信息安全生产管理标准与信息化管理介绍

信息安全相关标准介绍

第一页，共七十九页。内容提纲一、标准和标准化概述二、信息安全标准化组织三、信息安全标准体系研究四、重要信息安全标准介绍

六、存在问题分析五、研究热点追踪第二页，共七十九页。一、标准和标准化

概述第三页，共七十九页。信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据；统一标准是信息系统互联、互通、互操作的前提；信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段；从国家意义上来说，信息安全标准关系到国家的安全及经济利益，标准往往成为保护国家利益、促进产业发展的一种重要手段。

信息安全标准化的作用一、标准和标准化概念第四页，共七十九页。标准化的基本原理

我国标准化工作者根据自己的实践，用自己的语言，总结了“简化”、“统一”、“协调”、“选优”的八字原理，成为我国标准化界的一种共识。1、简化具有同种功能的标准化对象，当其多样性的发展规模超出必要的范围时，即应消除其中多余的、可替换的和低功能的环节，保持其构成的精练合理，使总体功能最佳。2、统一在一定时期，一定条件下，对标准化对象的形式、功能或其它技术特性所确立的一致性，应与被取代的事物功能等效。3、协调在标准系统中，只有当各个标准（子系统）之间的功能彼此协调时，才能实现整体系统的功能最佳。4、选优按照特定的目标，在一定的限定条件下，对标准系统的构成因素及其关系进行选择、设计或调整，使之达到最理想效果。一、标准和标准化概念第五页，共七十九页。

国际标准在区域标准或国家标准中的采用，以相应国际标准为基础发布区域或国家标准性文件，或认可该国际标准具有与国家标准性文件相同的地位，同时标明与相应国际标准的差异。根据采用的程度可分为：等同采用、非等效采用和修改采用。1、等同采用：符合下述条件时，区域标准或国家标准与相应国际标准等同：（1）区域标准或国家标准在技术内容，标准结构或措词方面相同（或者等同翻译）或（2）区域标准或国家标准尽管有微小编辑修改，但在技术内容方面等同。2、修改采用（MOD）：区域标准或国家标准对相应国际标准按下述条件进行修改。区域标准或国家标准与相应国际标准之间允许存在技术性差异，但是要清楚地标识并说明这些差异。区域标准或国家标准反应相应国际标准的结构。只有修改后两个标准的内容和结构还可以进行比较，才允许对标准的结构进行修改。3、非等效采用：区域标准或国家标准与相应的国际标准在技术内容和文本结构上不同，同时它们之间的差异也没有清楚地标识。”非等效”还包括在区域标准或国家标准中只保留有少量或不重要的国际标准条款的情况。”非等效”不属于采用国际标准。国际标准的采用一、标准和标准化概念第六页，共七十九页。二、信息安全标准化组织介绍第七页，共七十九页。2.1国际信息安全标准化组织

ISO/IECJTC1SC27

早在1977年，世界上就出现了第一个数据加密标准，这是国外乃至国际上信息安全标准化工作的开端。随着通信和计算机网络的发展，国际上信息安全标准化工作也于80年代有了较快的发展，在90年代已经引起了世界各国的普遍关注。目前世界上与信息安全标准化有关的主要组织有：国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）、互联网工程任务组（IETF）等。工作组介绍ISO（国际标准化组织）和IEC（国际电工委员会）是世界上专门的标准化组织。在信息技术领域，ISO和IEC成立了一个联合技术委员会JTC1。SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。SC27IT安全技术分委员会成立于1990年4月，2006年5月SC27工作组调整后，SC27下设五个工作组，各工作组信息如表2.1所示，各工作组关系如图2.1所示。第八页，共七十九页。2.1国际信息安全标准化组织制定标准情况

截止到2007年底，该分技术委员会已制定和正在研制的国际标准有120多项，这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全评估、安全管理等领域，近几年颁布的比较有影响力的标准有：ISO/IEC15408（IT安全性评估准则，包含3个部分）、ISO/IEC15443（IT安全保障框架，包含3个部分）、ISO/IEC218279（系统安全工程能力成熟模型）和ISO/IEC27000系列（信息安全管理系统，已完成7个部分，计划包含20多个子标准）。

联络关系介绍

随着边缘技术的出现，以及JTC1内其他分技术委员会职责范围的交叉，SC27启动了联合工作机制，与许多组织进行了成功的合作。例如：ISO/IECJTC1内有SC6，SC17，SC18，SC21，SC22和SC30；ISO内包括TC68和TC215；外部组织包括CCIMB、ETSI、ITU-T和ISSEA。和SC27存在联络关系的相关标准化机构或协会及联络类型如下：第九页，共七十九页。2.1国际信息安全标准化组织SC27成员组成情况

