信息安全標(biāo)準(zhǔn)上課件

第13講信息安全標(biāo)準(zhǔn)（一）北京郵電大學(xué)計(jì)算機(jī)學(xué)院副教授徐國(guó)愛(ài)信息安全標(biāo)準(zhǔn)體系第13講信息安全標(biāo)準(zhǔn)（一）北京郵電大學(xué)計(jì)算機(jī)學(xué)院信息安全1標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介信息安全標(biāo)準(zhǔn)化組織國(guó)外信息安全相關(guān)標(biāo)準(zhǔn)國(guó)內(nèi)信息安全相關(guān)標(biāo)準(zhǔn)本講提綱標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介本講提綱2基本概念標(biāo)準(zhǔn)化：在一定的范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或潛在的問(wèn)題制定共同的和重復(fù)使用的規(guī)則的活動(dòng)。實(shí)質(zhì)：通過(guò)制定、發(fā)布和實(shí)施標(biāo)準(zhǔn)，達(dá)到統(tǒng)一。目的：獲得最佳秩序和社會(huì)效益。意義：促進(jìn)和帶動(dòng)產(chǎn)業(yè)發(fā)展；解決安全互聯(lián)互通。基本概念標(biāo)準(zhǔn)化：在一定的范圍內(nèi)獲得最佳秩序，對(duì)實(shí)際的或潛在的3等同采用國(guó)際標(biāo)準(zhǔn)IDT（identical）修改采用國(guó)際標(biāo)準(zhǔn)MOD（modified）非等效采用國(guó)際標(biāo)準(zhǔn)NEQ（notequivalent）——是指我國(guó)標(biāo)準(zhǔn)在技術(shù)內(nèi)容與文本結(jié)構(gòu)上均與國(guó)際標(biāo)準(zhǔn)完全相同，或者我國(guó)標(biāo)準(zhǔn)在技術(shù)內(nèi)容上可以與國(guó)際標(biāo)準(zhǔn)相同，但可以包含小的編輯性修改。是采用國(guó)際標(biāo)準(zhǔn)的基本方法之一?！侵冈试S我國(guó)標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)存在技術(shù)性差異，并對(duì)這些技術(shù)性差異進(jìn)行了清楚的標(biāo)示和解釋。是采用國(guó)際標(biāo)準(zhǔn)的基本方法之一?！侵肝覈?guó)標(biāo)準(zhǔn)與相應(yīng)國(guó)際標(biāo)準(zhǔn)在技術(shù)內(nèi)容和文本結(jié)構(gòu)上均不相同，它們之間的差異也未被清楚的標(biāo)示。其不屬于采用國(guó)際標(biāo)準(zhǔn)。等同采用國(guó)際標(biāo)準(zhǔn)IDT（identical）——是指我國(guó)標(biāo)準(zhǔn)4標(biāo)準(zhǔn)的分類(lèi)從世界范圍，按標(biāo)準(zhǔn)的層次分類(lèi)：國(guó)際標(biāo)準(zhǔn)：由國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）制定的標(biāo)準(zhǔn)。區(qū)域標(biāo)準(zhǔn)：是世界區(qū)域性標(biāo)準(zhǔn)化組織制定的標(biāo)準(zhǔn)。國(guó)家標(biāo)準(zhǔn)：在一個(gè)國(guó)家內(nèi)通用的標(biāo)準(zhǔn)。行業(yè)標(biāo)準(zhǔn)：是在某個(gè)行業(yè)或?qū)I(yè)范圍內(nèi)適用的標(biāo)準(zhǔn)。企業(yè)標(biāo)準(zhǔn)：有企業(yè)制定的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的分類(lèi)從世界范圍，按標(biāo)準(zhǔn)的層次分類(lèi)：國(guó)際標(biāo)準(zhǔn)：由國(guó)際標(biāo)準(zhǔn)5我國(guó)按適用范圍分類(lèi)企業(yè)標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)國(guó)家標(biāo)準(zhǔn)我國(guó)按適用范圍分類(lèi)企業(yè)標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)國(guó)家標(biāo)準(zhǔn)6國(guó)家標(biāo)準(zhǔn)對(duì)需要在全國(guó)范圍內(nèi)統(tǒng)一的技術(shù)要求，應(yīng)當(dāng)制定國(guó)家標(biāo)準(zhǔn)。