《我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)體系與認(rèn)證認(rèn)可制度介紹》

1、精選優(yōu)質(zhì)文檔-傾情為你奉上第十期 我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)體系與認(rèn)證認(rèn)可制度介紹一. 什么是信息安全技術(shù)標(biāo)準(zhǔn)體系？ 為了規(guī)范信息系統(tǒng)建設(shè)、資源保護(hù)、管理、服務(wù)等信息安全各方面的建設(shè)，使信息安全在各個(gè)方面都有據(jù)可依，信息安全標(biāo)準(zhǔn)的制定顯得十分重要，國(guó)際國(guó)內(nèi)都形成了具有一定規(guī)模的信息安全標(biāo)準(zhǔn)體系。信息安全標(biāo)準(zhǔn)體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機(jī)整體，是編制信息安全標(biāo)準(zhǔn)編制、修訂計(jì)劃的重要依據(jù)，是促進(jìn)信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)合理化的手段。 信息安全技術(shù)領(lǐng)域有國(guó)際標(biāo)準(zhǔn)體系、國(guó)家標(biāo)準(zhǔn)體系、行業(yè)標(biāo)準(zhǔn)體系和地方標(biāo)準(zhǔn)體系等，而且通常高層次的標(biāo)準(zhǔn)體系對(duì)下有約束力。事實(shí)上，在這些特定領(lǐng)域標(biāo)準(zhǔn)

2、的執(zhí)行還要看各個(gè)國(guó)家的管理法規(guī)和制度。國(guó)際信息安全標(biāo)準(zhǔn)體系主要由信息系統(tǒng)安全的一般要求、開發(fā)安全技術(shù)和機(jī)制、開發(fā)安全指南和安全管理支撐性文件和標(biāo)準(zhǔn)等幾部分組成。 二. 國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)化組織有哪些？ 國(guó)際上與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下四個(gè)。 1.ISO/IEC JTC1（信息技術(shù)標(biāo)準(zhǔn)化委員會(huì)）所屬SC27（安全技術(shù)分委員會(huì)）的前身是SC20（數(shù)據(jù)加密技術(shù)分委員會(huì)），主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。ISO/TC68負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定，主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn)，與SC27有著密切的聯(lián)系。ISO/IEC JTC1負(fù)責(zé)制定的標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰

3、管理、數(shù)字簽名、安全評(píng)估等方面。 2. lEC在信息安全標(biāo)準(zhǔn)化方面除了與ISO聯(lián)合成立了JTC1下的分委員會(huì)外，還在電信、信息技術(shù)和電磁兼容等方面成立了技術(shù)委員會(huì)，如TC56可靠性、TC74 IT設(shè)備安全和功效、TC77電磁兼容、TC108音頻/視頻、信息技術(shù)和通信 技術(shù)電子設(shè)備的安全等，并且制定相關(guān)國(guó)際標(biāo)準(zhǔn)。 3.ITU SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測(cè)定、安全通信服務(wù)等。 4.IETF（Internet工程任務(wù)組）制定標(biāo)準(zhǔn)的具體工作由各個(gè)工作組承擔(dān)。IETF分成八個(gè)工作組，分別負(fù)責(zé)Internet路由、傳輸、應(yīng)用等八個(gè)領(lǐng)

4、域，其著名的IKE和IPSec都在RFC系列之中，還有電子郵件、網(wǎng)絡(luò)認(rèn)證和密碼及其他安全協(xié)議標(biāo)準(zhǔn)。 國(guó)內(nèi)的安全標(biāo)準(zhǔn)化組織主要有全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)以及中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)（TC8）。 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）于2002年4月成立，是在信息安全的專業(yè)領(lǐng)域內(nèi)，從事信息安全標(biāo)準(zhǔn)化工作的技術(shù)工作組織，任務(wù)是向國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)提出本專業(yè)標(biāo)準(zhǔn)化工作的方針、政策和技術(shù)措施的建議。主要以工作組形 式開展工作，現(xiàn)下設(shè)六個(gè)工作組：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、涉密信息系統(tǒng)標(biāo)準(zhǔn)工作組（WG2）、密碼工作組（WG3）、鑒別與授權(quán)工作組

