7信息安全标准与标准化组织

第1讲 信息安全标准与标准化组织
截止到2010年10月，由全国信息安全标准化委员会组织制定，经国 家标准化管理委员会审查批准发布的我国信息安全标准汇总如表所示。
信息安全国家标准_最新清单（2010.10） http://www.tc260.org.cn/UploadFile/xiaoyu/File/最新标准清单 20101026(1).doc（全国信息安全标准化委员会）
没有信息安全标准，信息化建设的安全可靠就无法保证。信息安全标 准化是支撑国家信息安全保障体系建设，关系国家信息安全的大事， 也可以说是网络时代保证网络安全的交通规则。
信息安全标准体系主要由基础标准、技术标准和管理标准等体 系组成。基础标准体系由安全技术术语、体系结构、模型和框 架等方面标准组成；技术标准体系由密码技术、安全协议、标 识与鉴别、访问控制、电子签名、完整吐保护、抗抵赖、审计 与监控、公钥基础设施、物理安全技术以及其他安全技术等标 准组成；管理标准体系由系统安全管理、等级保护、工程、评 估和运行等方面组成。
第1讲 信息安全标准与标准化组织
二、 信息安全标准化国际组织
目前世界上有近300个国际和区域性组织制定标准或技术规则， 与信息安全标准化有关的国际组织主要有以下4个： 1、ISO（国际标准组织） 2、IEC（国际电工委员会） 3、ITU（国际电信联盟） 4、IETF（Internet工程任务组）
第1讲 信息安全标准与标准化组织
信息安全法律法规
1
信息安全标准与标准 化组织_1
重庆电子工程职业学院李贺华
第1讲 信息安全标准与标准化组织
一、 信息安全标准
信息安全标准在信息安全保障体系建设中发挥着基础胜、规范 性作用，是确保信息安全产品和系统在设计、研发、生产、建 设、使用、测评中，保证其一致性、可靠性、可控性的技术规 范、技术依据。
三、 信息安全标准化国内组织
1、公安部和公安部信息安全产品检测中心
我国从20世纪90年代中期开始制定信息安全1998产品的标准， 并与1998年成立“公安部信息安全产品检测中心”，承担国内 计算机信息系统安全产品和同类进口产品的质量监督检验工 作。目前，由公安部和公安部信息安全产品检测中心制定和发布
全管理方面的标准化工作。
问题：近来看一些产品制造标准，以前接触到的都是GB标准，我的 理解是GB国家标准，现在突然又遇到了GA标准（好像是公共安全行 业标准）。请问高手： 1、这两个标准有什么相同点，命名的原则是什么？ 2、这两个标准有什么不同的适用面，哪些是强制的？ 3、按照我个人的理解，GB比GA的级别更高一些，对吗？两者是怎 样互补的。 答案：GB是国家标准，GA是公安行业标准。两者的关系是： 在有GB、无GA时，要执行GB；在没有GB、有GA时，要执行 GA；在GB、GA同时有时，GA一定高于（严于）GB。你知道 了两者的关系后，你所问的问题知道怎么处理了。
第2讲 信息安全管理标准体系
二、ISO/IEC 27000族标准中有哪些已转化为中国国家标准？
ISO/IEC 27001:2005 已等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005 《信息技术 安全技术 信息安全管理体系 要求》（2008-06-19发布， 2008-11-01实施） ISO/IEC 27002:2005 已等同转化为中国国家标准GB/T 22081-2008/ISO/IEC 27002:2005 《信息技术 安全技术 信息安全管理实用规则》（2008-06-19发布， 2008-11-01实施） 目前，全国信息安全标准化技术委员会（TC260）信息安全管理工作 组（WG7）正在不断推进信息安全管理体系国家标准的编制和转化 工作。
小结与习题_2
欢迎提问？
谢谢！
信息安全法律法规
3
信息安全测评认证工 作体系_3
李贺华
第3讲 信息安全测评认证工作体系
一、信息安全测评认证体系概述
我国信息安全测评认证体系，由三个层次的组织和功能构成。一个认 证管理委员会，一个认证中心，若干个不同类型的测试分支机构。
