些国际标准通过为组织提供明确的要求和指南,帮助组织建立和实施有效的信息安全管理体系,保护信息资产免受威胁和风险,并加强组织对信息安全的管理和控制。

信息安全标准(共125条)

信息安全标准(共125条)
信息技术设备抗扰度限值和测量方法
CISPR 24:1997
5.2.1物理环境和保障
8
GB/T 17625.1-1998
低压电气及电子设备发出的谐波电流限值(设备每相输入电流6A)
IEC 61000-3-2:1995
5.2.1物理环境和保障
9
GB/T 2887-2000
计算机场地通用规范
5.2.1物理环境和保障
ISO/IEC 9798-3:1997
5.1.4.4鉴别机制
14
GB/T 15843.4-1999
信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制
ISO/IEC 9798-4:1995
5.1.4.4鉴别机制
15
GB/T 16264.7-200x
信息技术开放系统互连目录第8部分:鉴别框架
ISO/IEC 9594-8:1997|ITU-T X.509
ISO 10181-4:1997
5.1.2信息安全框架
5
信息技术开放系统互连开放系统安全框架第5部分:机密性框架
ISO 10181-5:1996
5.1.2信息安全框架
6
信息技术开放系统互连开放系统安全框架第6部分:完整性框架
ISO 10181-6:1996
5.1.2信息安全框架
7
信息技术开放系统互连开放系统安全框架第7部分:安全跟踪和告警框架

信息安全标准-信息安全

信息安全标准-信息安全

地方标准:由省级政府标准化行政主管部门负责制 定和审批,并报国务院标准化行政主管部门和国务 院有关行政主管部门备案
企业标准:由企业法人代表或法人代表授权的主管 领导批准、发布,由企业法人代表授权的部门统一 管理,企业产品标准应向当地标准化行政主管部门 和有关行政主管部门备案
可编辑ppt
4
3 标准的分类
统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 GB9361-88S《计算站场地安全要求》 GA163-1997《计算机信息系统安全专用产品分类原则》
可编辑ppt
12
GB17859-1999《计算机信息系统 安全保护等级划分准则》
可编辑ppt
26
ISO/IEC联合技术委员会JTC1子委员会 27(ISO/IEC JTC1 SC27)是信息安 全领域最权威和国际认可的标准化组织
ISO/IEC JTC1 SC27发布的目前最主要 的标准是
ISO/IEC 13335 ISO/IEC 17799:2005 ISO/IEC 27001:2005
主要安全管理策略
可编辑ppt
23
信息系统安全管理的基本原则
总原则 主要安全管理策略
分权制衡 最小特权 选用成熟技术 普遍参与
可编辑ppt

信息安全标准

信息安全标准

信息安全标准

信息安全标准是指为了保护信息系统和信息资产而制定的一系列规范、要求和指南。这些标准可以帮助组织建立和实施信息安全管理体系,确保信息的保密性、完整性和可用性。

常见的信息安全标准包括:

1. ISO 27001:国际标准化组织(ISO)制定的信息安全管理体系的国际标准。它提供了一套适用于所有类型和规模组织的框架,以建立、实施、监控和改进信息安全管理体系。

2. NIST SP 800-53:美国国家标准与技术研究院(NIST)发布

的信息系统安全和隐私保护的一套框架和控制措施。它是美国联邦政府强制遵守的标准之一。

3. PCI DSS:为了保护信用卡持有者的账户信息而制定的安全

标准。它规定了接受、存储、处理信用卡信息的组织必须采取的安全措施。

4. HIPAA:美国医疗健康保险可移植性与责任法案(HIPAA)制定的一套规定,用于保护个人健康信息的安全和隐私。

5. GDPR:欧洲通用数据保护条例(GDPR)是欧盟制定的数

据保护和隐私法规,适用于处理欧盟公民的个人数据。

这些标准通常包括安全政策、安全控制措施、风险评估和管理、

员工培训等方面的要求,用于帮助组织建立有效的信息安全管理体系和保护信息资产。

网络信息安全标准

网络信息安全标准

网络信息安全标准

随着互联网的蓬勃发展,网络信息的安全问题日益受到关注。网络攻击、数据泄露等问题对个人和企业造成了巨大的威胁。为了确保网络信息的安全性,各行业制定了一系列规范、规程和标准。本文将从不同行业的角度探讨网络信息安全标准,并总结出一些通用的原则。