5、（WG4）、信息安全評(píng)估工作組（WG5）、信息安全管理工作組（WG7）。 網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)該委員會(huì)成立于2003年12月，主要負(fù)責(zé)研究涉及有關(guān)通信安全技術(shù)和管理標(biāo)準(zhǔn)。其研究領(lǐng)域包括面向公眾服務(wù)的互聯(lián)網(wǎng)的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)、電信網(wǎng)與互聯(lián)網(wǎng)結(jié)合中的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)、特殊通信領(lǐng)域中的網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)。目前，設(shè)置有有線網(wǎng)絡(luò)安全工作組（WG1）、無線網(wǎng)絡(luò)安全工作組（WG2）、安全管理工作組（WG3）和安全基礎(chǔ)設(shè)施工作組（WG4）四個(gè)工作組。 三. 我國(guó)的信息安全技術(shù)標(biāo)準(zhǔn)體系是怎樣的？ 我國(guó)信息安全標(biāo)準(zhǔn)化工作是從學(xué)習(xí)國(guó)際標(biāo)準(zhǔn)化工作開始的，目前，我國(guó)的信 息安全標(biāo)準(zhǔn)化工作也已經(jīng)取得了比較大的

6、進(jìn)展。近些年，先后發(fā)布了幾十項(xiàng)信息安全標(biāo)準(zhǔn)，也進(jìn)行了信息安全標(biāo)準(zhǔn)體系的專門研究，提出了基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測(cè)評(píng)標(biāo)準(zhǔn)、密碼技術(shù)標(biāo)準(zhǔn)和保密技術(shù)標(biāo)準(zhǔn)等六大類信息安全技術(shù)標(biāo)準(zhǔn)的體系結(jié)構(gòu)，可按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容進(jìn)行細(xì)分，為現(xiàn)階段信息安全標(biāo)準(zhǔn)編制、修訂提供依據(jù)，為信息安全保障體系建設(shè)提供有效的支撐。四. 我國(guó)信息安全主要技術(shù)標(biāo)準(zhǔn)有哪些？ 我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)體系涉及網(wǎng)絡(luò)與信息安全各個(gè)方面，包括已經(jīng)發(fā)布、報(bào)批和在研的技術(shù)標(biāo)準(zhǔn)有很多，主要的有： 1.計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999） 2.信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）

7、3.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008） 4.信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T 20271-2010） 5.信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T 20269-2006） 6.信息安全技術(shù) 信息安全事件管理指南（GB/Z 20985-2007） 7.信息安全技術(shù) 信息安全事件分類分級(jí)指南（GB/Z 20986-2007） 8.信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007） 9.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（GB/T 25058-2010） 10.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T

8、 22240-2008） 11.信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T 25070-2010） 12.信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求（GB/T 21052-2007） 五. 什么是信息安全認(rèn)證認(rèn)可？ 2003年 9月，國(guó)務(wù)院發(fā)布認(rèn)證認(rèn)可條例，這一條例對(duì)認(rèn)證和認(rèn)可是這樣定義的：認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)；認(rèn)可則是指由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、文驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)。 認(rèn)證的對(duì)象分為三類 ：產(chǎn)品、服務(wù)和管理體系。在信息安全領(lǐng)域，目前針

9、對(duì)這三類對(duì)象的認(rèn)證活動(dòng)在我國(guó)都已開展，即信息安全產(chǎn)品認(rèn)證、信息安全服務(wù)認(rèn)證和信息安全管理體系認(rèn)證。 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障丁作的意見（中辦發(fā)200327號(hào)）文件及其后發(fā)布的關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知（國(guó)認(rèn)證聯(lián)200457號(hào)）文件對(duì)信息安全產(chǎn)品認(rèn)證工作做出了規(guī)定，這也是我國(guó)信息安全保障體系建設(shè)中的一項(xiàng)基礎(chǔ)性工作。除此之外，信息安全服務(wù)認(rèn)證和信息安全管理體系認(rèn)證也是我國(guó)信息安全認(rèn)證認(rèn)可事業(yè)的重要組成部分，我國(guó)認(rèn)證認(rèn)可主管部門為推動(dòng)這些工作也作了大量努力。 六. 我國(guó)對(duì)信息安全認(rèn)證認(rèn)可的主要內(nèi)容有哪些？ 1信息安全產(chǎn)品認(rèn)證 國(guó)家認(rèn)監(jiān)委會(huì)同有關(guān)部門推進(jìn)了統(tǒng)一的信息安全產(chǎn)