SC27成员包括积极参加成员（P成员）和观察员（O成员）两种。P成员可参与TC、SC的技术工作，而O成员则只能获取信息。每个TC或SC均从P成员中任命一个成员主持秘书处并领导该委员会或分委员会。P成员：31个包括：巴西、西班牙、法国、美国、印度、英国、捷克共和国、德国、丹麦、马来西亚、乌克兰、俄罗斯联邦、比利时、日本、韩国、肯尼亚、荷兰、奥地利、波兰、南非、中国、澳大利亚、加拿大、卢森堡、芬兰、瑞典、挪威、瑞士、新西兰、新加坡、意大利。O成员：11个包括：罗马尼亚、印度尼西亚、爱沙尼亚、阿根廷、塞尔维亚、立陶宛、匈牙利、爱尔兰、以色列、斯洛伐克、土耳其。

第十页，共七十九页。2.1国际信息安全标准化组织

国际电工委员会（InternationalElectrotechnicalCommission）成立于1906年，是世界上成立最早的非政府性国际电工标准化机构，是联合国经社理事会（ECOSOC）的甲级咨询组织。1947年ISO成立后，IEC曾作为电工部门并入ISO，但在技术上、财务上仍保持其独立性。根据1976年ISO与IEC的新协议，两组织都是法律上独立的组织，IEC负责有关电工、电子领域的国际标准化工作，其他领域则由ISO负责。IEC除与ISO联合成立了JTC1外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会负责安全标准研制，如TC56（可靠性）、TC74（IT设备安全和功效）、TC77（电磁兼容）、TC108（音频/视频）、信息技术和通信技术电子设备的安全等，并制定相关国际标准，如信息技术设备安全（IEC60950）等。

国际电工委员会（IEC）

第十一页，共七十九页。2.1国际信息安全标准化组织国际电信联盟（ITU）

国际电信联盟电信标准局ITU-T所属的第17研究组SG17，主要负责研究通信系统安全标准。2001年底，SG7、SG10和SG17合并形成了新的SG17。在2001至2004年这一研究期中，SG17下设了Question10项目组来专门从事信息安全标准研究。在此研究期内，Q10组主要集中于定义通信系统相关的整个安全框架，项目组活动涉及到协调、配合并推动其他通信系统安全相关的规范制定。根据2004年3月SG17组会议安排，在下一个研究期，SG17将把Q10改组成以下六个课题组：Q.G-安全项目、Q.H-安全结构和框架、Q.I-计算机网络安全、Q.J-安全管理、Q.K-基于生物特征的身份认证、Q.L-安全通信服务。ITU-T单独或与ISO联合开发了消息处理系统（MHS）、目录系统（X.400系列、X.500系列）和安全框架、安全模型等方面的信息安全标准，其中的X.509标准是开展电子商务认证的重要基础标准。截止2009年3月，ITU-T正式发布的信息安全标准达100多个。第十二页，共七十九页。2.1国际信息安全标准化组织互联网工程任务组（IETF）

IETF主要关注与互联网有关的网络与信息安全问题，其请求注解（RFC）是业界公认的事实标准。IETF一直设有专门的安全研究领域，负责研究网络授权、认证、审计等与安全保护有关的协议和标准。目前，IETF有关信息安全的工作组有：BTNS（有点安全总比没有强）、DKIM（域密钥标识邮件）、EMU（EAP方法改进）、HOKEY（切换键控）、ISMS（关于SNMP的整套安全模型）、KEYPROV（对称密钥的准备）、KITTEN（下一代GSS-API）、KRB-WG（kerbero工作组）、LTANS（长期归档和公证服务）、MSEC（组播安全）、NEA（网络端点评价）、OPENPGP（关于PGP的开放式规范）、PKIX（基于X.509的公钥基础设施）、SASL（简单鉴别和安全分层）、SMIME（S/MIME邮件安全）、SYSLOG（在网络事件记录方面的安全课题）、TLS（传送层安全）等17个。第十三页，共七十九页。

截止到2006年底，有关安全方面的RFC有270多个。这些工业标准对提高和改善互联网的安全性起到了至关重要的作用，如PKI、IPSec、TLS、PGP等方面的RFC成为了指导互联网安全的重要文件。当前IETF主要关注垃圾邮件处理、无线网络安全、组播安全、安全审计、安全认证、PKI、TLS等方面的问题。

第十四页，共七十九页。2.2美国信息安全标准化组织美国国家标准化协会（ANSI）

ANSI于20世纪80年代初开始数据加密标准化工作，共制定了3项美国国家标准。ANSI中技术委员会NCITS（即X3）负责信息技术，承担着JTC1秘书处的工作，其中，分技术委员会T4专门负责IT安全技术标准化工作，对口JTC1的SC27。ANSI负责金融安全的X3（NCITS）、X9（负责制定金融业务标准）、X12（负责制定商业交易标准）等组织制定了很多有关数据加密、银行业务安全和EDI安全等方面的标准。这些标准中，许多经国际标准化组织反复讨论后成为国际标准。已制定金融交易卡、密码服务消息，以及实现商业交易安全等方面的安全标准10多个。