第一层是国家信息安全测评认证管理委员会。这个管理委员会是一个 跨部门的机构，代表品的供方、需方，对中国国家信息安全测评认证 中心运作的独立性、测评认证活动的公正性、科学性和规范性进行监 督管理。 第二层是国家信息安全测试认证中心。中心是由国家授权，依据有关 标准和认证规范，根据特点产品和信息系统的测试及评估结果，对相 应的产品、信息系统的安全性做出认证，并颁发证书的实体。 第三次是测试分支机构。由中心授权，国家认可，依据标准和测评规 范对不同类型的产品或信息系。统的安全性进行测试评估，向中心出 具测评报告的技术组织。
第2讲 信息安全管理标准体系
六、BS 7799的简单评价
优点：
1.提供了一个组织进行有效安全管理的公共基础，反映了信息 安全的“三分技术，七分管理”的原则。 2.全面涵盖了信息系统日常安全管理方面的内容，提供了一个 可持续提高的信息安全管理环境。包括安全管理的注意事项和 安全制度，具有可操作性。 3.是对一个织织进行全面信息安全评估的基础，可以作为组织 实施信息安全管理的一项体制。 4.规定了建立、实施信息安全管理体系的文档，以及如何根据 组织的需要进行安全控制，可以作为一个非正式认证方案的基 础。
第2讲 信息安全管理标准体系
2000年，BS7799-1被ISO审议通过，升级为国际标准ISO 17799:2000。2005年，BS7799-2成功升级为ISO 27001标准， 并且以后信息安全管理体系将统一到ISO2700X系列上，除了现 有的管理体系和管理指南外，还将陆续出版其它指南，如表所 示。
第2讲 信息安全管理标准体系
六、BS 7799的简单评价
不足： 1.BS 7799仅仅提供一些原则性的建议，如何将这些原则性的建议与各 个组织单位自身的实际情况相结合，构架起符合组织自身状况的ISMS， 才是真正具有挑战性的工作。 2.BS 7799在标准里描述的所有控制方式并非都适合于每种情况，它不 可能将当地系统、环境和技术限制考虑在内，也不可能适合一个组织 中的每个潜在的用户，因此这个标准还需结合实际情况进一步加以补 充。 3.此外，信息安全管理建立在风险评估的基础上，而风险评估本身是 一个复杂的过程，不同组织面临不同程度和不同类型的风险，风险的 测度需要有效的方法支持，因此按照该标准衡量一个系统还需要一些 相关技术的配合。
第2讲 信息安全管理标准体系
四、 ISO 17799：2000简介
信息安全管理实施规则，主要是给负责开发的人员作为参考文档使 用，从而在他们的机构内部实施和维护信息安全。这一部分包括 10 大管理要项， 36 个执行目标， 127 种控制方法，如表 8 - 2 所示。
第2讲 信息安全管理标准体系
实施的信息安全产品评估标准共有50多项，基本覆盖了信息安全产 品的主要项目。
第1讲 信息安全标准与标准化组织
三、 信息安全标准化国内组织
2、信息安全标准化技术委员会（TC260） 2002年4月,我国成立了“全国信息安全标准化技术委员会，（简称 “信息安全标委会”，TC260 ，其英文名称是“China Information Security standardization Technical committee”，英文缩写 “CISTC”）,该标委会是在信息安全的专业领域内,从事信息安全标 准化工作的技术工作组织。官方网站：http://www.tc260.org.cn 信息安全标委会设置了10个工作组,其中信息安全管理（含工程与 开发）工作组(WG7)负责对信息安全的行政、技术、人员等管理提 出规范要求及指导指南。它包括信息安全管理指南、信息安全管理 实施规范、人员培训教育及录用要求、信息安全社会化服务管理规 范、信息安全保险业务规范框架和安全策略要求与指南。
小结与习题_1
欢迎提问？
谢谢！
信息安全法律法规
2
信息安全管理标准体 系_2
李贺华
第2讲 信息安全管理标准体系
一、BS 7799概述