10、品認(rèn)證認(rèn)可體系的建設(shè)，成立了國(guó)家信息安全產(chǎn)品認(rèn)證管理委員會(huì)及其執(zhí)委會(huì)，成立了專門的認(rèn)證機(jī)構(gòu) （中國(guó)信息安全認(rèn)證中心），公布了信息安全產(chǎn)品強(qiáng)制性認(rèn)證、指定認(rèn)證機(jī)構(gòu)和第一批指定實(shí)驗(yàn)室，公布了信息安全產(chǎn)品強(qiáng)制性認(rèn)證目錄，制定了檢測(cè)收費(fèi)標(biāo)準(zhǔn)，公布了認(rèn)證實(shí)施規(guī)則，明確了強(qiáng)制性認(rèn)證所依據(jù)的技術(shù)標(biāo)準(zhǔn)、規(guī)范以及相關(guān)技術(shù)指標(biāo)。 2信息安全服務(wù)資質(zhì)認(rèn)證，其中包括：信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證和信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證。 隨著我國(guó)信息化和信息安全保障工作的不斷深入推進(jìn)，以應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估、安全集成、災(zāi)難恢復(fù)、系統(tǒng)測(cè)評(píng)、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服

11、務(wù)在信息安全保障中的作用日益突出。信息安全服務(wù)資質(zhì)管理和相關(guān)認(rèn)證評(píng)價(jià)工作已成為信息安全保障工作的重要組成部分。 3信息安全管理體系（ISMS）認(rèn)證，信息安全管理體系簡(jiǎn)稱ISMS（Information Security Management System）。 為了推動(dòng) ISO/IEC 27000標(biāo)準(zhǔn)族的應(yīng)用和轉(zhuǎn)化，原國(guó)務(wù)院信息辦于 2006年 3月至 2007年 1月組織開展了“信息安全管理標(biāo)準(zhǔn)應(yīng)用（ISMS）試點(diǎn)”工作。在試點(diǎn)的基礎(chǔ)上，完成了ISO/IEC 27001：2005和ISO/IEC27002：2005的轉(zhuǎn)化工作，上述標(biāo)準(zhǔn)已經(jīng)等同采用為國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008信息技術(shù)

12、 安全技術(shù) 信息安全管理體系要求和國(guó)家標(biāo)準(zhǔn)GB/T22081-2008信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則，并于2008年11月1日起實(shí)施。 4信息技術(shù)服務(wù)管理（ITSM）體系認(rèn)證Information technology Service management ITSM認(rèn)證是對(duì)組織能否有效交付IT服務(wù)的能力進(jìn)行評(píng)價(jià)的過程。隨著IT的迅猛發(fā)展，有效地提供IT服務(wù)管理以滿足業(yè)務(wù)和顧客的要求，已經(jīng)成為了各類組織建立、實(shí)施、運(yùn)行IT服務(wù)管理體系的內(nèi)在需求和動(dòng)力。通過建立IT服務(wù)管理體系并尋求第三方認(rèn)證已逐漸成為各類組織提高和檢驗(yàn)自身IT服務(wù)管理水平的優(yōu)先選擇。 七. 我國(guó)對(duì)信息安全人員資格的認(rèn)證

13、有哪些？ 目前，我國(guó)對(duì)信息安全人員資質(zhì)的最高認(rèn)可是“注冊(cè)信息安全專業(yè)人員”，英文為Certified Information Security Professional（簡(jiǎn)稱CISP）。注冊(cè)信息安全專業(yè)人員是有關(guān)信息安全企業(yè)，信息安全咨詢服務(wù)機(jī)構(gòu)、信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)（包含授權(quán)測(cè)評(píng)機(jī)構(gòu)）、社會(huì)各組織、團(tuán)體、企事業(yè)有關(guān)信息系統(tǒng)（網(wǎng)絡(luò)）建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）必備的專業(yè)崗位人員，其基本職能是對(duì)信息系統(tǒng)的安全提供技術(shù)保障，其所具備的專業(yè)資質(zhì)和能力，由中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（CNITSEC）實(shí)施認(rèn)證。 根據(jù)實(shí)際崗位工作需要，CISP分為三類，分別是“注冊(cè)信息安全工程師”,英

14、文為Certified Information Security Engineer（簡(jiǎn)稱CISE），CISE主要從事信息安全技術(shù)開發(fā)服務(wù)工程建設(shè)等工作；“注冊(cè)信息安全管理人員”， 英文為Certified Information Security Officer（簡(jiǎn)稱CISO），CISO從事信息安全管理等相關(guān)工作；“注冊(cè)信息安全審核員”，英文為Certified Information Security Auditor（簡(jiǎn)稱CISA），CISA從事信息系統(tǒng)的安全性審核或評(píng)估等工作。 在國(guó)家信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)（包含授權(quán)測(cè)評(píng)機(jī)構(gòu)）、信息安全咨詢服務(wù)機(jī)構(gòu)、社會(huì)各組織、團(tuán)體、企事業(yè)單位從事信息安全服務(wù)或高級(jí)安全管理工作的人員，具備一定的信息安全基礎(chǔ)知識(shí)，了解并掌握GB/T 18336、ISO 154