信息安全测评认证的标准体系共37页文档

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

一、xxx信息安全管理体系认证标准介绍xxx信息安全管理体系认证标准是指针对组织的信息安全管理体系进行认证的国际标准。

它的出现，是为了帮助组织建立、实施、监控、审查、维护和改进信息安全管理系统，以确保组织在信息安全管理方面持续改进，保护组织的敏感信息和数据资产，保障信息系统的安全性，以及提升组织形象和信任度。

在当今数字化和信息化的社会环境中，信息安全已经成为组织必须重视的重要事项，而xxx信息安全管理体系认证标准的出现，无疑对组织信息安全的保障起到了至关重要的作用。

二、xxx信息安全管理体系认证标准的要求1. xxx信息安全管理体系认证标准在许多方面都有强调的要求。

首先是关于组织业务和信息资产的保护。

这包括了对组织内部的所有信息、硬件和软件资源的保护，以及对外部信息资产的保护。

其次是对信息安全风险的管理。

组织需要对信息安全相关风险进行评估、处理和监控，以及保障信息安全政策的实施。

再次是对信息安全的控制和持续改善的要求。

这包括了对信息系统的控制措施，对信息安全活动的监控和审查，以及对信息安全管理体系的持续改进。

2. xxx信息安全管理体系认证标准还强调了组织内外部信息安全管理的合规性。

这体现在组织需要遵循国际和行业相关的信息安全法规、标准和规范等。

组织还需要对信息安全事件和突发情况做好准备，以及建立和维护信息安全培训和意识计划。

三、xxx信息安全管理体系认证标准的价值和意义xxx信息安全管理体系认证标准的出现，无疑为组织信息安全管理带来了许多积极的影响。

它有助于组织提升信息安全管理水平，规范组织信息安全管理行为，确保信息安全政策的实施和信息安全风险的有效管理。

它提高了组织在信息安全领域的形象和信任度，有助于组织与客户和合作伙伴的信任建立和合作。

它有助于组织遵循国际和行业相关的信息安全法规和规范，减少了组织在信息安全方面的合规风险。

四、我的观点和理解在我看来，xxx信息安全管理体系认证标准是组织信息安全管理的重要工具和保障。

国外信息安全测评认证体系简介1、信息安全度量基准1、1 信息安全测评认证标准的发展在信息技术方面美国一直处于领导地位，在有关信息安全测评认证方面美国也是发源地。

早在70年代美国就开展信息安全测评认证标准研究，并于1985年由美国国防部正式公布了可信计算机系统评估准则（TCSEC）即桔皮书，也就是大家公认的第一个计算机信息系统评估标准。