美国国家标准技术研究所（NIST）

NIST主要负责制定联邦计算机系统标准和指导文件，所出版的标准和规范被称作联邦信息处理标准（FIPS）。FIPS安全标准也是美国军用信息安全标准的重要来源。

第十五页，共七十九页。2.2美国信息安全标准化组织

FIPS由NIST在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前，将FIPS分送给每个政府机构，并在”联邦注册”上刊印出版。经再次征求意见之后，NIST局长把标准连同NIST的建议一起呈送美国商业部，由商务部长签字划押同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准（DES）。从二十世纪70年代公布的数据加密标准（DES）开始，NIST制定了一系列有关信息安全方面的联邦信息处理标准（FIPS），美国国家标准技术研究院（NIST）制定了大量与信息安全有关的非密敏感标准，截止到2006年底已制定了30多项信息安全相关的联邦信息处理标准（FIPS）和近120项信息安全相关的专题出版物（SP800系列和SP500系列），这些标准和指南涉及密码算法、密码模块评测、信息系统评测、信息系统管理等多个方面，最常用的FIPS安全标准有DES、AES等。

美国国家标准技术研究所（NIST）第十六页，共七十九页。2.2美国信息安全标准化组织美国电气电工工程师协会（IEEE）

IEEE在网络与信息安全标准化方面的贡献主要包含两个方面：一是电气和电磁安全，如IEEEC2《国家电气安全规程》等；另一方面是信息安全，提出了LAN/WAN安全（IEEE802.10）、WLAN安全（IEEE802.11i）和公钥密码（P1363）等方面的标准。从1990年IEEE成立802.11“无线局域网工作组”以来，相继成立的802.15“无线个人网络工作组”、802.16“无线宽带网络工作组”和802.20“移动宽带无线接入工作组”等在无线通信安全方面也作了大量的贡献，如正在研制的IEEE802.11i。目前，IEEE主要关注WLAN安全、WiMAX安全、汽车电子安全等。第十七页，共七十九页。除上述主要的国际和地区性标准化组织外，3GPP、3GPP2、OMA（开放移动联盟）、OASIS（结构化信息标准促进组织）、ATIS（电信工业解决方案联盟）、ECMA（欧洲计算机制造商协会）等专业性标准组织以及英德等国也制定了一些安全标准。2.3国外其它信息安全标准化组织OMA在网络与信息安全标准化方面，主要侧重于数据业务。在OMA设有专门的技术委员会负责安全标准研究，即TCsecurity，目前主要关注无线公钥基础设施（WPKI）、在线证书状态协议（OCSP）、应用层安全、智能卡Web服务、移动在线认证以及在线密钥生成等方面的研究。在OMA除TCsecurity外，还设有专门的技术委员会负责数字版权管理方面的研究。ATIS也设有一个技术工作委员会（IDSC），专门负责信息安全和数据安全方面的标准研究，主要在身份鉴别、数据保护、风险管理等方面，并出版了相应的报告。

主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36——“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。是欧洲地区性标准化组织，已颁布120多个网络与信息安全标准。其下属技术委员会SAFETY（安全），主要研究电气安全方面的标准；技术委员会ESI（电子签名和基础设施）主要研究电子签名和PKI方面的标准；技术委员会LI（合法监听）主要研究合法监听方面的标准；特设组SAGE（安全算法专家组）负责研究密码算法方面的标准，如GSM鉴权算法A3/A5算法。目前，ETSI主要关注电子签名、合法监听、移动通信安全、NGN安全、安全算法和智能卡安全等。

主要制定计算机及其相关应用的标准和技术报告，经常向ISO提交标准提案。JTC1的欧洲秘书处就设在ECMA。它有11个技术委员会，其中TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构；TC36——“IT安全”负责信息技术设备的安全标准，目前主要制定商用和政府用信息技术产品和系统安全性评估标准化框架，以及在开放系统环境下逻辑安全设备的框架。3GPP在其业务和系统技术规范组下专门设置有工作组即WG3负责安全标准研究，3GPP2也在TSG-S业务和系统下设工作组WG4负责安全标准研究。此两标准组织所研究的安全标准主要是与第三代移动通信有关，主要涉及算法、安全架构（如IMS安全架构等）等。1.欧洲计算机生产商协会（ECMA）

2.欧洲电信标准协会（ETSI）

3.3GPP

4.开放移动联盟（OMA）

6.结构化信息标准促进组织（OASIS）

5.电信工业解决方案联盟（ATIS）

其它信息安全标准化组织此外，英国标准学会（BSI）所制定的BS7799系列标准和德国的IT基线保护手册也是国际上比较有影响力的安全标准。第十八页，共七十九页。2.4我国信息安全标准化组织全国信息安全标准化技术委员会（TC260）

全国信息安全标准化技术委员会（TC260）成立于2002年4月15日。它是ISO/IECJTC1SC27的国内对口组织。信安标委主要负责全国信息安全技术、安全机制、安全服务、安全管理和安全评估等领域的标准化工作，负责统一协调信息安全国家标准年度计划项目的申报，并组织国家标准的送审和报批工作，是我国网络与信息安全国家标准的牵头组织。组织结构