國(guó)家標(biāo)準(zhǔn)由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)編制計(jì)劃、審批、編號(hào)、發(fā)布。國(guó)家標(biāo)準(zhǔn)代號(hào)為：GB和GB/T，其含義分別為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)和推薦性國(guó)家標(biāo)準(zhǔn)。國(guó)家標(biāo)準(zhǔn)是四級(jí)標(biāo)準(zhǔn)體系中的主體，在全國(guó)范圍內(nèi)使用，其他各級(jí)標(biāo)準(zhǔn)不得與之相抵觸。2019年增加一種“國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件”，作為國(guó)家標(biāo)準(zhǔn)的補(bǔ)充，其代號(hào)為GB/Z。國(guó)家標(biāo)準(zhǔn)對(duì)需要在全國(guó)范圍內(nèi)統(tǒng)一的技術(shù)要求，應(yīng)當(dāng)制定國(guó)家標(biāo)準(zhǔn)。7行業(yè)標(biāo)準(zhǔn)對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求，可以制定行業(yè)標(biāo)準(zhǔn)。當(dāng)相應(yīng)的國(guó)家標(biāo)準(zhǔn)實(shí)施后，該行業(yè)標(biāo)準(zhǔn)應(yīng)自行廢止。行業(yè)標(biāo)準(zhǔn)由行業(yè)標(biāo)準(zhǔn)歸口部門(mén)編制計(jì)劃、審批、編號(hào)、發(fā)布、管理。部分行業(yè)的行業(yè)標(biāo)準(zhǔn)代號(hào)如下：汽車(chē)——QC化工——HG電子——SJ石油化工——SH有色金屬——YS郵電通信——YD機(jī)械——JB船舶——CB電力——DL商檢——SN包裝——BB核工業(yè)——EJ行業(yè)標(biāo)準(zhǔn)對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)又需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要8地方標(biāo)準(zhǔn)對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)而又需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的要求，可以制定地方標(biāo)準(zhǔn)。地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門(mén)統(tǒng)一編制計(jì)劃、組織制定、審批、編號(hào)、發(fā)布。地方標(biāo)準(zhǔn)在本行政區(qū)域內(nèi)使用，不得與國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)相抵觸。國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)公布實(shí)施后，相應(yīng)的地方標(biāo)準(zhǔn)自行廢止。地方標(biāo)準(zhǔn)制定范圍：工業(yè)產(chǎn)品的安全、衛(wèi)生要求；藥品、獸藥、食品衛(wèi)生、環(huán)境保護(hù)、節(jié)約能源、種子等法律法規(guī)要求；其他法律法規(guī)規(guī)定的要求。地方標(biāo)準(zhǔn)對(duì)沒(méi)有國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)而又需要在省、自治區(qū)、直轄市9企業(yè)標(biāo)準(zhǔn)是對(duì)企業(yè)范圍內(nèi)需要協(xié)調(diào)、統(tǒng)一的技術(shù)要求、管理要求和工作要求所制定的標(biāo)準(zhǔn)。企業(yè)標(biāo)準(zhǔn)由企業(yè)制定，企業(yè)標(biāo)準(zhǔn)是企業(yè)組織生產(chǎn)、經(jīng)營(yíng)活動(dòng)的依據(jù)，由企業(yè)法人代表或法人代表授權(quán)的主管領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布。企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)在發(fā)布后30日內(nèi)向政府備案。