第一节:金融行业的金融行业是网络信息安全的重要领域,因为金融机构存储了大量的敏感数据。为了保护用户资金安全,金融行业制定了一系列的网络信息安全标准。这些标准包括但不限于:

1. 数据加密:金融机构应对用户的敏感数据进行加密处理,确保数据在传输和存储过程中不被恶意窃取。常见的加密算法有DES、AES 等。

2. 用户身份验证:金融机构应采用安全可靠的身份验证方式,如指纹、虹膜识别等技术,确保用户的身份真实可信。

3. 网络防火墙:金融机构应建立严密的网络防火墙,及时发现和阻拦潜在的网络攻击,保护网络信息的安全性。

4. 数据备份和恢复:金融机构应定期对重要数据进行备份,并制定相应的恢复措施,以便在数据丢失或破坏时能够快速恢复。

小节一:医疗行业的在医疗行业,网络信息安全尤为关键。医疗机构存储了大量的病人隐私信息和疾病研究数据,泄露或篡改这些数据可能给患者带来严重的后果。为了确保医疗信息的安全,医疗行业制定了一系列的网络信息安全标准。这些标准包括但不限于:

1. 医疗数据隐私保护:医疗机构应采取措施保护病人的个人隐私信息,如加密、权限控制等。

2. 网络访问控制:医疗机构应建立严格的访问控制机制,限制只有授权人员才能访问敏感信息。

3. 病人身份验证:医疗机构应采用安全可靠的身份验证方式,确保病人的身份真实可信。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主要说明了为实现GB17859-1999中每一 个保护等级的安全要求应采取的通用的 安全技术,和为确保这些安全技术所实 现的安全功能达到其应具有的安全性而 采取的通用的保证措施
精选版
14
GA/T391-2002《计算机信息系统 安全等级保护管理要求》
明确提出了管理层、物理层、网络层、 系统层、应用层和运行层的安全管理要 求,并将管理要求落实到GB17859-1999 的五个等级上
例如,GB17859:1999《计算机信息系统安全保护等级 划分准则》
一般标准:相对于基础标准的其他标准
按标准化对象在生产过程中的作用来分
按标准的性质来分
精选版
7
3 标准的分类
按标准发生作用的范围和审批标准级别来分
按标准的约束性来分
按标准在标准系统中的地位和作用来分
按标准化对象在生产过程中的作用来分
我国定义:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践经验的综合 成果为基础,经有关方面协调一致,由主管机 构批准,以特定形式发布,作为共同遵守的准 则和依据
精选版
3
2 标准的分级
我国标准分为四级
国家标准:由国务院标准化行政主管部门负责组织 制定和审批
行业标准:由国务院有关行政主管部门负责制定和 审批,并报国务院标准化行政主管部门备案
精选版
11
Baidu Nhomakorabea
4 与计算机信息系统安全等级保护 相关的标准
GB17859-1999《计算机信息系统安全保护等级划分准则》 GA/T387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T388-2002《计算机信息系统安全等级保护操作系统技术
要求》 GA/T389-2002《计算机信息系统安全等级保护数据库管理系
第一级国家标准 第二级国家军队标准 第三级国家保密标准
三级标准中,国家保密标准最高
其他标准还包括:公共安全行业标准 (GA)
精选版
10
我国信息安全标准委员会在制定我国信 息安全标准方面做了大量的工作
目前已出台的信息安全保护方面的标准 主要包括在国家标准和公共安全行业标 准中,当然在国家军队标准、国家保密 标准中也有所涉及
是建立计算机信息系统安全等级保护制 度,实施安全等级管理的重要基础性标 准
