十期《我國信息安全技術(shù)標(biāo)準(zhǔn)體系與認證認可制度介紹》_第1頁
十期《我國信息安全技術(shù)標(biāo)準(zhǔn)體系與認證認可制度介紹》_第2頁
十期《我國信息安全技術(shù)標(biāo)準(zhǔn)體系與認證認可制度介紹》_第3頁
十期《我國信息安全技術(shù)標(biāo)準(zhǔn)體系與認證認可制度介紹》_第4頁
十期《我國信息安全技術(shù)標(biāo)準(zhǔn)體系與認證認可制度介紹》_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、第十期 我國信息安全技術(shù)標(biāo)準(zhǔn)體系與認證認可制度介紹. 什么是信息安全技術(shù)標(biāo)準(zhǔn)體系?為了規(guī)范信息系統(tǒng)建設(shè)、資源保護、管理、服務(wù)等信息安全各方面的建設(shè),使信息安全在各個方面都 有據(jù)可依,信息安全標(biāo)準(zhǔn)的制定顯得十分重要,國際國內(nèi)都形成了具有一定規(guī)模的信息安全標(biāo)準(zhǔn)體系。信 息安全標(biāo)準(zhǔn)體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機整體,是編制信息安全標(biāo)準(zhǔn)編 制、修訂計劃的重要依據(jù),是促進信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)合理化的手段。信息安全技術(shù)領(lǐng)域有國際標(biāo)準(zhǔn)體系、國家標(biāo)準(zhǔn)體系、行業(yè)標(biāo)準(zhǔn)體系和地方標(biāo)準(zhǔn)體系等,而且通常高層 次的標(biāo)準(zhǔn)體系對下有約束力。事實上,在這些特定領(lǐng)域標(biāo)準(zhǔn)的執(zhí)行還要看各個國家的管

2、理法規(guī)和制度。國 際信息安全標(biāo)準(zhǔn)體系主要由信息系統(tǒng)安全的一般要求、開發(fā)安全技術(shù)和機制、開發(fā)安全指南和安全管理支 撐性文件和標(biāo)準(zhǔn)等幾部分組成。二 . 國內(nèi)外信息安全標(biāo)準(zhǔn)化組織有哪些?國際上與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下四個。SC20 (數(shù)據(jù)1.ISO/IEC JTC1 (信息技術(shù)標(biāo)準(zhǔn)化委員會)所屬SC27 (安全技術(shù)分委員會)的前身是 負責(zé) Internet 路由、傳輸、應(yīng)用等八個領(lǐng)域,其著名的 IKE 和 IPSec 都在 RFC 系列之中,還有電子郵件、加密技術(shù)分委員會),主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。ISO/TC68負責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定,

3、主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn), 與 SC27 有著密切的聯(lián)系。ISO/IEC JTC1負責(zé)制定的標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全評估等方面。2. lEC 在信息安全標(biāo)準(zhǔn)化方面除了與 ISO 聯(lián)合成立了 JTC1 下的分委員會外,還在電信、信息技術(shù)和電磁兼容等方面成立了技術(shù)委員會, 如 TC56 可靠性、 TC74 IT 設(shè)備安全和功效、 TC77 電磁兼容、 TC108音頻 /視頻、信息技術(shù)和通信 技術(shù)電子設(shè)備的安全等,并且制定相關(guān)國際標(biāo)準(zhǔn)。3.ITU SG17 組負責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn),包括通信安全項目、安全架構(gòu)和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務(wù)等。4.IET

4、F ( Internet 工程任務(wù)組)制定標(biāo)準(zhǔn)的具體工作由各個工作組承擔(dān)。IETF 分成八個工作組,分別CCSA )下網(wǎng)絡(luò)認證和密碼及其他安全協(xié)議標(biāo)準(zhǔn)。國內(nèi)的安全標(biāo)準(zhǔn)化組織主要有全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會以及中國通信標(biāo)準(zhǔn)化協(xié)會(-可編輯修改 -轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(TC8 )。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會( TC260 )于 2002 年 4 月成立,是在信息安全的專業(yè)領(lǐng)域內(nèi),從事信息安全標(biāo)準(zhǔn)化工作的技術(shù)工作組織,任務(wù)是向國家標(biāo)準(zhǔn)化管理委員會提出本專業(yè)標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施的建議。主要以工作組形 式開展工作,現(xiàn)下設(shè)六個工作組:信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1 )、涉