企業(yè)標(biāo)準(zhǔn)是對(duì)企業(yè)范圍內(nèi)需要協(xié)調(diào)、統(tǒng)一的技術(shù)要求、管理要求和工10按法律的約束性分類(lèi)：強(qiáng)制性標(biāo)準(zhǔn)推薦性標(biāo)準(zhǔn)標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件按法律的約束性分類(lèi)：強(qiáng)制性標(biāo)準(zhǔn)推薦性標(biāo)準(zhǔn)標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件11技術(shù)標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)工業(yè)標(biāo)準(zhǔn)按標(biāo)準(zhǔn)的性質(zhì)分類(lèi)技術(shù)標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)工業(yè)標(biāo)準(zhǔn)按標(biāo)準(zhǔn)的性質(zhì)分類(lèi)12按標(biāo)準(zhǔn)化的對(duì)象和作用分類(lèi)：分類(lèi)基礎(chǔ)標(biāo)準(zhǔn)產(chǎn)品標(biāo)準(zhǔn)方法標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)衛(wèi)生標(biāo)準(zhǔn)環(huán)境保護(hù)標(biāo)準(zhǔn)按標(biāo)準(zhǔn)化的對(duì)象和作用分類(lèi)：分類(lèi)基礎(chǔ)標(biāo)準(zhǔn)產(chǎn)品標(biāo)準(zhǔn)方法標(biāo)準(zhǔn)安全標(biāo)13標(biāo)準(zhǔn)化三維空間國(guó)際級(jí)區(qū)域級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員服務(wù)系統(tǒng)產(chǎn)品過(guò)程術(shù)語(yǔ)體系、框架技術(shù)機(jī)制應(yīng)用管理YXZX軸代表標(biāo)準(zhǔn)化的對(duì)象Y軸代表標(biāo)準(zhǔn)化的內(nèi)容Z軸代表標(biāo)準(zhǔn)化的級(jí)別標(biāo)準(zhǔn)化三維空間國(guó)際級(jí)人員術(shù)語(yǔ)體系、框架技術(shù)機(jī)制應(yīng)用管理YXZ14八字原理我國(guó)通行“標(biāo)準(zhǔn)化八字原理”統(tǒng)一簡(jiǎn)化協(xié)調(diào)最優(yōu)八字原理我國(guó)通行“標(biāo)準(zhǔn)化八字原理”統(tǒng)一簡(jiǎn)化協(xié)調(diào)最優(yōu)15我國(guó)標(biāo)準(zhǔn)工作歸口單位國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)/全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱(chēng)信息安全標(biāo)委會(huì)，TC260）/全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱(chēng)信標(biāo)委，CITS），負(fù)責(zé)全國(guó)信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對(duì)應(yīng)的標(biāo)準(zhǔn)化工作。/全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱(chēng)金標(biāo)委），負(fù)責(zé)金融系統(tǒng)標(biāo)準(zhǔn)化技術(shù)歸口管理工作和國(guó)際標(biāo)準(zhǔn)化組織中銀行與相關(guān)金融業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)的歸口管理工作。/我國(guó)標(biāo)準(zhǔn)工作歸口單位國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)/16IT標(biāo)準(zhǔn)化IT標(biāo)準(zhǔn)發(fā)展趨勢(shì)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向發(fā)展。信息技術(shù)標(biāo)準(zhǔn)化機(jī)構(gòu)由分散走向聯(lián)合。信息技術(shù)標(biāo)準(zhǔn)化的內(nèi)容更加廣泛，重點(diǎn)更加突出，從IT技術(shù)領(lǐng)域向社會(huì)各個(gè)領(lǐng)域滲透，涉及教育、文化、醫(yī)療、交通、商務(wù)等廣泛領(lǐng)域，需求大量增加。