索罗笔记-信息安全工程师-1.4信息安全标准化知识
1.4.1 技术标准的基本知识
在我国,将标准级别依据《中华人民共和国标准化法》划分为国家标准、行业标准、地方标准和企业标准等4个层次。另外增加一种“国家标准化指导性技术文件”作为对国家标准的补充,其代号为GB/Z
推荐性国家标准的代号:GB/T ,强制性国家标准的代号:GB
1.4.2标准化组织
目前国际上两大重要标准化组织:国际标准化组织(ISO)和国际电工委员会(IEC)
SC27是JTC1 中专门从事信息安全通用方法及技术标准化工作的分技术委员会。
SC27发布、正在制定及规划的信息安全国际标准超过80项。
国际电信联盟(ITU)
Internet工程任务组(IETF)
美国国家标准化协会(ANSI)
美国国家标准技术研究所(NIST)
美国国防部(DOD)
美国电气电工工程师协会(IEEE)
美国的信息技术标准主要由ANSI、NIST制定。
我国国家标准化管理委员会于2002年批准成立全国信息安全标准化技术委员会(简称信安标委,委员会编号:TC260)
1.4.3信息安全标准
1.4.3.1信息安全管理体系标准BS7799
BS7799标准是英国标准协会(BSI)制定的信息安全管理体系标准。它包括两个部分,第一部分《信息安全管理实施指南》【其被ISO采纳为国际标准ISO/IEC17799】;第二部分BS7799-2《信息安全管理体系规范和应用指南》
1.4.3.2技术与工程标准
信息安全产品通用测评标准ISO/IEC15408-1999《信息技术、安全技术、信息技术安全性评估标准》简称CC,是目前国际上最通行的信息技术产品及系统安全性评估准则,也是信息技术安全性评估结果国际互认的基础。
CC标准的核心思想有两点:一是信息安全技术提供的安全功能本身和对信息安全技术的保证承诺之间独立;二是安全工程的思想。
系统安全工程能力成熟度模型SDE-CMM是系统安全工程具体应用领域的一个分支,由美国国家安全局领导开发。
BS7799是一个认证标准,SDE—CMM是一个评估标准。
我国在信息安全管理标准的制定方面,主要采取与国际标准靠拢的方式。2001年参照ISO/IEC15408,制定了国家标准GB/T18336《信息技术安全性评估标准》,作为评估信息技术产品与信息安全特性的基础准则。
信安标委的7个工作组:
信息安全标准体系与协调工作组(WG1)
涉密信息系统安全保密工作组(WG2)
密码工作组(WG3)
鉴别与授权工作组(WG4)
信息安全评估工作组(WG5)
信息安全管理工作组(WG7)