在随后的十年里，不同的国家都开始主动开发建立在TCSEC基础上的评估准则，这些准则更灵活、更适应了IT技术的发展。

可信计算机系统评估准则（TCSEC）开始主要是作为军用标准，后来延伸至民用。

其安全级别从高到低分为A、B、C、D四类，级下再分A1、B1、B2、B3、C1、C2、D等7级。

欧洲的信息技术安全性评估准则（ITSEC）1.2版于1991年由欧洲委员会在结合法国、德国、荷兰和英国的开发成果后公开发表。

ITSEC作为多国安全评估标准的综合产物，适用于军队、政府和商业部门。

它以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。

加拿大计算机产品评估准则（CTCPEC）1.0版于1989年公布，专为政府需求而设计，1993年公布了3.0版。

作为ITSEC和TCSEC的结合，将安全分为功能性要求和保证性要求两部分。

美国信息技术安全联邦准则（FC）草案1.0版也在1993年公开发表，它是结合北美和欧洲有关评估准则概念的另一种标准。

在此标准中引入了“保护轮廓（PP）”这一重要概念，每个轮廓都包括功能部分、开发保证部分和评测部分。

其分级方式与TCSEC不同，充分吸取了ITSEC、CTCPEC中的优点，主要供美国政府用，民用和商用。

由于全球IT市场的发展，需要标准化的信息安全评估结果在一定程度上可以互相认可，以减少各国在此方面的一些不必要开支，从而推动全球信息化的发展。

国际标准化组织（ISO）从1990年开始着手编写通用的国际标准评估准则。

该任务首先分派给了第1联合技术委员会（JTC1）的第27分委员会（SC27）的第3工作小组（WG3）。

信息安全技术信息系统安全等级保护测评要求信息安全技术是保障信息系统安全的重要手段之一，而信息系统安全等级保护测评是衡量信息系统安全等级的重要评价方法之一。

本文将从信息安全技术和信息系统安全等级保护测评的概念、方法和要求等方面进行阐述。

一、信息安全技术信息安全技术是指对信息系统进行保护和防护的一系列技术手段。

信息系统防护的目标是保证信息的机密性、完整性、可用性和认证性。

常见的信息安全技术包括加密技术、身份认证技术、访问控制技术、安全传输技术等。

1. 加密技术加密技术是一种通过改变信息的表达方式，实现信息内容不易被理解和使用的技术手段。

常见的加密技术包括对称加密算法、非对称加密算法和哈希算法等。

这些算法可以在数据传输、数据存储和身份认证等方面应用，以提高信息系统的安全性。

2. 身份认证技术身份认证技术是一种通过验证用户的身份信息，确认其是否具有访问权限的技术手段。

常见的身份认证技术包括口令认证、生物特征认证和智能卡认证等。

这些技术可以有效防止非法用户对信息系统进行恶意访问和操作。

3. 访问控制技术访问控制技术是一种对用户访问信息系统进行限制和控制的技术手段。

常见的访问控制技术包括访问控制列表（ACL）、角色权限控制和流程控制等。

这些技术可以确保只有具备相应权限的用户才能访问和使用信息系统。

4. 安全传输技术安全传输技术是一种保证数据在传输过程中不被篡改、泄漏和窃听的技术手段。

常见的安全传输技术包括安全套接层（SSL）、虚拟专用网络（VPN）和防火墙等。

这些技术可以保护数据在网络传输过程中的安全性，防止数据被攻击者获取或篡改。

二、信息系统安全等级保护测评要求信息系统安全等级保护测评是根据国家和行业的相关规范要求，对信息系统的安全性进行评估和认证的过程。

保护测评的目的是为了评估系统的安全性等级，为其提供安全设计和改进的依据。

1. 测评方法保护测评的方法可以根据具体情况选择，如定性评估、定量评估、风险评估等。

UL 1026前言A. 此标准包括目录范围内覆盖UL公司产品后续服务的基本要求, 这些要求是基于成熟的工程原理, 研究, 测试记录现场试验及生产安装问题的认识, 从厂家, 用户, 检验机构其它专业经验咨询时所获取的信息, 如有必要他们可以进一步实验调查后改正.B. 此标准的观察要求是持续保证生产厂家产品的条件之一.C. 按这些要求在检查或测试产品时, 只要产品符合此标准, 即使发现预料的其它安全损害,也可视为符合标准.D. 产品采用的材料或者其结构形式与此标准中的要求有些区别, 那么可以按照设计要求测试, 如果大部份材料相同, 那么就可以按照标准进行判断.E. UL在按照目标进行功能演示时, 不能下放厂家或其它任何部门的责任, 标准在制定时, UL的意见和调查研究结果, 已经代表了专业评判标准, UL对任何使用或依赖下标准不负任何责任, UL不会发生任何责任义务损害, 包括由于使用, 解释或依赖此标准产生的重大损坏.F. 按照UL要求进行测试时有一些不可避免的损害, 因此在进行测试时采取足够的安全措施和足够的防护工具是必要的.1. 范围1.1. 这些要求覆盖了在普通情况下使用的250V或以下的家用厨具电器(除了1.2里有说明外),包括临时或永久地在户外使用的家用厨具电器应符合国际电器条例规定.1.2. 这些要求不包括家用电器系列, 电极型, 长柄锅及电炸锅, 奶酪机锅, 面拖油炸机, 爆谷机, 咖啡壶, 电饭锅, 微波炉, 以及按个人要求制作的电器不包括在此标准内.1.3. 以下内容中, 确定是否符合此范围内的一种装置的要求(如多士炉和类似的)应通过具体参考此型号要求, 在没有具体参考数据时, 如果采用"符合"条款, 那么条款应为公认符合标准所有型号的要求.1.4. 产品包括外形特点, 零件, 系统更新及与此标准要求有区别的产品, 而涉及到火险, 电击, 伤人应该使用适当的附加零件进行测试, 其安全水平的最后结果应保留在标预期的范围内, 产品外型, 特性, 零件, 材料, 系统与具体要求相冲突, 不能视为符合此标准, 如果考虑提出修改要求, 应采用一致的方法, 开发, 修正, 执行此标准.2. 组合件.2.1. 除2.2说明外, 此标准中产品组合件应符合组合件的要求, 如产品一般使用标准组合件清单索引A所示.2.2. 组合件不需要与具体相符是:a. 此标准包括的产品应用中不必涉及到外形或特性.b. 由此标准要求代替.2.3. 组合件应在认可的设计环境下使用.2.4. 结构中的些特殊组合件不全面或限制其性能发挥, 这些组合件只能在限定环境下使用,例如不超过一定限定温度下使用且只有在认可的选定环境下限制使用.3. 装置的测量:3.1. 指数必须说明, 括号里的指数为解释或相近信息.4. 参考材料4.1. 此标准要求的条例或标准的任何要求更新应被解释为最新的条例和标准.结构5. 总则.5.1 如果电器在运行时会产生或在有气体或其它气体压力下运行, 考虑到爆炸事故的可能性,因此电器不能算合格, 除非电器有足够强度抵御爆炸危险.6. 框架与外壳.6.1. 