国家信息安全标准体系

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家信息安全标准体系 及相关情况介绍
目录
h 标准及标准化有关概念 h 国际信息安全标准化简况 h 我国信息安全标准化简况 h 国家信息安全标准体系框架 h 已颁布的信息安全国家标准
一、标准及标准化有关概念
标准(Standard)定义: 国际标准化组织和国际电工委员会联合发布的 ISO/IEC第二号指南对标准作了如下定义:








产 品 标 准
对象维
技术标准
性 质
经济标准

管理标准
二、国际信息安全标准化简况
全国信息安全标准化技术委员会对口国际 标准化组织是: ISO/IEC JTC1/SC27(国际标准化组 织国际电工委员会联合技术委员会第27分 技术委员会),它是专门从事信息安全标 准化工作的国际组织。
SC27组织结构
标准及标准化有关概念
标准是“为在一定的范围内获得最佳秩序,对活动 或其结果规定共同的和重复使用的规则、指导原则 或特性的文件。该文件经协商一致定并经一个公认 机构的批准”。“标准应以科学、技术和经验的综合 成果为基础,并以促进最大社会效益为目的”。
标准及标准化有关概念
对“标准”的定义可从三个主要方面去理解: 1、标准是对某一对象(称之为标准化对象)进 行统一描述的一种特殊文件。 2、标准是实现系统功能的工具之一,制定标准 的目的是为了满足人类社会的某种需求,取得最 佳经济效益和社会效益。 3、标准产生有自身的规律:
标准化是一门系统工程
(二)标准化系统工程中两个分系统的特征 1、标准系统的特征 (1)目的性与整体性 (2)联系和协调(相关性) (3)动态性和时效性 (4)法规性和灵活性 (5)先进性和合理性
标准化是一门系统工程
2、标准化工作系统的特征 (1)组织上的复杂性和分散性 (2)体制上的依存性和相对独立性 (3)任务上的立法司法性 (4)业务上的技术——管理性 (5)活跃性
标准化是一门系统工程
(一)标准化系统工程主要包括: 1、标准系统 它是由许多现成的和新制定的标准组合成的具有明 确目的性、完整性、寿命期的、成文的概念系统。 标准化系统工程的全部活动就是围绕着它而展开的。 2、标准化工作系统 这是一个负责标准系统制定和贯彻实施的,包括人 员、物质条件和工具制度在内在社会组织系统。
目前下设: 信息安全管理体系工作组(WG1) 密码与安全机制工作组(WG2) 安全评估准则工作组(WG3) 安全控制与服务工作组(WG4) 身份管理与隐私技术工作组(WG5) 五个工作组。
JTC1/SC27/WG1
WG1的工作范围主要包括ISMS(信息安全管理 体系)国际标准的研究和制定。
{ ISO/IEC 27000-ISMS概述和词汇 { ISO/IEC 27003-ISMS实施指南 { ISO/IEC 27004-ISMS测量 { ISO/IEC 27005-ISMS风险管理 { ISO/IEC 27007-ISMS审核指南 { 特定行业(Sector-Specific)ISMS标准 { WG1/WG4 联合会议 { WG1路线图
JTC1/SC27/WG2
{ WG2正式名称为“安全技术和机制”,负责“确定 IT系统和应用对安全技术和机制的需求,并开发 相关安全服务的术语、通用模型和标准”。 工作 范围包括:机密性保护、实体鉴别、抗抵赖、密 钥管理、数据完整性保护 。
{ WG2组是SC27所有工作组中项目最多的工作 组,工作历史也最长,形成了自己的工作特色和 风格,其工作内容基本还是围绕最初成立WG2 时的内容开展工作。经过多年的发展,WG2各 项工作之间的关系也越来越清晰,这点可以从 WG2对标准之间关系上明确看出。
1、标准化是一项完整的活动,是一个过程。它 包括制定标准、发布标准,贯彻实施标准,对标 准的实施进行监督检查,并根据贯彻中产生的问 题,进一步修订完善标准。 2、标准是贯穿于标准化全过程的信息资源。 3、标准化的目的是取得社会效益和经济效益。
标准化是一门系统工程
钱学森在《标准化和标准学研究》一文中指出: “标准化也是一门系统工程,任务就是设计、组 织和建立全国的标准体系,使它促进社会生产 力的持续高速发展”。
在总结各工作 组对本领域标 准体系研究成 果的基础上形 成的
对我国现有信息安全标准进 行归类和整理,在分析国际 信息安全标准的发展动态和 国内信息安全标准需求的基 础上,提出标准体系框架和 标准体系表
一种通用标准系统的体系结构
国际标准 区域标准 专业(部) 标准
地方标准 企业标准
级 别 维




标准及标准化有关概念
“为在一定的范围内获得最佳秩序,对实际的或 潜在的问题制定共同的和重复使用的规则的活 动。”“上述活动特别包括制定、发布及实施标准 的过程”。“标准化的显著好处是改进产品、过程 和服务的适用性,防止贸易壁垒,并便利技术合 作”。对“标准化”的定义从三个方面去理解:
标准及标准化有关概念
这里所说的一定范围从大到小是指国际(区域)、国家、 行业、地方和企业,因此在信息安全技术领域会有国际标 准体系,国家标准体系,行业标准体系,地方标准体系等,而 且通常高层次的标准体系对下有约束力
Biblioteka Baidu息安全标准体系
由信息安全领域内具有内在联系的标准组 成的科学有机整体
信息安全标准体系
编制信息安全标准制、 修订计划的重要依据 , 是一幅现有、应有和预 计制定信息安全标准的 蓝图
标准化是一门系统工程
(三)信息安全标准化 信息安全标准化是诸多标准化领域中一个新生的 标准化领域,它具备一般标准化领域的特征,同 时又有自身的特征,因为信息安全兼具社会科学、 自然科学以及其他许多相关学科的特征。这方面 在学术界还缺乏深入研究。
标准体系的基本概念
按照GB3935.1《标准基本术语第一部分》中定义, 标准体系就是“一定范围内标准按其内在联系形成的科学 的有机整体”
标准及标准化有关概念
(1)确定标准对象以需求为根据。 (2)制定标准以科学、技术和经验的综合成果为基础。 (3)与标准的统一化有关系的各个方面要协调一致。 (4)标准要经过一个公认的(权威的)机构或受权的 机构批准。 (5)标准具有系统性和动态性。
标准及标准化有关概念
标准化(Standardization)定义 国际标准化组织和国际电工委员会联合发布的 ISO/IEC第二号指南对标准化作如下定义:
相关文档
最新文档