CISP-22-信息安全标准-new

h
7
我国标准化管理和组织机构
▪ 标准化管理性质
• 标准化提供的事公共服务，依法管理 • 标准化管理的性质是国家公共行政行为。
▪ 标准化的管理
• 标准化Biblioteka Baidu理机构
▪ 国务院授权履行行政管理职能，主管机构是国家标准化 管理委员会（Standardization Administration of the People’s Republic of China，简称：SAC）
h
5
标准化基础知识（3/4）
▪ 标准化三维空间
Z
国际级
X轴代表标准化对象
区域级
Y轴代表标准化的内容
国家级
Z轴代表标准化的级别。 行业级
地方级
过产系服人
企业级
程品统务员
术语
X
体系、框架
Y
技术机制 应用
管理
h
6
标准化基础知识（4/4）
▪ 我国通行“标准化八字原理”：
• “统一”原理 • “简化”原理 • “协调”原理 • “最优”化原理
从IT技术领域向社会各个领域渗透，涉及教育、文 化、医疗、交通、商务等广泛领域，需求大量增加。
• (4)从技术角度看，IT标准化的重点将放在网络接口、 软件接口、信息格式、安全等方面，并向着以技术 中立为前提，保证互操作为目的方向发展。
h
11
二、国际、外国、我国信息安全标准化 机构
h
12
信息安全标准化组织 国际标准——ISO（国际标准化组织）
▪ 由146个国家标准成员（每个国家一个）组成的世界 联盟
• 建立于1947（www.iso.org） • 2.952技术成员
▪ 190技术委员会 (TCs)、544子委员会 (SCs)、2.188工作组 (WGs)
• 工作成果发布为国际标准（IS）
▪ 同安全相关的机构
• ISO/IEC JTC 1/SC 27：IT安全技术 • ISO TC 68 “金融服务（Financial Services）” • ISO TC 215 “健康医疗学（Health Informatics）”
信息安全标准
中国信息安全测评中心
h
1
目录
一．标准基础知识简介 二．国际、外国、我国信息安全标准化机构 三．信息安全相关国际标准和指南 四．信息安全相关国内标准和指南 五．一些补充材料
h
2
一、标准基础知识简介
h
3
标准化基础知识（1/4）
▪ 国家标准：GB/T XXXX.X-200X GB XXXX-200X
有关安全标准。
h
14
国际信息安全相关组织（2/4）
▪ IEC
• TC56 可靠性； • TC74 IT设备安全和功效； • TC77 电磁兼容； • CISPR 无线电干扰特别委员会
▪ ITU
• 前身是CCITT • 消息处理系统 • 目录系统(X.400系列、X.500系列) • 安全框架 • 安全模型等标准
▪ 行业标准：GA，GJB ▪ 地方标准：DBXX/T XXX-200X
DBXX/XXX-200X ▪ 企业标准：QXXX-XXX-200X
h
4
标准化基础知识（2/4）
▪ 标准化：为在一定的范围内获得最佳秩序，对实际的 或潜在的问题制定共同的和重复使用的规则的活动
▪ 实质：通过制定、发布和实施标准，达到统一。 ▪ 目的：获得最佳秩序和社会效益。 ▪ 意义：促进和带动产业发展；解决安全互联互通。
h
9
标准化基础
▪ 采标：
• 等同采用IDT（identical）
• 修改采用MOD（modified）
• 非等效采用NEQ（not equivalent）
• 修改和非等效采用时的国际互认问题？
h
10
IT标准化
▪ IT标准发展趋势
• (1)标准逐步从技术驱动向市场驱动方向发展。 • (2)信息技术标准化机构由分散走向联合。 • (3)信息技术标准化的内容更加广泛，重点更加突出，
• 标准的制定修
▪ 全国专业标准化技术委员会是由国家标准化主管机构依 法组建的专家型技术组织
h
8
我国标准工作归口单位
▪ 国家标准化管理委员会，http://www.sac.gov.cn/
▪ 全国信息安全标准化技术委员会（简称信息安全标委会， TC260）， http://www.tc260.org.cn/
▪ 全国信息技术标准化技术委员会（简称信标委,英文缩写为 CITS），负责全国信息技术领域以及与ISO/IEC JTC1相对应 的标准化工作。 http://www.nits.gov.cn/
▪ 全国金融标准化技术委员会（简称金标委），负责金融系统标 准化技术归口管理工作和国际标准化组织中银行与相关金融业 务标准化技术委员会（ISO/TC68、TC222）的归口管理工作。 http://www.cfstc.org/
h
15
国际信息安全相关组织（3/4）
▪ IETF（170多个RFC、12个工作组）
• PGP开发规范(openpgp)； • 鉴别防火墙遍历(aft)； • 通用鉴别技术(cat) ； • 域名服务系统安全(dnssec)； • IP安全协议(ipsec)； • 一次性口令鉴别(otp)； • X.509公钥基础设施(pkix)； • S/MIME邮件安全(smime)； • 安全Shell (secsh)； • 简单公钥基础设施(spki)； • 传输层安全(tls) • Web处理安全 (wts)
h
16
国际信息安全相关组织（4/4）
▪ IEEE
• SILS（LAN/WAN）安全 • P1363公钥密码标准
▪ ECMA(欧洲计算机厂商协会)
• TC32——“通信、网络和系统互连”曾定义了开放系 统应用层安全结构；
• TC36——“IT安全”负责信息技术设备的安全标准。
h
17
外国信息安全标准化组织（1/2）
▪ 美国
• ANSI
▪ NCITS-T4 制定IT安全技术标准 ▪ X9 制定金融业务标准 ▪ X12 制定商业交易标准
• NIST
▪ 负责联邦政府非密敏感信息 ▪ FIPS-197 ▪ NIST Special Publication 800系列
h
13
国际信息安全相关组织（1/4）
▪ ISO
• JTC1其他分技术委员会：
▪ SC6—系统间通信与信息交换 ▪ SC17—识别卡和有关设备 ▪ SC18—文件处理及有关通信 ▪ SC21—开放系统互连，数据管理和开放式分布处理 ▪ SC22—程序语言，其环境及系统软件接口，也开发相应
的安全标准。 ▪ SC30—开放式电子数据交换，主要开发电子数据交换的