电器的框架和外壳应该足够的张度和钢度抗拒正常使用中可能的滥用, 但不要因电器固有的抵抗强度而减少电器的空间, 产生松动, 零件错位而导致部分或全部失效或者结构组合时而增加火险, 电击或伤害的危险.6.2. 电器外壳材料应该能够随特殊用途, 能够容纳所有电器零件, 除电源线和14.3,14.4中在任意环境下使用时可能会引起火险, 电击或伤害的裸线组件外, 如果电器要与电源永久联接时, 电器外壳应提供用于安装所必需的装置, 如: 托架, 挂钩或类似物.6.3. 在正常工作状态中需要加油的电器, 应特别考虑在烹调腔上加一个外壳, 外壳的材料也应适合此目的.6.4. 电器外壳采用通风开口或在外壳上安装永久电源联接组件的电器, 其位置不能让排气进入封闭结构的空间, 如活动顶的空间, 壁洞空间或类似空间.6.5. 判断电器外壳性能时应考虑的因素是:a. 物理强度.b. 抗冲击强度.c. 吸水汽性.d. 可燃性.e. 防腐蚀性.f. 在高温下抗变形能力, 外壳在正常和非正常情况下使用的承受能力.对于非金属材料外壳要求可参考<<电气设备评估>>UL746C的聚合物标准, 金属外壳零件或外壳应按照<<金属外壳冲击测试>>42节进行抗冲击能力测试.例外情况1. 考虑按UL746C进行滥用和恶劣条件测试时, 电器外壳应按此标准中滥用运作测试的第44节进行判断.例外情况2. 因加硬化材料要按43.1要求在高温下连续1000小时老化测试, 所以加热硬化材料不需要符合UL746C要求..06.6. 采用过热保护的热塑外壳电器, 如果采用94HB材料, 具有至少60弧抵抗高电流弧光点火, 至少7秒钟抗热点火, 及外壳所有零件包括, 肋骨, 煎件或类似零件相距至少1/2"(12.7mm)那么可燃性要求可不一定要符合UL746C.6.7. 除非电器外壳如6.5和6.8判断认为合格, 否则电器外壳的铸造和铁片部分厚度不能小于表格6.1所示.6.8. 除了考虑6.5中所提及的因素外, 考虑到电器的设计用途, 外壳金属片也要考虑其尺寸,形状, 厚度和特殊应用能力.6.9. 为防止发生无意识与导电零件接触, 电器上的导电零件, 除自动焗烬裸线组件的发光部分以外, 其位置或包起来保护, 绝缘马达刷帽不要求额外附件.表6.1金属外壳的最小厚度金属印模压铸可塑性铁其它可铸金属裸金属片镀锌金属片有色金属片用小的,平整未加固的平面或表面通过弯曲,棱纹和类似处理(其它形状或呎吋)提供相应的物理强度.用线路系统连接的表面比较大未加固的平面Inches Mm Inches mm Inches mm3/641/163/320.026a0.029a0.036a 1.21.62.40.66a0.74a0.91a ---0.0320.0340.045 ---0.810.0861.14 5/643/321/80.0260.0290.036 2.02.43.20.660.740.91a 当外壳符合6.5要求时可采用较薄的材料6.10外壳构造应该让熔化金属, 防火物, 或类似物不会落在支撑面上6.11在6.10必须要求中, 外壳底部开口处的上面或下面必须有隔板, 如果开口为:a. 在马达下面时应:1).马达的结构零件或电器提供类似的隔板.2).马达在以下缺陷条件下通电时, 马达这种保护措施是为了防止燃烧绝缘物或熔化物落在电器的支撑面上.i) 开主线圈.ii)打开起动线圈.iii)启动短路关.iv)永久分开电容器的马达为短路电容器, 在马达通电前和回转轮被堵时进行短路通电.3).采用热发动机保护器(同时感应温度和电流的保护装置)的发动机是防止发动机线圈在最大负荷的内温度不超过125℃(302ºF).4). 采用的马达符合阻抗马达要求.b. 在电线下, 除非电线符合电线, 电缆, 伸缩线UL1581参考标准VW-1燃烧测试或者垂直燃烧测试.c. 在无盖开关, 变压器, 螺线管或类似物下面, 除非马达零件不会因为着火而引起故障.d. 在电场和工厂制造的拼接过载, 过载电流保护装置.例如: 如图6.1D线所示, 如果开口不在组合件下面范围内, 可以不用隔板.图6.1隔板呎吋与位置A- 隔板遮盖的范围,如果组合件没有被遮盖,则由整个组合件组成和一个组合件未遮盖部份(被组合件外壳遮盖的部份)组成.B- 投影在水平板上组合件的轮廓C- 隔板倾斜线轴轨迹最小范围,倾斜线总是1) 与零件的切线2) 与垂直线5度,和3) 水平面的定向轨迹是最大的D- 为隔板最小范围和位置(水平位),范围包括倾斜线C和隔板水平面轨迹交叉线6.12 于6.11中所提及的挡板应是a)金属,陶瓷,或作为外壳符合6.5可以接受的原料.b)水平的c)位于图6.1指示的位置,不应小于图6.1所描述的位置.6.13 如果在图6.2中说明的探针通过开口插入不能接触能引起水险或电击的任何非常绝缘带电部件,则在外壳中的开口有小于1英吋(25.4mm)的较小呎吋是可以接受的.探针在插入前、后及过程中适用于所有可能连接的位置.6.14 如果在外壳内部没有非绝缘体或用胶膜包裹的电线,则如图6.3说明的外壳开口最小呎吋为1英吋或更长一点是可以接受的.R表示至开口周围里边的距离,X表示至开口平面的距离,T等于外壳的厚度,R等于X加T,X等于能插入开口圆杆最大直径的5倍,但不小于6-1/16英吋(154毫米).在测定开口的过程中,任何在容积范围内的挡板是可以被忽略的,除非它持续横切容积边缘.6.15 为了恒温器的调整或类似的行动,如果在外壳上作一个引起用户注意的任意大小的孔,不能破坏绝缘体或用直径为1/16 英吋(1.6毫米)插通过孔接触非绝缘体.6.16 关于在6.9和6.13-6.15中的要求,在电器的检查过程中,外壳的任何部份可被忽视(打开或移动)那是受到的保护能防止电击或伤人的部份.或如果a) 外壳用或不用工具打开或拆卸以执行制造商推荐的用户服务、维修、操作调整.配件连接或其它操作.b) 不用工具能打开或拆卸,见6.16.1例外:如果电器标记与54.9一致,外壳的一部分要求用工具打开或拆卸以执行制造商推荐的用户服务、维修、操作调整、配件连接或其它操作以保持保持其位置.6.16.1 关于6.16(b),为确定外壳或外壳的一部份要求使用工具打开或移动,依靠非金属部件机械稳固的外壳或外壳的一部份,如塑料挂耳或快速连轴节插人物或插杆应遵照42A节非金属外壳紧固器测试.例外:完全通过金属紧固器(如镙丝或铆钉)稳固外壳或外壳的一部份到其它外壳部份,则不需经受此测试.6.17 任何活动零件, 例如马达回转轮, 链条, 滑轮, 带子和齿轮应褢起来或监视以减少对人的伤害.6.18 参照6.17要求, 外壳的保护程度取决于总结构和电器的用途, 以下为判断裸露活动零件能力应考虑的因素.a. 外壳强度b. 活动零件的锐利程度.c. 无意识与导电零件接触可能性.d. 这些零件移动的速度.e. 手指, 手臂或衣服被卷入活动零件的可能性.6.19 外壳上的门或盖上应有手柄以确保进入关闭位置6.20 为方便更换过蠛保护装置或当有需要开盖操作保护装置, 外壳上的门或盖应用绞链连接.