5、密信息系統(tǒng)標(biāo)準(zhǔn)工作組( WG2 )、密碼工作組(WG3 )、鑒別與授權(quán)工作組(WG4 )、信息安全評估工作組( WG5 )、信息安全管理工作組( WG7 )。網(wǎng)絡(luò)與信息安全技術(shù)工作委員會該委員會成立于 2003 年 12 月,主要負責(zé)研究涉及有關(guān)通信安全技術(shù)和管理標(biāo)準(zhǔn)。其研究領(lǐng)域包括面向公眾服務(wù)的互聯(lián)網(wǎng)的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)、電信網(wǎng)與互聯(lián)網(wǎng)結(jié)合中的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)、 特殊通信領(lǐng)域中的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)。 目前, 設(shè)置有有線網(wǎng)絡(luò)安全工作組WG1 )、無線網(wǎng)絡(luò)安全工作組( WG2 )、安全管理工作組( WG3 )和安全基礎(chǔ)設(shè)施工作組( WG4 )四個工作組。三 . 我國的信息安全技術(shù)標(biāo)準(zhǔn)體系是怎樣

6、的?我國信息安全標(biāo)準(zhǔn)化工作是從學(xué)習(xí)國際標(biāo)準(zhǔn)化工作開始的,目前,我國的信息安全標(biāo)準(zhǔn)化工作也已經(jīng)取得了比較大的進展。近些年,先后發(fā)布了幾十項信息安全標(biāo)準(zhǔn),也進行了信息安全標(biāo)準(zhǔn)體系的專門研究,提出了基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測評標(biāo)準(zhǔn)、密碼技術(shù)標(biāo)準(zhǔn)和保密技術(shù)標(biāo)準(zhǔn)等六大類信息安全技術(shù)標(biāo)準(zhǔn)的體系結(jié)構(gòu),可按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容進行細分,為現(xiàn)階段信息安全標(biāo)準(zhǔn)編制、修訂提供依據(jù),為信息安全保障體系建設(shè)提供有效的支撐?;A(chǔ)標(biāo)灌曹則評標(biāo)準(zhǔn)四.我國信息安全主要技術(shù)標(biāo)準(zhǔn)有哪些?我國信息安全技術(shù)標(biāo)準(zhǔn)體系涉及網(wǎng)絡(luò)與信息安全各個方面,包括已經(jīng)發(fā)布、報批和在研的技術(shù)標(biāo)準(zhǔn)有很多,主要的有:1.計算機信息系統(tǒng) 安全保護

7、等級劃分準(zhǔn)則(GB 17859-1999 )2.信息安全技術(shù)信息安全風(fēng)險評估規(guī)范(GB/T 20984-2007 )3.信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求(GB/T 22239-20084.信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2010 )5.信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T 20269-2006 )6.信息安全技術(shù)信息安全事件管理指南(GB/Z 20985-2007 )7.信息安全技術(shù)信息安全事件分類分級指南GB/Z 20986-2007)8.信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T 20988-2007 )9.信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南

8、(GB/T 25058-201010.信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南(GB/T 22240-200811.信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求(GB/T 25070-2010 )12.信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T 21052-2007)五.什么是信息安全認證認可?2003年9月,國務(wù)院發(fā)布認證認可條例,這一條例對認證和認可是這樣定義的:認證是指由認-可編輯修改-中辦發(fā) 200327 號)文件及其后發(fā)布的關(guān)于建立國家信息安全產(chǎn)品認證認可體系的通知國認證聯(lián) 200457 號)文件對信息安全產(chǎn)品認證工證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強

9、制性要求或者標(biāo)準(zhǔn)的合格評定活 動;認可則是指由認可機構(gòu)對認證機構(gòu)、檢查機構(gòu)、文驗室以及從事評審、審核等認證活動人員的能力和 執(zhí)業(yè)資格,予以承認的合格評定活動。認證的對象分為三類 :產(chǎn)品、服務(wù)和管理體系。在信息安全領(lǐng)域,目前針對這三類對象的認證活動 在我國都已開展,即信息安全產(chǎn)品認證、信息安全服務(wù)認證和信息安全管理體系認證。國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障丁作的意見-可編輯修改 -作做出了規(guī)定,這也是我國信息安全保障體系建設(shè)中的一項基礎(chǔ)性工作。除此之外,信息安全服務(wù)認證和 信息安全管理體系認證也是我國信息安全認證認可事業(yè)的重要組成部分,我國認證認可主管部門為推動這 些工作也作了大量努力。六