信安标委的标准研究工作采用工作组的方式进行，其组织结构如图所示。

第十九页，共七十九页。2.4我国信息安全标准化组织工作组情况

委员会以开放式的工作组为主体开展信息安全标准的研究制定工作。由于工作组是根据信息安全标准体系结构进行设立的，这保证了各工作组任务的明确性和相互间的协调性。

WG1：信息安全标准体系与协调工作组任务：研究信息安全标准体系；跟踪国际信息安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目及设立新工作组的建议；协调各工作组项目。负责标准体系研究和标准化协调。组长：中国电子技术标准化研究所林宁工作组联络处：中国电子技术标准化研究所WG1开展的研究项目：①信息安全标准体系的研究②电子政务标准化指南—第六部分：信息安全③信息安全标准术语第二十页，共七十九页。2.4我国信息安全标准化组织WG2：涉密信息系统标准工作组

任务：负责涉密信息系统标准研究

组长：组长单位为国家保密局WG1开展的研究项目：①涉密信息消除和介质销毁②信息安全保密产品技术要求和测试方法③涉密信息系统技术要求和测评④涉密信息系统管理WG3：密码标准工作组任务：负责密码相关国家标准研究

组长：组长单位为国家密码管理局

正开展的研究项目：①分组算法应用接口规范②证书认证系统密码及相关安全技术规范③PCI密码卡技术规范④ECC算法应用接口规范⑤杂凑算法应用接口规范第二十一页，共七十九页。2.4我国信息安全标准化组织WG4：PKI/PMI工作组

任务：国内外PKI/PMI标准体系的分析；研究PKI/PMI标准体系；国内急用的标准调研；完成一批PKI/PMI基础性标准的制定工作。鉴别与授权工作组。主要负责PKI/PMI等方面的标准研究，已完成GB/T20518《信息技术安全技术公钥基础设施数字证书格式》等10多个标准的研究。

组长：中国科学院研究生院冯登国

副组长：国家信息安全工程技术研究中心袁文恭、国家信息中心吴亚非工作组联络处：国家信息中心开展的研究项目：①公开密钥和属性证书框架(X.509)②时间戳规范③基于X509的证书管理协议④数字证书状态查询协议⑤PKI组件最小互操作规范⑥PKI安全支撑平台等⑦证书认证机构运营管理规范

⑧证书载体应用程序接口⑨基于X509的国内数字证书格式规范⑩PKI系统安全保护等级技术要求第二十二页，共七十九页。2.4我国信息安全标准化组织WG5：信息安全评估工作组

任务：调研国内外测评标准现状与发展趋势；研究提出我国统一测评标准体系的思路和框架；研究提出信息系统和网络的安全测评标准思路和框架；研究提出急需的测评标准项目和制定计划。信息安全评估工作组。负责安全评估方面的标准研究，已完成网上银行系统、网上证券系统等应用系统评估标准以及安全路由器、防火墙、入侵检测系统等产品评估标准，正在开展安全等级保护相关的评估标准研究。

组长：解放军信息安全测评认证中心崔书昆副组长：公安部公共信息网络安全监察局景乾元、国家信息安全评测认证中心李守鹏

工作组联络处：解放军信息安全测评认证中心第二十三页，共七十九页。2.4我国信息安全标准化组织WG7：信息安全管理工作组

任务：信息安全管理标准体系的研究；国内急用的标准调研；完成一批信息安全管理相关基础性标准的制定工作。已完成ISO/IEC13335.1-2、ISO/IEC17799等国际标准的采标工作，正在开展ISO/IEC27000系列标准的采标工作，并正在研究风险管理、安全事件管理、灾难备份等。

组长：中国电子技术标准化研究所王立建

工作组联络处：中国电子技术标准化研究所

WG7开展的研究项目：①信息技术安全技术IT安全管理指南②信息技术信息安全管理实用规则③信息技术安全技术系统安全工程能力成熟度模型(SSE-CMM)第二十四页，共七十九页。2.4我国信息安全标准化组织标准制定情况

截止到2007年底，信安标委成立后共开展了115项国家标准的制定工作，有一半以上是自主研制的，目前有59项已完成制定，还有56项在研究制定中。在跟踪研究国际标准的同时，我国积极为国际标准作贡献。2007年我国提出的《信息安全管理体系审核指南》和《三元实体鉴别》两项提案被SC27接受，成为国际标准新工作项目。

信安标委未来工作重点

信息安全标准化工作在以后几年中，在重点做好信息安全保障体系建设急需重要标准的同时，要重点抓好信息安全国家标准的宣贯和试点示范工作，推进标准的实施应用。

第二十五页，共七十九页。2.4我国信息安全标准化组织公安信息系统安全标准化技术委员会公安部信息系统安全标准化技术委员会主要负责：规划和制定计算机信息系统安全保护等级、应用系统安全等级评估检测、计算机信息系统安全产品、计算机信息系统安全管理等方面标准。公安部已发布了14个正式标准，主要涉及计算机病毒检测、等级保护等方面，正在开展等级保护方面的有近40个。公安信息安全标准体系图如图所示。