從技術(shù)角度看，IT標(biāo)準(zhǔn)化的重點(diǎn)將放在網(wǎng)絡(luò)接口、軟件接口、信息格式、安全等方面，并向著以技術(shù)中立為前提，保證互操作為目的方向發(fā)展。IT標(biāo)準(zhǔn)化IT標(biāo)準(zhǔn)發(fā)展趨勢(shì)標(biāo)準(zhǔn)逐步從技術(shù)驅(qū)動(dòng)向市場(chǎng)驅(qū)動(dòng)方向發(fā)17標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介信息安全標(biāo)準(zhǔn)化組織國(guó)外信息安全相關(guān)標(biāo)準(zhǔn)國(guó)內(nèi)信息安全相關(guān)標(biāo)準(zhǔn)本講提綱標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介本講提綱18國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際標(biāo)準(zhǔn)化組織（ISO）建于1947年2月23日2952個(gè)技術(shù)成員工作成果發(fā)布為國(guó)際標(biāo)準(zhǔn)（IS）由146個(gè)國(guó)家標(biāo)準(zhǔn)成員組成的世界聯(lián)盟190個(gè)技術(shù)委員會(huì)(TCs)、544個(gè)子委員會(huì)(SCs)、2188個(gè)工作組(WGs)與安全相關(guān)機(jī)構(gòu)ISO/IECJTC1/SC27：IT安全技術(shù)ISOTC68：金融服務(wù)ISOTC215：健康醫(yī)療學(xué)國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際標(biāo)準(zhǔn)化組織（ISO）建于1947年19國(guó)際標(biāo)準(zhǔn)化組織（ISO）JTC1其他分技術(shù)委員會(huì)SC6——系統(tǒng)間通信與信息交換SC17——識(shí)別卡和有關(guān)設(shè)備SC18——文件處理及有關(guān)通信SC21——開(kāi)放系統(tǒng)互連，數(shù)據(jù)處理和開(kāi)放式分布處理SC22——程序語(yǔ)言，其環(huán)境及系統(tǒng)軟件接口，也開(kāi)發(fā)相應(yīng)的安全標(biāo)準(zhǔn)SC30——開(kāi)放式電子數(shù)據(jù)交換，主要開(kāi)發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)化組織（ISO）JTC1其他分技術(shù)委員會(huì)SC6——系20國(guó)際電工委員會(huì)（IEC）正式成立于1906年10月，是世界上成立最早的專(zhuān)門(mén)國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)。成立的相關(guān)技術(shù)委員會(huì)：TC56：可靠性TC74：IT設(shè)備安全與功效TC77：電磁兼容TC108：音頻/視頻CISPR：無(wú)線電干擾特別委員會(huì)國(guó)際電工委員會(huì)（IEC）正式成立于1906年10月，是世界上21國(guó)際電信聯(lián)盟（ITU）成立于1865年5月17日，其前身是國(guó)際電報(bào)和電話咨詢(xún)委員會(huì)（CCITT）。主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。ITUSG17組主要研究方向：通信安全項(xiàng)目安全架構(gòu)與框架計(jì)算安全安全管理用于安全的生物測(cè)定安全通信服務(wù)國(guó)際電信聯(lián)盟（ITU）成立于1865年5月17日，其前身是國(guó)22Internet工程任務(wù)組（IETF）始創(chuàng)于1986年，包括170多個(gè)RFC，12個(gè)工作組主要任務(wù)：負(fù)責(zé)互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范的研發(fā)和制定。IETF安全工作小組：PGP開(kāi)發(fā)規(guī)范（openpgp）鑒別防火墻遍歷（aft）通用鑒別技術(shù)（cat）域名服務(wù)系統(tǒng)安全（dnssec）IP安全協(xié)議（ipsec）一次性口令鑒別（otp）X.509公鑰基礎(chǔ)設(shè)施（pkix）S/MIME安全電子郵件（smime）安全Shell（secsh)傳輸層安全（tls）Internet工程任務(wù)組（IETF）始創(chuàng)于1986年，包括23電氣和電子工程師學(xué)會(huì)（IEEE）1963年1月1日由美國(guó)無(wú)線電工程師協(xié)會(huì)(IRE,創(chuàng)立于1912年)和美國(guó)電氣工程師協(xié)會(huì)(AIEE,創(chuàng)建于1884年)合并而成。