这些门或盖应有插销, 配合紧凑或与外壳表面开口有重垒.6.21 电器零件无需用特别工具(不是服务人员就难得到的工具)如果是由人工操作, 调节或定期维护的电器.6.22 如果试管或灯泡坏了会啬火险, 那热偶的灯泡或毛细管应可以保护电器不被破坏.7 组装7.1 如果电器上有开关, 可连接插头型插座或插头型连接器安装要可靠防止因表面摩擦而使零件产生反转(动).7.2 为防止装柄开关转动可采用锁垫圈.7.3 如果导电零件因附重压而转动或转移而减少零件之间空间低于26.1.1.1- 26.1.1.4的要求, 那么导电零件应固定在基面上. 7.4 防止导电零件转动或转移, 导电零件之间的表面不能产生摩擦可使用锁垫圈.8. 稳定: 8.1 电器的稳定性, 不能在正常使用情况下电器很容易倾倒.8.2 家用烹调或热电器可以轻易用手提或搬运(如矮电器, 食品加热器或类似的) 电器装上至少50盎司(148ml)水, 加热到115ºF(46ºC)温度, 放在与水平面15º的倾斜面上, 无论装上全部的拆分件, 液体或其它材料, 电器应符合设计使用的最大倾斜角倾倒要求, 电器不会产生滑动, 不能因测试而倾倒.9. 防腐蚀保护9.1 如果因未保护零件的故障增加着火或电击危险的铁和钢片应以瓷釉法, 镀锌,电镀或其它的方法以保护.例外: 某些设备中的氧化钢不会因为金属暴露在空气, 水汽或其它氧化而影响使其加快氧化的金属其厚度和温度也是考虑因素, 无需保护, 外壳内金属片表面要求防腐蚀保护. 铸压零件不要求防腐蚀保护, 采用保护套的加热件和直接连接加热件的终端零件不需防腐蚀保护.9.2 电器里电镀或其它处理具有老化性质的零件不能在最后坏至电器不能使用的程度.10. 电源联接10.1 永久性连接电器10.1.1 总则10.1.1.1除10.1.1.2中注明外, 电器采用永久电源联接设计, 应符合国际电器条例ANSI/NFPA No.7-1993要求.10.1.1.2如果采用活动短电线和可连接插头作为电源联接的电器, 可以固定在特点空间. 这种特征的电器还应考虑到电器的应用性, 和电器可连接电源插头应容易拆开. 10.1.1.3 电器按设计要求安装以后, 终端的位置或永久联接电器与电源隔板的这些联接应检查方便. 10.1.1.4 联接电源保护管的终端间隔与电器的联接不会产生转动.10.1.2 电场电线终端.10.1.2.1 永久联接电源电器应该采用电线终端或当电流量不低于电器电流量, 连接导体的安载流量不少于电器电流的125%时, 负载边3小时或以上时这时负载将时断时续.10.1.2.2 为符合这些要求, 电路终端应为电源接头或当电器安装时现场联接控制. 10.1.2.3 电线终端应采用焊接接合, 或可以将电线联接器牢固地压入合适位置(如用插销或螺钉稳固)如果向上接合或类似方法使电线固定, 电线终端容纳10AWG(5.3mm2)或更小的导体可以采用线绑螺钉固定.10.1.2.4 电线终端应防止转动或旋转, 除表面摩擦外, 可以用两个螺丝,铆钉或其它类似方法固定.10.1.2.5 电线终端上的线绑螺钉不能小于10号, 除8号螺钉可以使用在14AWG(2.1mm2)或更小导体的终端联接中, 6号螺钉可以使用在16AWG(13mm2)或更小的控制电路导体中.10.1.2.6 叩入绑线螺钉的终端金属片不能小于0.050”(1.3mm)除叩击螺纹线有相同的机械强度可用于小于0.030”(0.8mm)厚度的金属上. 如果需要螺纹线伸出金属上可用双根螺纹线.10.1.2.7 突出接合处或杯形垫圈可保持导体的能力如果其尺寸为10.1.2.1在螺帽或垫圈下的导体不能小于14AWG(2.1 mm2)10.1.2.8 线绑螺钉应穿入金属中.10.1.2.9 接地电源导体联接的电器应:a. Edison螺帽型的灯头或组件容器.b. 单柱开关, 或c. 单柱自动控制应有一个终端或头以确认电源电路接地导体.除在24.2中说明外, 终端或头到灯头或组件容器的螺帽壳视为一个整体, 不是联接到单柱开关或单柱自动控制器.10.1.2.10 接地联接电路导体的终端应用白色金属制成或镀成白色, 使之非常容易与其它终端与辨出来, 或以其它方法使之容易分辨, 如在线路图上标注, 接地电路导体的头也要用白色或灰色, 使之与其它头容易分辨.10.1.2.11 除10.1.2.12说明外, 内部的插座盒或电线间隔长度应为6"(152mm)或以上, 如果头联接电场与电路外围.10.1.2.12 如果有迹象显示, 使用长头可能导致火险或电击, 头的长度可以少于6"(152mm).10.1.2.13 只联接设备接地导体的绝缘头的表面, 应用涂上绿色或黄绿相间的斜带, 其它头不必如此.10.1.2.14 联接设备接地导体的六角形, 沟槽形或都是的绑线螺如应为绿色, 联接这种导体的压力电线联接器应标记"G" "GR" "GROUNDING"或类似的或标记在加热电器上的线路图里, 以便于区分, 绑线螺丝或压力电线联接器位置在电器维护时不会被移动.10.1.2.15 只联接接地设备导体的终端应能确保特殊电器导体的适当尺寸.10.2 线联接电器10.2.1 总则10.2.1.1 线路联接电器(用伸缩线路联接电源电路的一种电器)应有一根电源线联接电源电路或应有容纳可拆或电源线的雄针终端, 连接线或分拆线的长度按10.1所示.10.2.1.2 线路联接电器的线路电流量和电压, 配件不能小于电器的标准, 当电器负载续运行3小时或以上时, 联接插头电流量不能小于125%电器电流量. 10.2.1.3 电器中的可连接伸缩线和在可拆开电源线的型号应按10.2表格所示, 或其特性至少应能适应特定用途.10.2.1.4 当烧烤器使用在焗炉里时, 焗炉应采用可拆式或电源线, 焗炉和烧烤器都应采用无附件可拆式电源线.10.2.1.5 加强绝缘, 如果采用伸缩线长度不能超出电器外1/2"(13mm)如超出此长度, 应采取机械保护, 防止磨损或松脱, 减少拉紧力产生的不利影响.10.2.1.6 电器不能采用A3-2线制, 接地型接头.10.2.1.7 15-20A电源线连接插头的电器一般用3线接地型插座, 开合电器采用的电源线可联接插头应该可手工操作, 线联单柱开关, 或是极化或接地型螺口灯座灯柱.10.2.1.8 采用线接地型联接插头或2线型极化联接插头应符合图10.1, 伸缩极化确认应符合表格10.3要求.10.2.1.9 接地电源导体以下因素也要考虑在里面.a. 螺口灯座柱的螺丝壳.b. 