第二十六页，共七十九页。2.4我国信息安全标准化组织

此外，安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。

中国通信标准化协会网络与信息安全技术工作委员会

中国通信标准化协会网络与信息安全技术工作委员会（编号为TC8），负责组织开展通信行业网络与信息安全标准化工作。TC8现设有4个工作组有线网络安全（WG1）、无线网络安全（WG2）、安全管理（WG3）、安全基础（WG4），另外还设有安全防护标准和绿色上网标准2个特设项目组。第二十七页，共七十九页。三、信息安全标准

体系

第二十八页，共七十九页。3.信息安全标准体系课题目标至今，在世界范围内尚未形成统一的、公认的标准体系结构。但是许多国家、不同部门都在研究自身的信息安全标准体系结构。（1）美国的体系结构第二十九页，共七十九页。3.信息安全标准体系

WG1需求安全服务与指南标准（22项）WG2安全技术和机制标准（45项）WG3系统和产品安全评估与认证标准（15项）ISO-JTC/SC27ISO-JTC/SC27（2）ISO标准体系结构（截止到2007年底）第三十页，共七十九页。3.信息安全标准体系实体安全（A）环境安全（A10）设备安全（A20）媒体安全（A30）

运行安全（B）风险分析（B10）审计跟踪（B20）备份与恢复（B30）应急（B40）应急计划辅助软件（B41）应急设施（B42）信息安全（C）操作系统安全（C10）安全操作系统（C11）操作系统安全部件（C12）数据库安全（C20）安全数据库系统（C21）数据库系统安全部件（C22）网络安全（C30）网络安全管理（C31）安全网络系统（C32）网络系统安全部件（C33）（3）GA163-1997关于计算机信息系统安全专用产品分类原则第三十一页，共七十九页。3.信息安全标准体系（4）一种信息安全产品与标准体系结构草案1、网络通信安全类7、内容安全类2、身份鉴别类8、基础平台与中间3、应用安全类9、恶意代码防治类4、监控与审计类10、密码基础类5、安全隔离类11、密码设备类6、数据安全类12、密码模块类第三十二页，共七十九页。3.信息安全标准体系（5）一种基于通用标准体系结构的信息安全标准体系结构国际级区域级企业级国家级行业级地方级产品系统人员服务事件对象基础技术工作管理内容第三十三页，共七十九页。3.2我国信息安全标准体系信息安全技术标准体系框架

信息安全技术标准从总体上可划分为六大类：基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准，在每一大类的基础上，可按照标准所涉及的主要内容进行细分。信息安全技术标准体系总体框架如图所示。

图3.1信息安全技术标准体系总体框架

第三十四页，共七十九页。3.2我国信息安全标准体系标准体系介绍基础标准

：图3.2基础标准体系框架第三十五页，共七十九页。3.2我国信息安全标准体系第三十六页，共七十九页。3.2我国信息安全标准体系第三十七页，共七十九页。3.2我国信息安全标准体系技术与机制标准图3.3技术与机制标准体系框架技术与机制标准包括标识与鉴别、授权与访问控制、实体管理和物理安全技术标准，体系框架如图所示。

第三十八页，共七十九页。3.2我国信息安全标准体系第三十九页，共七十九页。3.2我国信息安全标准体系第四十页，共七十九页。3.2我国信息安全标准体系第四十一页，共七十九页。3.2我国信息安全标准体系第四十二页，共七十九页。3.2我国信息安全标准体系图4.4信息安全管理标准体系框架信息安全管理标准

：技术与机制标准包括标识与鉴别、授权与访问控制、实体管理和物理安全技术标准，体系框架如图所示。

第四十三页，共七十九页。3.2我国信息安全标准体系第四十四页，共七十九页。3.2我国信息安全标准体系信息安全测评标准

：信息安全测评标准包括测评基础标准、产品测评标准和系统测评标准，信息安全测评标准体系框架如图5.5所示。如图所示。

第四十五页，共七十九页。第四十六页，共七十九页。3.2我国信息安全标准体系第四十七页，共七十九页。3.2我国信息安全标准体系第四十八页，共七十九页。3.2我国信息安全标准体系第四十九页，共七十九页。四、主要信息安全

标准介绍第五十页，共七十九页。BS7799系列（ISO/IEC27000系列）•BS7799Part1的全称是CodeofPracticeforInformationSecurity，也即为信息安全的实施细则。2000年被采纳为ISO/IEC17799，目前其最新版本为2005版，也就是ISO17799:2005。ISO/IEC17799:2005通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素，还有39个主要执行目标和133个具体控制措施（最佳实践），供负责信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。

•BS7799Part2的全称是InformationSecurityManagementSpecification，也即为信息安全管理体系规范，其最新修订版在05年10月正式成为ISO/IEC27001:2005，ISO/IEC27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。

