国际信息安全标准化点滴-贾颖禾 全国信息安全标准化技术委员会秘书

国际信息安全标准化点滴贾颖禾2006年7月18日ISO对“安全”理解“thesafetyofastate,organizationorindividualandprotectionagainstthreatssuchascriminalactivity,terrorism,attack,ornaturaldisaster.”securitystandardsinthisbroadcontext.ISO的“安全”定义Theprovisionofprotectionagainstthreatstopeople,physicalassets,infrastructure,informationandinformationtechnologyassetsincludingelectronicnetworksandfacilities,andtothemovementofpeopleandgoodsandrelatedfacilities.ISO已经关注的九个安全领域oTrainingprogrammesandequipmentforresponders.(培训计划与器材)oPrivatesectoremergencypreparednessandbusinesscontinuity.（私营部门的应急准备与业务连续性）oIdentificationtechniques,includingbiometrics.（标识技术，含生物识别技术）oEmergencycommunications.（应急通信）oInter-modalsupplychainsecurity.（联合运输供应链安全）oRiskassessment.（风险评估）oBiologicalandchemicalthreatagents.（生化威胁）oCybersecurity.（信息网络安全）oCivildefence.（民防）ISO的评估Standardsplayanumberofimportantrolesinsupportingeffortstoachievesecurity.Forexample,standardscanbeusedtopromulgatebestpracticesandmethodologiesforsecuritymanagement.Standardscanbeusedtospecifytestmethodsandparameterstoaidindetectionofthreats.Standardscanspecifyperformancerequirementstoensureequipmentandsystemsprovidethenecessaryperformanceandprotectioninextremeconditions.ISO的评估-1OutofISO’s205TechnicalCommittees(includingJTC1subcommittees),35havedeliverablesrelatedtosecurity.Someofthesearecriticalandfundamentaltocurrentglobaleffortstoprovidesecurityandcombatterrorismrecently-developedstandardsforbiometrics,detectionoftheillicitmovementofnuclearmaterial,maritimeportsecurity,andsecurityofITsystemsarenoteworthyexamples.ISO的评估-2三个方面的确失：没有适时将技术委员会的工作向安全领域延伸共同经营者们需要“共同语言和框架”，以便对他们各不相同的系统实施安全管理“自下而上”的相互隔离的视角，难以适应全球化、系统化的安全威胁，需要“TOP－DOWN”的、更战略的考虑。ISO/JTC1-SC27的新结构WorkingGroup1:InformationsecuritymanagementsystemsWorkingGroup2:CryptographyandsecuritymechanismsWorkingGroup3:SecurityevaluationcriteriaWorkingGroup4:SecuritycontrolsandservicesWorkingGroup5:IdentitymanagementandprivacytechnologiesSC27第一工作组的部分新项目ISO/IEC27000信息安全管理体系原则与术语ISO/IEC27001信息安全管理体系要求ISO/IEC17799信息安全管理实用准则ISO/IEC27003信息安全管理体系实施指南ISO/IEC27004信息安全管理测量ISO/IEC27005信息安全风险管理ISO/IEC27006信息安全管理体系认证机构的认可要求ISO/IEC13335信息与通信技术安全管理SC27第二工作组的部分新项目（机密性）18033Encryptionalgorithms18033-1General[publishedin2005]18033-2Asymmetricciphers[FDIS]18033-3Blockciphers[publishedin2005]18033-4Streamciphers[publishedin2005]10116Modesofoperationforann-bitblockcipheralgorithmb[revision:FDIS]19772Authenticatedencryption[CD]18031Randombitgeneration[publishedin2005]18032Primenumbergeneration[publishedin2005]15946Cryptographictechniquesbasedonellipticcurves15946-1General[revision:WD]15946-2Digitalsignatures[tobemergedinto14888-3]15946-3Keyestablishment[tobemergedinto11770]15946-4Digitalsignatureswithmessagerecovery[tobemergedinto9796-3]SC27第二工作组的部分新项目（抗抵赖）13888Non-repudiation13888-1General13888-2Mechanismsusingsymmetrictechniques13888-3Mechanismsusingasymmetrictechniques18014Timestampingservicesandprotocols18014-1Framework[revision:WD]18014-2Mechanismsproducingindependenttokes[revision:WD]18014-3MechanismsproducinglinkedtokensSC27第二工作组的部分新项目（密钥管理）11770-1Framework11770-2Mechanismsusingsymmetrictechniques[revision:WD]11770-3Mechanismsusingasymmetrictechniques[revision:WD]11770-4Keyestablishmentmechanismsbasedonweaksecrets[FDIS]SC27第三工作组的部分新项目24759密码模块测试要求15408-1IT安全评估准则—第一部分:基本模型介绍15408-2IT安全评估准则—第二部分::安全功能要求15408-3IT安全评估准则—第三部分:安全保障要求18045IT安全评价方法19792生物特征识别的安全评价21827系统安全工程–能力成熟度模型(SSE-CMM)®美国NIST的特点标准化活动面大把政府使用的技术也纳入标准化轨道标准与产业结合的紧密在制定标准的同时支持研发、政府机构的安全意识培养和教育依据FISMA法，投入的力度加大十分重视对国际标准化进程的影响SHA-1的使用问题SC27承诺将根据SHA-1及其相关攻击实例的发展，及时发布相关的SHA-1使用说明，以指导该标准的选用。本次会议上，SHA－1继续成为讨论的一项内容。从本次会议提供的文本（SC27N5147）以及会议讨论的情况来看，尽量避免使用SHA-1已经成为共识，尽管没有明确提出将SHA-1从标准中删除，但从SHA-1提出者──美国国家标准研究所（NIST）的态度已经可以看出SHA-1的使用将会逐渐减少。ISO/IEC9979的前景

2004年SC27巴西会议提出了废除ISO/IEC9979-1999《信息技术安全技术密码算法的注册程序》提案。本次WG2会议再次对此提案进行了讨论。从几个国家的反映和会议讨论情况来看，同意废除该标准的声音占到了多数。ISMS标准族的进一步完善和推进，以及ISMS认证国际互认的标准化

为了进一步完善和推进ISMS标准族的形成，SC27将新的WG1工作组的主要工作范围划定在对ISMS的研究制定和维护管理上，同时为促进ISMS认证的国际互认，对《信息安全管理体系认证机构的认可要求》也进行了重点研究和讨论。基于ISO17021和ETSI相关标准形成未来的27006《信息安全管理体系认证机构的认可要求》的制定速度明显加快。

信息安全产品测评认证的国际互认的标准化问题

CC仍然是国际上产品测试与认证的主要依据，这次会议的重点还是在致力于CC的推广、进一步扩大国际互认。如果经过修改的CC、CEM、PP/ST的产生指南等标准在ISO/IEC得到通过，还需要与CCDB进行协调和会商。涉