插座接地终端或头.10.1 为接地电源线确认表.10.2.2 缓解拉力10.2.2.1 缓解拉力应防止联接伸缩电源在线的机械力传至终端, 绞接处, 或内在线. 10.2.2.2 如果使用材料, 压力板或其它纤维确保拉力缓解装配, 纤维材料应用别针, 固定螺钉或其它有效方法予以固定.10.2.2.3 应采用一些措施防止联接伸缩线通过线入口被压入电器外壳里面, 确认是否符合此要求, 电源线或头应按照Push-Back Relief40节A进行测试.10.2.2.4 用电线夹绑紧软皮线,任何表面可以自由从,边缘,批锋,以便导致绝缘导电体擦损.10.2.2.5 当测量结果与10.2.2.6相符时, 伸缩在线的压力缓解结在断开电源状态下以35磅(156N)拉线, 应能支撑1分钟, 无错位.10.2.2.6 电器结构的电线允许特定力量和从不同角度的拉线. 导体的断开点, 结果显示电线移动有足够连接力.10.2.3 终端针10.2.3.1 如果电器采用终端针, 电器把插头插在针上时或插上后, 不能使导电零件产生无意识的接触.10.2.3.2 针护套要求如a. 直线边缘放在任何位置,交叉,与连接插头开口(插头没有插在里面)边接触时, 不能与通电的终端针接触.b. 插头与指针在同一条直线, 板上的插头与未端或与通电指针成直角,当管道插入任何位电器的开口时, 管道(如图6.2)不能接触任何通电指针.10.2.3.3 符合10.2.3.2(b)要求的插头可以随附电器.10.2.3.4 采用3个以上的针终端, 并覆盖所有的指针的电器插头, 终端的空间不能容纳一个熨斗插头或线联插头或导体主体, 这些插头针应适应于特定电器.10.2.3.5 如果电器采用用户可拆加热组件, 这些加热组件应有如下保证:a. 安装可靠安全耐磨和b. 加热针防止被破坏, 缩短, 当在插入或拆出和彼此更换位置时.10.2.3.6 针终端应安全, 严格安装防止摩擦而产生位置更换.10.2.3.7 10.2.3.6的要求主要是提供空间维护, 说明如26.1.1.1表格26.1和26.2里, 针终端之间保持适当空间. 在此要求中, 还要考虑保持锁住终端的紧密性方法.10.2.3.8 针的尺寸, 中点与中点之间的距离, 包括一般使用插头的接触片之间的相应空间, 采用这些针的规格如10.4所示.10.2.3.9 采用两针终端的电器不能使用可拆三导体或电源线作为接地导体.10.2.4 杯士10.2.4.1 软皮线在通过墙隔板或密封盒的任一点时,将有一个杯士或相等同的固定,应光滑,圆浑的表面,如果SP-2, SPT-2型或采用其它比HSJ型轻的伸软皮线, 如果墙或隔板为金属, 软皮线可能要承受拉力或移动时, 绝缘的杯士, 特殊用途的电器套管采用的材料应能隔热, 抗水汽的特性.10.2.4.2 如果线孔是木材,陶瓷,电木粉成份或其它不导电材料构成, 套管的表面应光滑, 圆浑相等同的杯士.10.2.4.3 绝缘套管通常可采用陶瓷材料和一些铸模结构, 但不能采用, 木材, 热模紫胶, 沥青, 橡胶等材料的单套管. 如果套管厚度不小于3/64"(1.2mm)在一般水汽条件下不会产生不利影响可采用硬化纤维材料.10.2.4.4 单个的软橡胶, 氯丁橡胶管套可采用在马达框架上或边接马达的容器外壳(除10.2.4.5说明外不能使用在电器其它地方)且:a. 套管厚度不能少于3/64"(1.2mm)b. 套管位置不能暴露在油, 油脂, 油性气体或其它对化合物有破坏影响的物质中.10.2.4.5 如果绝缘连接导管伸缩线无型号要求, 10.2.4.4中所提及的套管的任何材料可以使用在电器中任何部位, 安套管洞口边光滑无毛边, 鳍或类似物时.10.2.4.6 如果使用的绝缘材料厚度少于1/32"(0.8mm), 能完全填住安装金属的孔眼, 绝缘套管里可以采用绝缘金属垫圈.11. 通电零件.11.1 每一个通电零件所采用的材料应适合特殊用途.11.2 通电零件可用抗腐蚀合金做成(如不锈钢)不能用普通铁和钢做成, 除非这些材料经过表面处理及产生抗腐蚀能力, 即使这样也适用于:a. 针终端b. 终端零件, 马达的其它零件, 马达控制器.c. 正常温度下操作时超过100°C(212°F)的零件.d. 镀膜铁和钢件局部的部件要求参照2.1节所示.11.3 带水槽的电器, 所有的活动零件其位置或要保护起来而不会因为水槽坏了而掉下来, 除非:a. 水槽能抗使用液体腐蚀, 和b. 水槽不会因老化而破裂.12. 内线12.1 总则12.1.1 电器的内线尺寸, 型号应适用于特殊用途, 并考虑以下特性:a. 电线可能承受的温度和电压.b. 暴露在油或油脂中, 和c. 可承受的其它环境.12.1.2 玻璃纤维, 无机材料或类似材料作为导体绝缘材料无温度限制.12.1.3 电器内部采用的热塑绝缘电线应为标准的建筑电线, 混合电线或适用于特殊用途的电器电线材料.12.2 电线保护12.2.1 线路和零件之间的联接应予以保护或封闭, 除外部联接的伸缩线外, 或因为电器使用时可能暴露内部联接, 线路必须是活动的除外, 绝缘的裸导体或带珠导体不能在外壳外使用.12.2.2 穿过电器外壳开口处而露出的内部线路的保护要求如122.1当认为有镀膜需要的线路应符合6.9-6.13要求. 内部线路在外壳内不会承受压力或机械损坏可不需要保护. 12.2.3 如果电器线路的位置可能靠近可燃材料或机械伤害的线路要用彩盔甲电线或在钢管,电子金属管, 金属保护里, 或其它保护..12.2.4 外壳, 零件, 保护管或类似物内的线路其位置或被保护, 而不会因为接触任何粗糙,尖锐或活动零件而损坏导体的绝缘体.12.2.5 绝缘电线通过电器外壳内金属墙洞口时, 应用一根光滑的导管, 或电线通过的表面应光滑圆浑, 以防止绝缘体被擦坏. 如12.2.1用伸缩线作内, 外联接应按照10.2.2.1-10.2.2.6和10.2.4.1-10.2.4.6进行拉力解缓和采用套管, 除非伸缩线的结构可抗拒拉力和移动, 例外10.2.6 绝缘电线可以扎成束穿过电器外壳内金属墙洞口.12.3 绞接(迭接)12.3.1 所有的绞接和联接机械性能应可靠, 电子件接触应应适应, 如果由于联接的破裂或松动可能引火险或火击时, 在确保可靠机械性能下可进行死联接.12.3.2 如果绞接处与其它金属零件之间的距离不能永久保持, 那么绞接处也要采用与电线一样的绝缘.12.3.3 绞接处的绝缘由两层摩擦带, 两层热塑带或一层摩擦带在一层橡胶带上组成, 考虑其绝缘性, 抗热性, 抗水汽性, 绞接处绝缘材料可由纤维, 热塑片或其它型号管子构成. 但热塑带不能包尖锐边.12.3.4 连接绑线螺丝和内部线路, 应绝对防止与其它任何同样极化的导电是线接触, 与任何死区金属零件接触. 可使用压力终端连接器, 焊接接合, 折皱视孔, 氢所有的电线焊接在一块或其它类似方法达到目的.12.4 分开电路.12.4.1 总则12.4.1.1 除非绝缘导体提供最高电压绝缘, 否则电路绝缘导体分开联接电源应用隔板隔开, 或单独联接电源, 除12.4.1.3说明外, 电路上的绝缘导体应为单独的或与其它不同线路导电零件和绝缘零件分开.12.4.1.2 绝缘导体的分开可采用夹, 路线, 或类似能与不同电路的绝缘和导电零件永久分开的方法.12.4.1.3 任何电路的现场安装导体应隔与….分开.。