第五十一页，共七十九页。ISO/IECTR13335系列

ISO/IECTR13335系列标准（旧版）－GMITS，由5部分标准组成：

•ISO/IEC13335-1:1996《IT安全的概念与模型》

•ISO/IEC13335-2:1997《IT安全管理与策划》

•ISO/IEC13335-3:1998《IT安全管理技术》

•ISO/IEC13335-4:2000《防护措施的选择》

•ISO/IEC13335-5:2001《网络安全管理指南》

目前，ISO/IEC13335-1:1996已经被新的ISO/IEC13335-1:2004（MICTS第1部分：信息和通信技术安全管理的概念和模型）所取代，ISO/IEC13335-2:1997也将被正在开发的ISO/IEC13335-2（MICTS第2部分：信息安全风险管理）取代。

ISO/IECTR13335只是一个技术报告和指导性文件，并不是可依据的认证标准，信息安全体系建设参考BS7799，具体实践参考ISOTR13335。

第五十二页，共七十九页。SSE-CMM

SSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局(NSA)领导开发的，是专门用于系统安全工程的能力成熟度模型。

SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。

系统安全工程过程一共有三个相关组织过程：

•工程过程

•风险过程

•保证过程

共分5个能力级别，11个过程区域：

•基本执行级

•计划跟踪级•充分定义级•量化控制级

•持续改进级

2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002《信息技术系统安全工程－成熟度模型》。

SSE-CMM和BS7799都提出了一系列最佳惯例，但BS7799是一个认证标准（第二部分），提出了一个可供认证的ISMS体系，组织应该将其作为目标，通过选择适当的控制措施（第一部分）去实现。而SSE-CMM则是一个评估标准，适合作为评估工程实施组织能力与资质的标准

第五十三页，共七十九页。通用标准CC(ISO/IEC15408)我们通常所称的通用标准或通用准则（CommonCriteria，简称CC）是指ISO/IEC15408:1999标准。目前CC标准的最新版本是2.2；CC2.1版在1999年成为国际标准ISO/IEC15408:1999；我国在2001年等同采用为国家标准GB/T18336－2001。

CC标准由三个部分组成：

•GB/T18336.1－2001idtISO/IEC15408-1:1999信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型•GB/T18336.2－2001idtISO/IEC15408-2:1999信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求

•GB/T18336.3－2001idtISO/IEC15408-3:1999信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求

与BS7799标准相比，CC的侧重点放在系统和产品的技术指标评价上，BS7799在阐述信息安全管理要求时，并没有强调技术细节。因此，组织在依照BS7799标准来实施ISMS时，一些牵涉系统和产品安全的技术要求，可以借鉴CC标准。

第五十四页，共七十九页。ITIL和BS15000

ITIL的全称是信息技术基础设施库（InformationTechnologyInfrastructureLibrary）。ITIL针对一些重要的IT实践，详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等。

IT服务管理中最主要的内容就是服务交付（ServiceDelivery）和服务支持（ServiceSupport）

服务交付（ServiceDelivery）：

•ServiceLevelManagement

•FinancialManagementforITService

•CapacityManagement

•ITServiceContinuityManagement

•AvailabilityManagement

服务支持（ServiceSupport）：

•ServiceDesk

•IncidentManagement

•ProblemManagement

•ConfigurationManagement

•ChangeManagement

•ReleaseManagement

2001年，英国标准协会在国际IT服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。

BS15000有两个部分，目前都已经转化成国际标准了。

•ISO/IEC20000-1:2005信息技术服务管理-服务管理规范（Informationtechnologyservicemanagement.SpecificationforServiceManagement）

•ISO/IEC20000-2:2005信息技术服务管理-服务管理最佳实践（Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement）

与BS7799相比，ITIL关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将BS7799作为ITIL在信息安全方面的补充，同时引入ITIL流程的方法，以此加强信息安全管理的实施能力。

第五十五页，共七十九页。CoBIT

CoBIT的全称是信息和相关技术的控制目标（ControlObjectivesforInformationandrelatedTechnology），是ITGI提出的IT治理模型（ITGovernance)，是一个IT控制和IT治理的框架（Framework）。CobiT是一个在更高的层面上指导管理层进行技术标准和信息系统管理的IT治理模型。

CoBIT的八个控制过程：

•计划和组织（Planning&Organisation）

•采购和实施（Acquisition&Implementation）

•交付和支持（Delivery&Support）

•监视和评估（Monitoring&Evaluation）

CoBIT的七个控制目标：

•机密性（Confidentiality）

•完整性（Integrity）

•可用性（Availability）

•有效性（Effectiveness）

•高效性（Efficiency）

•可靠性（Reliability）

•符合性（Compliance）

目前基本上存在着两类控制模型，一类是类似COSO这样的商业控制模式（businesscontrolmodel），另一类则是像BS7799这样的更关注IT的控制模型（morefocusedonITcontrolmodel），而CoBIT的目标是在两者之间架起一座桥梁。第五十六页，共七十九页。NISTSP800系列

美国国家标准技术协会（NationalInstituteofStandardsandTechnology，NIST）发布的SpecialPublication800文档是一系列针对信息安全技术和管理领域的实践参考指南，其中有多篇是有关信息安全管理的，包括：

