CISP-22-信息安全标准-new

信息平安标准中国信息平安测评中心目录标准根底知识简介国际、外国、我国信息平安标准化机构信息平安相关国际标准和指南信息平安相关国内标准和指南一些补充材料一、标准根底知识简介国家标准：GB/TXXXX.X-200XGBXXXX-200X行业标准：GA，GJB地方标准：DBXX/TXXX-200X DBXX/XXX-200X企业标准：QXXX-XXX-200X标准化根底知识〔1/4〕标准化根底知识〔2/4〕标准化：为在一定的范围内获得最正确秩序，对实际的或潜在的问题制定共同的和重复使用的规那么的活动实质：通过制定、发布和实施标准，到达统一。目的：获得最正确秩序和社会效益。意义：促进和带动产业开展；解决平安互联互通。国际级区域级国家级行业级地方级企业级人员效劳系统产品过程管理应用体系、框架XYZX轴代表标准化对象Y轴代表标准化的内容Z轴代表标准化的级别。标准化根底知识〔3/4〕标准化三维空间我国通行“标准化八字原理〞：“统一〞原理“简化〞原理“协调〞原理“最优〞化原理标准化根底知识〔4/4〕我国标准化管理和组织机构我国标准工作归口单位标准化根底采标：等同采用IDT〔identical〕修改采用MOD〔modified〕非等效采用NEQ〔notequivalent〕修改和非等效采用时的国际互认问题？IT标准化二、国际、外国、我国信息平安标准化机构信息平安标准化组织

国际标准——ISO〔国际标准化组织〕国际信息平安相关组织〔1/4〕国际信息平安相关组织〔2/4〕国际信息平安相关组织〔3/4〕国际信息平安相关组织〔4/4〕外国信息平安标准化组织〔1/2〕外国信息平安标准化组织〔2/2〕2002年4月15日成立共54个标准〔2007年1月31日更新〕其中2002年前21个标准目前分为6个工作组：WG1:标准体系与协调WG2:涉密WG3:密码WG4:标识与鉴别WG5:信息平安评估WG7：信息平安管理三、信息平安相关国际标准和指南信息平安根底标准1985年美国国防部可信计算机评估准那么〔TCSEC〕1999年GB17859计算机信息系统安全保护等级划分准则2001年GB/T18336信息技术安全性评估准则1989年英国可信级别标准〔MEMO3DTI〕德国评估标准〔ZSEIC〕法国评估标准〔B-W-RBOOK〕1993年美国NIST的MSFR1993年加拿大可信计算机产品评估准那么〔CTCEC〕1993年美国联邦准那么〔FC1.0〕国际通用评估准那么1996年，CC1.01998年，CC2.01999年，CC2.11999年国际标准ISO/IEC15408可信计算机系统评估准那么〔TCSEC〕D:最小保护MinimalProtectionC1:自主安全保护DiscretionarySecurityProtectionC2:访问控制保护ControlledAccessProtectionB1:安全标签保护LabeledSecurityProtectionB2:结构化保护StructuredProtectionB3:安全域保护SecurityDomainA1:验证设计保护VerifiedDesign低保证系统高保证系统可信计算机系统评估准那么〔TCSEC〕

平安级别可信计算机系统评估准那么〔TCSEC〕

缺陷集中考虑数据保密性，而忽略了数据完整性、系统可用性等；将平安功能和平安保证混在一起平安功能规定得过为严格，不便于实际开发和测评欧洲多国平安评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将平安概念分为功能与功能评估两局部。功能准那么在测定上分10级。1－5级对应于TCSEC的C1到B3。6－10级加上了以下概念：F-IN：数据和程序的完整性F-AV：系统可用性F-DI：数据通信完整性F-DC：数据通信保密性F-DX包括保密性和完整性的网络平安评估准那么分为6级：E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。平安被定义为保密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用，提出评估对象〔TOE〕的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊平安装置可信计算机产品评估准那么〔CTCEC〕加拿大，1989年公布，专为政府需求而设计与ITSEC类似，将平安分为功能性需求和保证性需要两局部。功能性要求分为四个大类：a保密性b完整性c可用性d可控性在每种平安需求下又分成很多小类，表示平安性上的差异，分级条数为0－5级。美国联邦准那么(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓〔PP〕〞这一重要概念每个轮廓都包括功能局部、开发保证局部和评测局部。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。GB17859-1999计算机信息系统平安等级划分准那么第一级用户自主保护级→ 自主保护第二级系统审计保护级→ 指导保护第三级平安标记保护级→ 监督保护第四级结构化保护级 → 强制保护第五级访问验证保护级→ 专控保护通用准那么〔CC〕GB/T18336国际标准化组织统一现有多种准那么的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓〞，将评估过程分“功能〞和“保证〞两局部；是目前最全面的评价准那么通用准那么〔CC〕国际上认同的表达IT平安的体系结构一组规那么集一种评估方法，其评估结果国际互认通用测试方法〔CEM〕已有平安准那么的总结和兼容通用的表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准那么今后开展的框架评测级别对应保证功能EAL1EAL2EAL3EAL4EAL5EAL6EAL7E0E1E2E3E4E5E6D级C1级C2级B1级B2级B3级A1级F-C1级F-C2级F-B1级F-B2级F-B3级HP-UNIX(VV)Winnt3.5Winnt4.0Win2000评测级别对应IATF—分层多点深度防御保卫网络和根底设施保卫边界保卫计算环境支撑性根底设施IATF—分层多点深度防御

