信息安全国际标准概述.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为技术
6
标准的来源
• 政府组织 – NIST-National Institute of Standards and Technology – NSA-National Security Agency – GAO- General Accounting Office – BSI- British Standard Institution • 标准化组织 – ISO/IEC JTC1 SC27 – ANSI -American National Standards Institute • 专业组织/行业联盟 – IEEE – IETF – W3C – ISSA-Information Systems Security Association – ITAA-Information Technology Association Of America) • 大学
• 强制性标准:保障人体健康、人身、财产
安全的标准和法律、行政法规规定强制执
行的标准;其它标准是推荐性标准。
无规矩不成方圆
Baidu Nhomakorabea
• 无规矩不成方圆!
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
华为技术
2
什么是信息安全?
保密性 完整性
可用性
CONFIDENTIALATY
INTEGRITY
AVAILABILITY
什么是标准?
• 标准:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践的综合
成果为基础,经有关方面协商一致,由主
管部门批准,以特定的方式发布,作为共
同遵守的准则和依据。
• SP(Special Publications 800 series 是关于计算机安 全的文献)
– SP 800-12 Computer Security Handbook – SP 800-30 Risk Management Guide for IT Systems – SP 800-44 Guidelines on Securing Public Web Servers
其他组织
• ANSI,美国国家标准协会
– 80年代初开始数据加密标准化工作 – 制定了三个通用的国家标准 • ANSI X.9系列财务服务安全标准
• ITU-T,国际电讯联盟
– 前身是CCITT,单独或于ISO合作开 发诸如消息处理系统、目录系统 (X.400系列、X.500系列)和安全 框架、安全模型等标准 • ITU-T X.509 The Directory: Authentication Framework
信息安全国际标准培训
华 为 技 术 有 限 公 司 刘新娜 CISSP/CISA/CCIE
Huawei Technologies Co.,LTD.
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
– ISO 9001 – ISO 14001
IEC,国际电工委员会
• IEC是International Electrotechnical Commission的简称 • 世界上最早的国际性电工标准化机构 • 负责有关电工、电子领域的国际标准 化工作 • 在信息安全技术标准化方面,同ISO联 合成立JTC1 • 在电磁兼容EMC等方面成立技术委员 会,制定相关国际标准
其他组织
• IEEE - 电气电子工程师协会
– 在信息安全方面主要是提出了 LAN/WAN安全方面的标准和公钥密 码标准
• IETF - Internet工程任务组
– 主要提出Internet标准草案和成为 RFC的协议文稿,内容广泛,也包 括安全方面的建议稿,经过网上讨 论修改,被大家广泛接受就成了的 事实上的标准标准
ISO,国际标准化组织
• ISO是International Organization for Standardization的简称 • 国际最大的标准化组织机构 • 与IEC联合成立的JTC1/SC27 负责通 用信息技术安全标准的制定 • ISO/TC68 负责银行和金融服务业务应 用范围内信息安全标准的制定 • 已发布的其他行业的重要标准
NIST,国家标准技术协会
• NIST是美国National Institute of Standards and Technology的简称 • 已发布的部分文献
• FIPS(Federal Information Processing Standards Publications )
– FIPS PUB 140-2 Security Requirements for Cryptographic Modules – FIPS PUB 180-1 Secure Hash Standard – FIPS PUB 197 Advanced Encryption Standard
ISO/IEC JTC1/SC27
– JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负 责安全技术标准的制定、审核 – 已发布的部分标准 • ISO/IEC 18033 加密机制 • ISO/IEC 9796,14888.15964 数字签名 • ISO/IEC TR 13335 GMITS • ISO/IEC 15408 Evaluation criteria for IT Security • ISO/IEC 17799 Code of Practice for Information Security Management • ISO/IEC 21287 SSE-CMM
提纲
概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
6
标准的来源
• 政府组织 – NIST-National Institute of Standards and Technology – NSA-National Security Agency – GAO- General Accounting Office – BSI- British Standard Institution • 标准化组织 – ISO/IEC JTC1 SC27 – ANSI -American National Standards Institute • 专业组织/行业联盟 – IEEE – IETF – W3C – ISSA-Information Systems Security Association – ITAA-Information Technology Association Of America) • 大学
• 强制性标准:保障人体健康、人身、财产
安全的标准和法律、行政法规规定强制执
行的标准;其它标准是推荐性标准。
无规矩不成方圆
Baidu Nhomakorabea
• 无规矩不成方圆!
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
华为技术
2
什么是信息安全?
保密性 完整性
可用性
CONFIDENTIALATY
INTEGRITY
AVAILABILITY
什么是标准?
• 标准:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践的综合
成果为基础,经有关方面协商一致,由主
管部门批准,以特定的方式发布,作为共
同遵守的准则和依据。
• SP(Special Publications 800 series 是关于计算机安 全的文献)
– SP 800-12 Computer Security Handbook – SP 800-30 Risk Management Guide for IT Systems – SP 800-44 Guidelines on Securing Public Web Servers
其他组织
• ANSI,美国国家标准协会
– 80年代初开始数据加密标准化工作 – 制定了三个通用的国家标准 • ANSI X.9系列财务服务安全标准
• ITU-T,国际电讯联盟
– 前身是CCITT,单独或于ISO合作开 发诸如消息处理系统、目录系统 (X.400系列、X.500系列)和安全 框架、安全模型等标准 • ITU-T X.509 The Directory: Authentication Framework
信息安全国际标准培训
华 为 技 术 有 限 公 司 刘新娜 CISSP/CISA/CCIE
Huawei Technologies Co.,LTD.
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
– ISO 9001 – ISO 14001
IEC,国际电工委员会
• IEC是International Electrotechnical Commission的简称 • 世界上最早的国际性电工标准化机构 • 负责有关电工、电子领域的国际标准 化工作 • 在信息安全技术标准化方面,同ISO联 合成立JTC1 • 在电磁兼容EMC等方面成立技术委员 会,制定相关国际标准
其他组织
• IEEE - 电气电子工程师协会
– 在信息安全方面主要是提出了 LAN/WAN安全方面的标准和公钥密 码标准
• IETF - Internet工程任务组
– 主要提出Internet标准草案和成为 RFC的协议文稿,内容广泛,也包 括安全方面的建议稿,经过网上讨 论修改,被大家广泛接受就成了的 事实上的标准标准
ISO,国际标准化组织
• ISO是International Organization for Standardization的简称 • 国际最大的标准化组织机构 • 与IEC联合成立的JTC1/SC27 负责通 用信息技术安全标准的制定 • ISO/TC68 负责银行和金融服务业务应 用范围内信息安全标准的制定 • 已发布的其他行业的重要标准
NIST,国家标准技术协会
• NIST是美国National Institute of Standards and Technology的简称 • 已发布的部分文献
• FIPS(Federal Information Processing Standards Publications )
– FIPS PUB 140-2 Security Requirements for Cryptographic Modules – FIPS PUB 180-1 Secure Hash Standard – FIPS PUB 197 Advanced Encryption Standard
ISO/IEC JTC1/SC27
– JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负 责安全技术标准的制定、审核 – 已发布的部分标准 • ISO/IEC 18033 加密机制 • ISO/IEC 9796,14888.15964 数字签名 • ISO/IEC TR 13335 GMITS • ISO/IEC 15408 Evaluation criteria for IT Security • ISO/IEC 17799 Code of Practice for Information Security Management • ISO/IEC 21287 SSE-CMM
提纲
概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)