将计算机信息系统安全保护能力划分为 五个等级:
用户自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级 精选版
13
GA/T390-2002《计算机信息系统 安全等级保护通用技术要求》
是计算机信息系统安全等级保护技术要 求系列标准的基础性标准,用以指导设 计者如何设计和实现具有所需要的安全 等级的计算机信息系统
产品标准;原材料标准;零部件标准;工艺和工艺 装备标准;设备维修标准;检验和试验方法标准; 检验、测量和试验设备标准;搬运、贮存、包装、 标识标准等
按标准的性质来分
精选版
8
3 标准的分类
按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分
技术标准:对标准化领域中需要协调统一的技术事项 所制定的标准
管理标准:对标准化领域中需要协调统一的管理事项 所制定的标准
工作标准:对工作的责任、权利、范围、质量要求、 程序、效果、检查方法、考核办法所制定的标准
精选版
9
信息安全标准
我国的信息安全从保密技术、难度、标 准的特点出发,将信息安全保密标准分 为三级
更有利于对安全管理的继承、理解、分 工实施,更有利于对安全管理的评估和 检查
精选版
15
GA/T387-2002《计算机信息系统 安全等级保护网络技术要求》
用以指导设计者如何设计和实现具有所 需要的安全等级的网络系统
主要从对网络的安全保护等级进行划分 的角度来说明其技术要求,即主要说明 了为实现GB17859-1999中每一个保护等 级的安全要求对网络系统应采取的安全 技术措施,以及各安全技术要求在不同 安全级中具体实现上的差异
地方标准:由省级政府标准化行政主管部门负责制 定和审批,并报国务院标准化行政主管部门和国务 院有关行政主管部门备案
企业标准:由企业法人代表或法人代表授权的主管 领导批准、发布,由企业法人代表授权的部门统一 管理,企业产品标准应向当地标准化行政主管部门 和有关行政主管部门备案
精选版
4
3 标准的分类
信息安全(模块3-信息安全法律法规与标准)
信息安全标准
精选版
1
内容提要
1、标准的定义 2、标准的分级 3、标准的分类 4、与计算机信息系统安全等级保护相关
的标准 5、信息安全国际标准
精选版
2
1 标准的定义
国际标准化组织定义:由有关各方根据科学技 术成就与先进经验,共同合作起草,一致或基 本上同意的技术规范或其他公开文件,其目的 在于促进最佳的公共利益,并由标准化团体批 准
按标准发生作用的范围和审批标准级别来分
国家标准 行业标准 地方标准 企业标准
按标准的约束性来分
按标准在标准系统中的地位和作用来分
按标准化对象在生产过程中的作用来分
按标准的性质来分
精选版
5
3 标准的分类
按标准发生作用的范围和审批标准级别来分
按标准的约束性来分
强制性标准:保障人体健康、人身、财产安全的国 家标准或行业标准和法律及行政法规规定强制执行 的标准。必须执行,不符合的产品禁止生产、销售 和进口
统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 GB9361-88S《计算站场地安全要求》 GA163-1997《计算机信息系统安全专用产品分类原则》
精选版
12
GB17859-1999《计算机信息系统 安全保护等级划分准则》
推荐性标准:相对于强制性标准的其他标准。鼓励 企业自行采用
按标准在标准系统中的地位和作用来分
按标准化对象在生产过程中的作用来分
按标准的性质来分
精选版
6
3 标准的分类
按标准发生作用的范围和审批标准级别来分
按标准的约束性来分
按标准在标准系统中的地位和作用来分
基础标准:一定范围内作为其他标准的基础并普遍 使用的标准,具有广泛的指导意义
相关文档
最新文档