攻击类型信息平安管理标准概述ISO/IECJTC1SC27工作组方向评估指南产品系统过程环境WG1“ISMS〞WG3“平安评估〞WG4“平安控制和效劳〞即将发布ISO/IEC27000:2006

信息平安管理系统根底和词汇表目前状态：1stCDISO/IEC27003:2007

信息平安管理系统实施指南目前状态：3rdWDISO/IEC27004:2006

信息平安管理测量目前状态：1stCDISO/IEC27005:2007

信息平安风险管理目前状态：FCDISO/IEC27007

信息平安管理系统审计师指南目前状态：尚未批准WG1：信息平安管理系统〔ISMS〕参考文件：SC27StandingDocument7(SD7)CATALOGUEOFISO/IECJTC1/SC27PROJECTSANDSTANDARDS(SC27N5717)，2007-04-24ISMS概述和词汇表ISO/IEC27000:2021?(ISO/IEC13335-1)ISMS测量

ISO/IEC27004:2021?风险管理

BS7799-3:2006ISO/IEC27005:2007?(ISO/IECTR13335-3:1998)ISMS要求

ISO/IEC27001:2005(BS7799-2:2002)ISMS实践准那么

ISO/IEC27002:2005(ISO/IEC17799)ISMS实施指南

ISO/IEC27003:2021?ISMS审计师指南ISO/IEC27007?ISMS

认证体制

ISO/IEC27006:2007(EA7/03)ISO/IEC27000标准族特定标准和指南附录A信息平安管理标准概述

西方兴旺国家的信息平安管理标准西方兴旺国家的信息平安管理标准英国〔BSI〕BS7799BS15000美国〔NIST〕NISTSP的以下一些标准指南信息平安管理标准

BS7799BS7799标准BS7799-1信息平安管理导那么〔codeofpracticeforinformationsecuritymanagement〕，现已成为国际标准ISO/IEC17799。BS7799-2：信息平安管理系统标准〔specificationforinformationsecuritymanagementsystems〕，27001。BS7799-3：信息平安风险评估，27005。ISO/IEC17799:2005年第2版，27002。ISO/IEC17799:2005标准结构信息平安管理系统标准

PDCA模型应用于ISMS过程ISO/IEC13335ISO/IEC21827信息平安工程能力成熟度模型

SSE-CMMISO/IEC21827信息平安工程能力成熟度模型

SSE-CMMISO/IEC21827信息平安工程能力成熟度模型

概念和评估PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10域方面能力方面能力级别公共特征通用实施过程类基础实施过程区ISO/IEC21827信息平安工程能力成熟度模型

平安工程过程保证论据风险信息产品或效劳工程过程Engineering保证过程Assurance风险过程Risk平安根本实施PA01-管理平安控制PA02-评估影响PA03-评估平安风险PA04-评估威胁PA05-评估脆弱性PA06-建立保证论据PA07-协调平安PA08-监视平安态势PA09-提供平安输入PA10-指定平安要求PA11-验证和确认平安方案执行标准化执行跟踪执行验证执行定义标准过程协调平安实施执行已定义的过程建立可测量的质量目标客观地管理过程的执行1非正式执行2方案与跟踪3充分定义4量化控制5连续改进执行根本实施改进组织能力改进过程的有效性能力级别

代表平安工程组织的成熟级别公共特性其他相关标准系列ITIL框架是IT效劳的一个广泛接受的框架。它为IT效劳提供和IT效劳管理等提供了标准、指南和最正确实践；CoBIT模型是ISACA协会所提供的一个IT审计和治理的框架。它为信息系统审计和治理提供了一整套的控制目标、管理措施、审计指南等。IT效劳管理—ITIL〔IT根底设施库〕四、信息平安相关国内标准和指南根底标准：管理标准管理根底管理要素管理技巧工程与效劳测评标准评估根底产品评估系统评估我国信息平安标准1999年发布了10项2000年发布了8项2001年发布了5项2002年发布了4项2003年发布了6项2004年无2005年发布了14项2006年发布了16项2007年发布了3项目前有效标准共54项，正在制定的还有34项。1999年发布的信息平安国标〔1/2〕1999年发布的信息平安国标〔2/2〕2000年发布的信息平安国标〔1/2〕2000年发布的信息平安国标〔2/2〕2001年发布的信息平安国标2002年发布的信息平安国标2003年发布的信息平安国标2005年发布的信息平安国标〔1/3〕2005年发布的信息平安国标〔2/3〕2005年发布的信息平安国标〔3/3〕2006年发布的信息平安国标〔1/3〕2006年发布的信息平安国标〔2/3〕2006年发布的信息平安国标〔3/3〕2007年发布的信息平安国标正在报批和研制的