10、 . 我國對信息安全認證認可的主要內(nèi)容有哪些?1信息安全產(chǎn)品認證國家認監(jiān)委會同有關(guān)部門推進了統(tǒng)一的信息安全產(chǎn)品認證認可體系的建設(shè),成立了國家信息安全產(chǎn)品認證管理委員會及其執(zhí)委會,成立了專門的認證機構(gòu)中國信息安全認證中心),公布了信息安全產(chǎn)品強制性認證、指定認證機構(gòu)和第一批指定實驗室,公布了信息安全產(chǎn)品強制性認證目錄,制定了檢測收費 標(biāo)準(zhǔn),公布了認證實施規(guī)則,明確了強制性認證所依據(jù)的技術(shù)標(biāo)準(zhǔn)、規(guī)范以及相關(guān)技術(shù)指標(biāo)。2信息安全服務(wù)資質(zhì)認證,其中包括:信息安全應(yīng)急處理服務(wù)資質(zhì)認證、信息安全風(fēng)險評估服務(wù)資質(zhì)認證和信息系統(tǒng)安全集成服務(wù)資質(zhì)認證。隨著我國信息化和信息安全保障工作的不斷深入推進,以應(yīng)急處理、

11、 風(fēng)險評估、 安全集成、 災(zāi)難恢復(fù)、系統(tǒng)測評、安全運維、安全審計、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的 作用日益突出。信息安全服務(wù)資質(zhì)管理和相關(guān)認證評價工作已成為信息安全保障工作的重要組成部分。3信息安全管理體系 (ISMS )認證,信息安全管理體系簡稱 ISMS( Information Security ManagementSystem )。為了推動 ISO/IEC 27000 標(biāo)準(zhǔn)族的應(yīng)用和轉(zhuǎn)化,原國務(wù)院信息辦于 2006 年 3 月至 2007 年 1 月組織開展了“信息安全管理標(biāo)準(zhǔn)應(yīng)用( ISMS )試點”工作。在試點的基礎(chǔ)上,完成了 ISO/IEC 270

12、01 :2005和 ISO/IEC27002 :2005 的轉(zhuǎn)化工作, 上述標(biāo)準(zhǔn)已經(jīng)等同采用為國家標(biāo)準(zhǔn) GB/T 22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系要求和國家標(biāo)準(zhǔn) GB/T22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則,并于 2008 年 11 月 1 日起實施。4 信息技術(shù)服務(wù)管理( ITSM )體系認證 Information technology Service managementITSM 認證是對組織能否有效交付 IT 服務(wù)的能力進行評價的過程。隨著 IT 的迅猛發(fā)展,有效地提供IT 服務(wù)管理以滿足業(yè)務(wù)和顧客的要求,已經(jīng)成為了各類組織建立、實施

13、、運行IT 服務(wù)管理體系的內(nèi)在需求和動力。通過建立 IT 服務(wù)管理體系并尋求第三方認證已逐漸成為各類組織提高和檢驗自身IT 服務(wù)管理水平的優(yōu)先選擇。七 . 我國對信息安全人員資格的認證有哪些?目前,我國對信息安全人員資質(zhì)的最高認可是“注冊信息安全專業(yè)人員”,英文為Certified InformationSecurity Professional (簡稱 CISP )。注冊信息安全專業(yè)人員是有關(guān)信息安全企業(yè),信息安全咨詢服務(wù)機構(gòu)、信息安全測評認證機構(gòu)(包含授權(quán)測評機構(gòu))、社會各組織、團體、企事業(yè)有關(guān)信息系統(tǒng)(網(wǎng)絡(luò))建設(shè)、運行和應(yīng)用管理的技術(shù)部門(含標(biāo)準(zhǔn)化部門)必備的專業(yè)崗位人員,其基本職能是對

14、信息系統(tǒng)的安全提供技術(shù)保障,其所具備的專業(yè)資質(zhì)和能力,由中國信息安全產(chǎn)品測評認證中心(CNITSEC )實施認證。根據(jù)實際崗位工作需要, CISP 分為三類,分別是“注冊信息安全工程師” ,英文為 Certified InformationSecurity Engineer (簡稱 CISE ),CISE 主要從事信息安全技術(shù)開發(fā)服務(wù)工程建設(shè)等工作;“注冊信息安全管理人員”, 英文為 Certified Information Security Officer (簡稱 CISO ),CISO 從事信息安全管理等相關(guān)工作;“注冊信息安全審核員”,英文為 Certified Information Security Auditor簡稱 CISA ), CISA 從事信息系統(tǒng)的安全性審核或評估等工作。在國家信息安全測評認證機構(gòu)(包含授權(quán)測評機構(gòu))、信息安全咨詢服務(wù)機構(gòu)、社會各組織、團體、企事業(yè)單位從事信息安全服務(wù)或高級安全管理工作的人員,具備一定的信息安全基礎(chǔ)知識,了解并掌握GB/T 18336 、ISO 15408 、ISO 17799 等有關(guān)信息安全標(biāo)準(zhǔn),具有進行信息安全服務(wù)的能力,可以參加中國信息安全產(chǎn)品評測認證中心組織的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論