安全评价过程控制文件(doc 37页)吉林省朗大安全环境检测中心安全评价过程控制体系文件过程控制文件文件编号 AT/GC-2006-2第二版编制：王菁菁审核：孙景平批准：受控状态发放号2006年8月1日发布 2006年9月1日实施颁布令吉林省朗大安全环境检测中心安全评价《过程控制文件》（第一版）是依据《中华人民共和国安全生产法》、《安全评价机构管理规定》、《关于贯彻实施<安全评价机构管理规定>的通知》、《安全评价机构考核规则》、《安全评价通则》等法律、法规的规定、吉林省朗大安全环境检测中心安全评价运行近二年的《质量文件》（第一、二版）及其内审结果，按照国家总局编制的《安全评价过程控制文件编写指南》的要求，在有关领导和专家的指导下，结合吉林省朗大安全环境检测中心的具体情况编写的。

该《过程控制文件》仅适用于吉林省朗大安全环境监测中心安全评价工作的控制管理。

《过程控制文件》阐述了本公司安全评价过程的控制方针、控制目标，是建立、健全安全评价过程控制的纲领性文件；它是吉林省朗大安全环境检测中心实施安全评价方针、实现安全评价目标、开展各项质量管理活动必须遵循的规范性文件；是吉林省朗大安全环境检测中心安全评价安全评价过程质量控制中审核、改进的依据；是安全评价过程质量控制运行的基本保证。