•SP800-12：计算机安全介绍（AnIntroductiontoComputerSecurity:TheNISTHandbook）

•SP800-30：IT系统风险管理指南（RiskManagementGuideforInformationTechnologySystems）

•SP800-34：IT系统应急计划指南（ContingencyPlanningGuideforInformationTechnologySystems）

•SP800-26：IT系统安全自我评估指南（SecuritySelf-AssessmentGuideforInformationTechnologySystems）

这些文件可以作为实施ISMS过程中一些关键任务的指导和参照（例如风险评估、应急计划等），是对BS7799标准很好的补充和细化。

第五十七页，共七十九页。五、信息安全标准化研究热点第五十八页，共七十九页。2006年5月8日至17日，ISO/IECJTC1/SC27第32届工作组会议与与全体会议在西班牙召开。

WG1

（1）WG1工作组会议对WG1和WG4标准项目的预留编号范围进行了初步划定：27000～27009留予WG1的ISMS标准族，27010～27019留予ISMS标准族的解释性指南与文档，27030～27039则为WG4安全服务系列标准编号；（2）根据SC27第17次全体会议决议，ISO/IECJTC1/SC27要求其秘书处确认当前标准ISO/IEC17799将在2007年4月重新编号为ISO/IEC27002。为了进一步推进ISMS标准族的形成，SC27将调整后的WG1工作组的主要工作范围划定在对ISMS的研究制定和维护管理上，同时为促进ISMS的国际互认，对《信息安全管理体系认证机构的认可要求》进行了重点研究和讨论;（3）基于ISO17021形成的ISO/IEC27006《信息安全管理体系认证机构的认可要求》的制定速度明显加快。SC27/WG1联合ITU-T和TC215的专家会同IAF/EACC及ISOCASCO成立了一个小规模的联合任务组，负责ISO/IEC27006的起草编制。

2006年JTC1/SC27会议信息安全标准热点跟踪

第五十九页，共七十九页。WG3

本次WG3会议热点问题仍然是与产品有关的安全评估标准，通用准则(CC)标准的发展问题是本次WG3会议的讨论重点。（1）与产品有关的测试评估标准(包括通用准则(CC），通用评估方法(CEM)等)的修订是WG3的主要议题。根据WG3路线图，会议在目前项目研究状况和研制计划的基础上，WG3将下列3个方面作为近期工作新领域：密码模块确认/认证方法；加密协议的验证；评价证据的产生指南。（2）把下列5个方面作为中长期工作的新领域：质量认证一致性要求；基于角色的访问控制；安全系统设计；加密协议的验证；篡改防范的要求与评价。第六十页，共七十九页。

（3）CC仍然是国际上产品测试与认证的主要依据，这次会议仍然致力于CC的推广、进一步扩大国际互认。如果经过修改的CC、通用评估方法(CEM)、保护轮廓/安全目标(PP/ST)的产生指南等标准在ISO/IEC得到通过，将会对CCDB的运作机制产生比较大的影响。WG3已经开始提前着手修订CC-2005和CEM-2005。会议根据2005年10月推出CC3.0版，针对CCDB提出的意见，讨论研究了CC标准的进一步发展问题。争论集中在CC的第2部分和第3部分(低等级保护的表述问题）。会议拟订了对CC、CEM、PP&ST产生指南等重要标准进行修订的计划，并给定了各编制阶段详细的时间结点。ISO15408:2005和ISO8045:2005已经开始着手修订，预计今年11月份形成CD。PP&ST的产生指南，也已进入修订阶段，并将原计划发布标准的时间由2008年11月推迟到2009年5月。对于CC互认问题，WG3在马来西亚会议上提议撤销PP注册程序。此次会议SC27再次强调了ISO对标准形式的态度，指出ISO不会采用注册的方式来形成一个ISO文件，PP在ISO存在的形式只能是按照ISO产生国际标准的程序，最终形成国际标准。可以预见的CC的广泛的国际互认应该还有很长的路要走。第六十一页，共七十九页。

（4）基于世界各国对生物特征识别技术的应用日益广泛的现实，SC27对与生物特征识别相关的安全技术标准也愈加重视。WG3决定启动一个为期6个月的工作组研究课题，专门研究生物特征识别技术的评价方法；WG2完成了一个使用生物特征识别技术产生数字签名的研究课题，同时启动了一个与生物特征识别数据鉴别有关的标准研究课题。WG1

2007年5月2日至12日，ISO/IECJTC1/SC27第34届工作组会议与与全体会议在俄罗斯召开。来自英国、美国、瑞典、日本和中国等20个国家和地区的40余名代表出席了该会议。主要讨论热点如下：