IEEE802委員會(huì)，成立于1980年2月，任務(wù)是制定局域網(wǎng)的國(guó)際標(biāo)準(zhǔn)（802.1~17）。高層接口邏輯鏈路控制CSMA/CD網(wǎng)令牌總線網(wǎng)令牌環(huán)網(wǎng)城域網(wǎng)……電氣和電子工程師學(xué)會(huì)（IEEE）1963年1月1日由美國(guó)無(wú)線24歐洲計(jì)算機(jī)制造商協(xié)會(huì)（ECMA）負(fù)責(zé)適用于計(jì)算機(jī)技術(shù)的各種的標(biāo)準(zhǔn)的制定和頒布。TC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)。TC36——“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。歐洲計(jì)算機(jī)制造商協(xié)會(huì)（ECMA）負(fù)責(zé)適用于計(jì)算機(jī)技術(shù)的各種的25外國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）美國(guó)國(guó)防部（DOD）NCITS-T4制定IT安全技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)負(fù)責(zé)聯(lián)邦政府非密敏感信息其工作以NIST出版物（FIPSPUB）和NIST特別出版物（SPECPUB）等形式發(fā)布制定了數(shù)據(jù)加密標(biāo)準(zhǔn)DES、密鑰托管加密標(biāo)準(zhǔn)EES負(fù)責(zé)涉密信息NSA(NationalSecurityAgency，美國(guó)國(guó)家安全局)國(guó)防部指令（DODI）（如TCSEC）外國(guó)信息安全標(biāo)準(zhǔn)化組織美國(guó)美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）NCI26英國(guó)BS7799醫(yī)療衛(wèi)生信息系統(tǒng)安全加拿大計(jì)算機(jī)安全管理日本JIS國(guó)家標(biāo)準(zhǔn)JISC工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)韓國(guó)KISA負(fù)責(zé)防火墻、IDS、PKI方面標(biāo)準(zhǔn)英國(guó)BS7799加拿大計(jì)算機(jī)安全管理日本JIS國(guó)家標(biāo)準(zhǔn)韓27ISO/IECJTC1SC27ISO/IECJTC1SC27——IT安全技術(shù)其工作領(lǐng)域是IT安全的通用方法和技術(shù)，包括：ISO/IECJTC1SC27已成為信息安全領(lǐng)域最具權(quán)威和得到國(guó)際最廣泛認(rèn)可的標(biāo)準(zhǔn)化組織。為IT安全服務(wù)識(shí)別通用要求（包括要求方法）；開(kāi)發(fā)安全技術(shù)和機(jī)制（包括注冊(cè)流程以及安全組件的關(guān)系）；開(kāi)發(fā)安全指南（例如：解釋文件、風(fēng)險(xiǎn)分析）；開(kāi)發(fā)管理支持文件和標(biāo)準(zhǔn)（例如：術(shù)語(yǔ)和安全評(píng)估準(zhǔn)則）。ISO/IECJTC1SC27ISO/IECJTC128SC27的5個(gè)工作組方向：WG3安全評(píng)估WG1信息安全管理體系WG4安全控制與服務(wù)WG2密碼與安全機(jī)制WG5身份管理與隱私技術(shù)評(píng)估指南技術(shù)產(chǎn)品系統(tǒng)過(guò)程環(huán)境SC27的5個(gè)工作組方向：WG3WG1WG4WG2W29ISO/IECJTC1SC27標(biāo)準(zhǔn)動(dòng)態(tài)表標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)名稱(chēng)ISO/IECTR13335-3IT安全管理指南-第三部分：IT安全管理技術(shù)ISO/IECTR13335-4IT安全管理指南-第四部分：安全措施選擇ISO/IECTR13335-1信息與通信技術(shù)安全管理-第一部分：信息與通信技術(shù)安全管理的概念和模型ISO/IEC27000信息安全管理體系-概念和詞匯ISO/IEC27001信息安全管理體系-要求ISO/IEC27002信息安全管理實(shí)用規(guī)則ISO/IEC27003信息安全管理體系實(shí)現(xiàn)指南ISO/IEC27004信息安全管理測(cè)量ISO/IEC27005信息安全風(fēng)險(xiǎn)管理ISO/IEC27006信