经审核，本《过程控制文件》符合国家有关政策、法规、条例的要求和吉林省朗大安全环境检测中心安全评价的实际情况，现予以批准、发布。

各有关部门及全体职工务必认真贯彻，严格执行。

本《过程控制文件》自2016年10月1日起实施。

经理：2016年10月1日过程控制文件更改记录序号章节号更改前内容更改后内容更改人更改日期批准人批准日期备注注：此表填完后，可加页。

目录1 安全评价过程控制方针和目标 (1)1.1安全评价过程控制方针 (1)1.2安全评价过程控制目标 (1)2 目的、范围 (1)2.1目的 (2)2.2适用范围 (2)3 常用术语 (3)4 组织机构、岗位职责 (4)4.1组织机构 (4)4.2员工行为规范 (4)4.3岗位职责 (5)4.4部门职责 (11)5 安全评价过程控制体系 (15)5.1体系结构 (15)5.2体系文件的构成和层次 (15)5.3过程控制文件 (16)5.4程序文件 (16)5.5作业文件 (16)5.6文件化体系的一般要求 (17)5.7依据 (17)5.8支持性文件 (18)6 文件、档案管理 (18)6.1概述 (18)6.2文件管理 (18)6.3软件管理 (18)6.4过程记录管理 (18)6.5支持性文件 (19)7 内部管理 (19)7.1人力资源管理 (19)7.2信息通报及主动接受监督管理 (19)7.3跟踪服务 (20)7.4保密 (20)7.5资质和印章管理 (20)7.6管理评审 (20)7.7投诉申诉； (21)7.8支持性文件 (21)8 技术支撑 (23)8.1基础数据库和软件 (23)8.2检验检测、科研开发 (24)8.3支持性文件 (25)9 风险分析 (26)9.1概述 (26)9.2支持性文件 (26)10 安全评价的实施 (27)10.1概述 (27)10.2控制内容 (27)10.3控制依据 (27)10.4支持性文件 (27)11 安全评价报告审核 (28)11.1审核重点 (28)11.2审核控制 (28)11.3支持性文件 (28)12 检查和改进 (29)12.1内部审查 (29)12.2投诉申诉与改进 (29)12.3不符合的安全评价工作的控制 (29)12.4支持性文件 (30)13 文件的管理 (31)13.1概述 (31)13.2过程控制文件的控制 (31)13.3文件的修改 (32)1 安全评价过程控制方针和目标1.1 安全评价过程控制方针“以人为本、安全第一、客观公正、科学严谨”依据国家有关安全生产法律、法规和有关技术规范、技术标准，依靠高素质的技术人才，以科学严谨的态度考察被评价企业的实际情况，客观公正地进行评价，以促进企业安全生产和保障人民生命、财产安全为首要任务，实现全过程、全方位的持续改进的安全评价。