大部分的信息安全管理专家认同“三分技术，七分管理”的说法。正 是在这样的世界大环境和学术界共同认同的原则下，各国的研究机构 都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准， 而英国标准化协会(BSI)，这个在全世界标准界负有盛名的机构，在成 功地为ISO9000、ISO14000等世界著名的标准打好基础后，又一次在 信息安全管理领域拔得头筹，其制定的BS7799信息安全管理标准又一 次成为国际上最具权威的和最具代表性的标准。 由英国标准协会(BSI)编写的信息安全管理体系标准BS 7799-Part 1 (ISO 17799 ,《信息安全管理实施规则》 ) 及BS 7799-Part 2 (ISO 27001，信息安全管理体系规范》 )为各种机构、企业进行信息安全管 理提供了一个完整的管理框架。BS 7799基于风险管理的思想，指导 机构、企业建立信息安全管理体系（ISMS），使机构或企业的信息安 全以最小代价达到需要的水准。
第2讲 信息安全管理标准体系
五、ISO 27001：2005简介
国际标准化组织（ISO）使用Plan-Do-Check-Act（即计划一实施一检 查一纠正）过程模型组织ISO/IEC 27001:2005标准。这个标准规定了 ISMS的建立、实施与运行、监督与评审、维护与改进所要遵循的活动 （过程），并形成一个周期，称“PDCA”周期，如下图所示。
四、 ISO 17799：2000简介
10 个管理要项具体内容如下： 1 .安全政策：安全政策为信息安全提供管理方向和指南。同时管理 层应制定一套清晰的指导原则，并以此明确表明其对信息安全及在 单位内部贯彻实施信息安全政策的支持和承诺。 2 .安全组织：应建立适当的信息安全管理部门对信息安全政策进行 审批，对安全权责任进行分配，并协调单位内部的安全实施。
Βιβλιοθήκη Baidu
第2讲 信息安全管理标准体系
五、ISO 27001：2005简介
信息安全管理体系标准，要求组织利用风险评估的方法，来建立、 实施、运行、监视、评审、保持和改进其ISMS，并根据信息资产的 重要性和价值，选择适当的控制措施，减缓风险。 风险评估和风险处理是ISO27001:2005标准要求的两个相互关联的必 须的活动。一个组织建立ISMS体系，要进行信息资产风险评估和风险 处理，其主要过程是： 制定组织的ISMS方针和风险接受准则。 定义组织的风险评估方法。 识别要保护的信息资产，并进行登记。 识别安全风险，包括识别资产所面临的威胁、组织的脆弱点和造成的 影响等。 对照组织的风险接受准则，评价和确定己估算风险的严重性、可否接 受。 形成风险评估报告。 制定风险处理计划，选择风险控制措施。
第1讲 信息安全标准与标准化组织
三、 信息安全标准化国内组织
3、中国通信标准化协会（CCSA） 中国通信标准化协会(其英文名称是“China Communications Standards Association”，缩写为“CCSA”)于2002年12月18 日在北京正式成立。该协会是国内企、事业单位自愿联合组织 起来，经业务主管部门批准，国家社团登记管理机关登记，开 展通信技术领域标准化活动的非营利性法人社会团体。 CCSA下设多个技术委员会，其中网络与信息安全技术工作委 员会（TC8）下面的ＷＧ３工作组（安全管理工作组）主要负责安
第2讲 信息安全管理标准体系
三、 ISO/IEC 27000族标准中有哪些已转化为中国国家标准？
ISO/IEC 27001:2005 已等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005 《信息技术 安全技术 信息安全管理体系要求》（2008-06-19发布， 2008-11-01实施） ISO/IEC 27002:2005 已等同转化为中国国家标准GB/T 22081-2008/ISO/IEC 27002:2005 《信息技术 安全技术 信息安全管理实用规则》（2008-06-19发布， 2008-11-01实施） 目前，全国信息安全标准化技术委员会（TC260）信息安全管理工作 组（WG7）正在不断推进信息安全管理体系国家标准的编制和转化 工作。