本次会议从标准制修订、新标准立项和路线图研究等几个方面，共召开了8个专题会议，包括：

2007年JTC1/SC27会议信息安全标准热点跟踪

第六十二页，共七十九页。

①ISO/IEC27000-ISMS概述和词汇；

②ISO/IEC27003-ISMS实施指南；

③ISO/IEC27004-ISMS测量；④ISO/IEC27005-ISMS风险管理；

⑤ISO/IEC27007-ISMS审核指南；

⑥特定行业(Sector-Specific)ISMS标准；

⑦WG1/WG4联合会议；⑧WG1路线图。（1）WG1在2006年11月第33届会议上启动了ISMS审核指南的研究项目，在相关意见和提案的基础上，审核指南是继ISMS要求标准(ISO/IEC27001)之后的重要标准之一，预计未来几年内将成为WG1讨论的重点。（2）如何针对不同领域、不同专业部门提出具体的信息安全控制目标和控制要求，并形成相应行业的ISMS国际标准，是本次讨论的热点，也将成为未来几年发展的新方向。目前，ISO/IEC27011《电信信息安全管理指南》已被确定为新工作项目。《彩票业ISMS标准》和《汽车工业ISMS标准》被确准，将成为未来几年发展的新方向。第六十三页，共七十九页。第六十四页，共七十九页。第六十五页，共七十九页。本次会议主要内容包括四个方面：①标准的例行编制工作；②可能影响国际标准的新情况讨论；③新项目讨论④讨论SC27/WG2路线图。（1）自2006年5月SC27工作组及全体会议后，WG2更名为密码与安全机制工作组，并及时启动了几个新的预研项目，这些项目反映了JTC1、SC27和WG2对基础安全机制和算法的关注点，国内应关注相关工作的进展情况，尤其是对”低功耗加密”应高度关注。”低功耗加密”是由SC27的上级机构─JTC1直接下达的研究任务，反映了国际上对移动和嵌入式计算环境下加密技术的高度关注。本次会议上，中国代表团做了”三元对等鉴别和访问控制”的专题报告，经过专家的交流与讨论，WG2初步接受了我国的提案，设立了”三元实体鉴别”新的研究项目。受中国提案的影响，WG2提出今后要将”多元实体鉴别”相关标准列入今后的路线图中。WG2第六十六页，共七十九页。（2）在WG2工作路线图中，提出2010年前要大力开展椭圆曲线密码技术标准的研究和开发，2010～2015年将重点开展量子密码技术标准化工作。再综合WG2更名为”密码与安全机制工作组”、《密码模块安全技术要求》标准的发布以及《密码模块测试要求》等项目的确立这些情况，可以看出SC27正在逐步加大密码技术标准的研究与制定工作。WG3（1）本次会议重点对去年10月南非会议以来修改的ISO/IEC15446《保护轮廓和安全目标产生指南》、ISO/IEC15443-3《IT安全保障框架第3部分保障方法分析》、ISO/IEC24759《密码模块测试要求》和ISO/IEC19792《生物特征安全评估》等4项标准的文本进行深入研究，逐条分析了各成员国提出的意见，并确定了处理办法。第六十七页，共七十九页。（2）在工作组路线图中除了目前正在研究的ISO/IEC15408《IT安全评估准则》、ISO/IEC15443《IT安全保障框架》、ISO/IEC15446《安全目标和保护轮廓产生指南》、ISO/IEC18045《安全评估方法》、ISO/IEC19790《密码模块安全要求》、ISO/IEC24759《密码模块测试要求》、ISO/IEC19791《运行系统安全评估》、ISO/IEC19792《生物特征识别技术安全测试评估框架》和ISO/IEC21827《系统安全工程能力成熟度模型》等标准项目外，还提出了拟新增加《密码协议验证》、《评估证据产生指南》、《合格评定要求的融合》、《安全系统设计》、《篡改保护要求与评估》等研究领域。从这些新设立的研究领域可以看出，SC27将在信息安全评估的互认和应用安全评估方面做更多的工作。

第六十八页，共七十九页。《IT安全保障框架》《IT安全评估准则》《安全目标和保护轮廓产生指南》《安全评估方法》《运行系统安全评估》第六十九页，共七十九页。WG4（1）WG4安全控制与服务工作组是2006年创立的新工作组，去年秋天召开第一次会议，其主要关注点在信息和通讯技术的安全，标准项目包括ISO/IEC18028系列网络安全标准、ISO/IEC18043《选择、部署和运行入侵检测系统(IDS)》、ISO/IEC18044《信息安全事件管理》、ISO/IEC24762《信息和通信技术灾难恢复服务指南》。研究项目包括事件响应相关标准、信息网络空间(Cyber)安全标准、可信第三方服务标准、业务连续性的信息通信技术标准和应用安全结构标准等。（2）WG4负责的标准和项目正在整合之中，这次会议已经取得了一些初步的共识，将标准按大类整合，形成几个比较系统的标准。《信息安全事件响应》、《信息通信技术的业务连续性》、《信息网络空间(Cyber)安全》项目里的”反间谍软件”、”反垃圾邮件”、”反钓鱼”、”网际安全事件合作与信息共享”和《应用安全结构》项目的”安全应用结构”、”应用安全保障”、”代理/服务应用安全”、”移动代理应用安全”等内容也都是世界各国和业界关注的重点领域，这些应用安全标准可能将会成为新的热点领域。