信息系统认证标准信息系统认证是指通过对一个组织或企业的信息系统进行评估和验证，来确保该系统达到特定标准要求的过程。

这种认证可以提供给组织和用户一个信号，证明该系统可以有效地保护和管理数据，并且符合相关的法规和规定。

为了确保信息系统认证的有效性和一致性，制定了一系列的标准和规范。

本文将介绍信息系统认证的标准和一些常见的认证模式。

一、ISO/IEC 27001ISO/IEC 27001是国际标准化组织（ISO）和国际电工委员会（IEC）联合制定的信息安全管理体系（ISMS）标准。

该标准主要关注组织的信息安全管理，要求组织根据其特定的业务需求和风险状况，建立并持续改进信息安全管理体系。

ISO/IEC 27001标准提供了一个框架，指导组织在设计、实施、监控和持续改进信息安全管理体系方面的工作。

二、ISO/IEC 20000ISO/IEC 20000是对IT服务管理的国际标准。

它提供了一个框架，帮助组织确保其IT服务管理体系能够提供高质量的IT服务，并满足客户的需求。

该标准要求组织建立适合的IT服务管理流程，并进行监控和不断改进。

ISO/IEC 20000认证可证明组织在IT服务管理方面符合国际标准，提高了组织的服务质量和客户满意度。

三、ISO/IEC 22301ISO/IEC 22301是针对业务连续性管理体系（BCMS）的国际标准。

它要求组织建立和维护一个有效的业务连续性管理体系，以确保组织在面临各种内部和外部事故或灾难时能够保持业务连续运营。

ISO/IEC 22301标准提供了一个综合的框架，指导组织在业务连续性管理方面的工作，包括风险评估、恢复策略和测试等方面。

四、ISO/IEC 9001ISO/IEC 9001是国际质量管理体系标准，也是ISO 9000质量管理系列标准的核心标准之一。

它要求组织建立一个完善的质量管理体系，并持续改进其产品和服务的质量。

ISO/IEC 9001标准强调了过程方法和客户导向的理念，帮助组织提高其运营效率和客户满意度。

”产品、系统，（3）安全功能（3）安全功能11个功能类： • • FAU类：安全审计 • • FCO类：通信 • • FCS类：密码支持 • FDP类：用户数据保护• • FIA类：标识与鉴别 • • FMT类：安全管理 FPR类：隐私 FPT类：TSF保护 FRU类：资源利用 FTA类：TOE访问 FTP类：可信路径/ 信道31（4） 安 全 保 证（4） 安 全 保 证32（5）评估保证级• • • • • • • • 七个评估保证级别： EAL1 功能测试 EAL2 结构测试 EAL3 系统地测试和检查 EAL4 系统地设计、测试和复查 EAL5 半形式化设计和测试 EAL6 半形式化验证的设计和测试 EAL7 形式化验证的设计和测试（5） 评 估 保 证 级33（5） 评 估 保 证 级3 国标GB/T 18336• • • • • 等同采用ISO 15408三部分 第一部分： 第二部分： 第三部分： 安全技术要求：《XXX防火墙安全技术要求》 《路由器安全技术要求》 《网络代理服务器安全技术要求》 《政务公开网站通用安全技术要求》34标准DB11/T 1711 2 3 4 5 概述 安全定级准则 安全技术要求 安全管理要求 安全测评工作1 概述• 以往的安全测评针对产品的居多，如何对集成的信息 网络系统进行安全测评，是一个备受关注、富有挑战 性的课题 • DB11/T 171党政机关信息系统安全测评规范，从党政 机关信息系统的信息资产价值和威胁分析出发，落实 “安全等级保护”思想 • 吸纳GB/T 18336和ISO 17799的优点 • 主要分两大部分：安全技术要求、安全管理要求 • 安全技术要求分四个层次：网络系统层、操作系统 层、公共应用平台层、党政应用系统层 • 安全管理要求分10个大项：共121个安全管理要素352 安全定级准则－－基线等级 系统处理的信息价值 系统所处理的信息为一般信息。

iso信息安全管理体系认证标准介绍介绍
---------------------------------------------------------------------- ISO信息安全管理体系认证标准，也称为ISO/IEC 27001认证标准，是国际标准化组织（ISO）为信息安全领域提供的一项认证体系。

该标准的全称是《信息技术-信息安全管理系统-要求》。

这个标准提供了一种基于最佳实践的方法，可以评估、建立、实施、监视、维护和改进信息安全管理体系（ISMS）。

在ISO 27001标准中，ISMS被视为管理企业所有信息和相关资产的方式，包括数据、硬件和软件。

它的主要目的是保护这些资产不受威胁，确保信息的机密性、完整性和可用性。

实现ISO 27001认证标准，企业需要完成以下几个步骤：
1、制定一个安全政策，并确保该政策得到了高级管理层和所有员工的认可和遵守。

2、评估企业的信息安全风险，并制定相应的风险处理方案。

3、建立企业的安全管理体系，并确保持续的监视和维护。

4、进行内部审计和管理审查，以确定ISMS是否有效并持续改进。

5、最终由第三方审核机构进行审核，确保企业达到了ISO 27001认证标准的要求。

总之，ISO 27001认证标准提供了一种基于最佳实践的信息安全管理体系框架，帮助组织建立和维护一种能够保护其重要信息和相关资产的安全机制。

通过实现ISO 27001标准，企业可以提高信息安全意识、降低信息安全风险以及在业界形成信任和信誉。

信息安全产品和信息系统安全的测评与认证1．引言90年代中期以来，随着信息技术突飞猛进的发展，特别是Internet的迅猛发展和美国政府率先推动的建设全球信息高速公路，使各国的信息化进程急剧加快。

我国的信息化热潮也随之日益高涨，有关电子政务、电子商务乃至电子军务的讨论日益热烈。

信息技术和网络空间，给社会的经济、科技、文化、教育和管理的各个方面都注入了新的活力。

人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全与保密的问题。

比如：在网络环境中，国家秘密和商业秘密的保护，特别是政府上网后对涉密信息和敏感信息的保护，网上各种行为者的身份确认与权责利的确认，高度网络化的各种业务（商务、政务等）信息系统运行的正常和不被破坏，网络银行、电子商务中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈，都将成为国家主权、政治、经济、安全和社会稳定的焦点。

为了有效地解决这些问题，信息安全产业就应运而生了。

由于信息技术固有的敏感性和特殊性，信息产品是否安全，专用的信息安全产品以及由这些产品构成的网络系统是否可靠，都成为国家、企业、社会各方面需要科学证实的问题。

为此各国政府纷纷采取颁布标准，以测评和认证等方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格管理。

美国将信息安全列为其国家安全的重要内容之一，由美国国家安全局NSA在美国国家标准技术局的支持下，负责信息安全产品的测评认证工作。

西方国家正纷纷效法，使信息安全的测评认证成为信息化进程中的一个重要领域，受到各界的广泛关注。

2．什么是测评认证1）测评认证的概念测评认证是现代质量认证制度的重要内容，其实质是由一个中立的权威机构，通过科学、规范、公正的测试和评估向消费者、购买者即需方，证实生产者或供方所提供的产品和服务，符合公开、客观和先进的标准。

具体言之，测评认证的对象是产品或过程、服务；它的依据是国家标准、行业标准或认证机构确认的技术规范；它的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审，以及事后定期监督；它的性质是由具有检验技术能力和政府授权认证资格的权威机构，按照严格程序进行的科学公正的评价活动；它的表示方式是颁发认证证书和认证标志。

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设，使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系。

信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学合理化的手段。

信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。

事实上，在这些特定领域标准的执行还要看各个国家的管理法规和制度。

国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二. 国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个。

1.ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。

ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。

2. lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外，还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等，并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。

4.IETF（Internet工程任务组）制定标准的具体工作由各个工作组承担。