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求ISO/IEC27007信息安全管理體系審核指南ISO/IEC7064校驗(yàn)字符系統(tǒng)…ISO/IECJTC1SC27標(biāo)準(zhǔn)動(dòng)態(tài)表標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)名稱(chēng)I30國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)——簡(jiǎn)稱(chēng)信安標(biāo)委（TC260）2019年4月15日成立負(fù)責(zé)組織開(kāi)展國(guó)內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化工作工作范圍包括：共76個(gè)標(biāo)準(zhǔn)（13項(xiàng)修訂標(biāo)準(zhǔn)）50項(xiàng)標(biāo)準(zhǔn)正在研制中安全技術(shù)安全機(jī)制安全服務(wù)安全管理安全評(píng)估國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)——簡(jiǎn)稱(chēng)信31TC260工作組WG1：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組WG2：涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組WG3：密碼技術(shù)標(biāo)準(zhǔn)工作組WG4：鑒別與授權(quán)工作組WG5：信息安全評(píng)估工作組WG7：信息安全管理工作組TC260工作組WG1：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組32信安標(biāo)委工作組工作任務(wù)WG1研究信息安全標(biāo)準(zhǔn)體系跟蹤國(guó)際標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)研究信息安全標(biāo)準(zhǔn)需求研究并提出新工作項(xiàng)目及設(shè)立新工作組的建議協(xié)調(diào)過(guò)工作組項(xiàng)目WG2研究提出涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)體系制定和修改涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)WG3研究提出密碼技術(shù)標(biāo)準(zhǔn)體系研究制定密碼算法、密碼模塊和密鑰管理等相關(guān)標(biāo)準(zhǔn)WG4研究制定鑒別與授權(quán)標(biāo)準(zhǔn)體系調(diào)研國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)需求研究制定鑒別與授權(quán)標(biāo)準(zhǔn)WG5調(diào)研測(cè)評(píng)標(biāo)準(zhǔn)現(xiàn)狀與發(fā)展趨勢(shì)研究我國(guó)統(tǒng)一測(cè)評(píng)標(biāo)準(zhǔn)體系的思路和框架，提出測(cè)評(píng)標(biāo)準(zhǔn)體系研究制定急需的測(cè)評(píng)標(biāo)準(zhǔn)WG7研究信息安全管理動(dòng)態(tài)，調(diào)研國(guó)內(nèi)管理標(biāo)準(zhǔn)需求研究提出信息安全管理標(biāo)準(zhǔn)體系制定信息安全管理相關(guān)標(biāo)準(zhǔn)信安標(biāo)委工作組工作任務(wù)WG1研究信息安全標(biāo)準(zhǔn)體系跟蹤國(guó)際標(biāo)準(zhǔn)33信安標(biāo)委制定國(guó)家信息安全標(biāo)準(zhǔn)流程：立項(xiàng)申請(qǐng)?zhí)岢霾莅腹ぷ鹘M征求意見(jiàn)評(píng)審?fù)ㄟ^(guò)形成送審稿秘書(shū)處網(wǎng)上征求意見(jiàn)評(píng)審?fù)ㄟ^(guò)形成送批稿主任辦公會(huì)審查國(guó)標(biāo)委批準(zhǔn)發(fā)布定期復(fù)審提出修改信安標(biāo)委制定國(guó)家信息安全標(biāo)準(zhǔn)流程：立項(xiàng)申請(qǐng)?zhí)岢霾莅腹ぷ鹘M征求34國(guó)內(nèi)其他信息安全標(biāo)準(zhǔn)管理機(jī)構(gòu)國(guó)家保密局行業(yè)標(biāo)準(zhǔn)化組織負(fù)責(zé)管理、發(fā)布并強(qiáng)制執(zhí)行國(guó)家保密標(biāo)準(zhǔn)。國(guó)家保密標(biāo)準(zhǔn)和國(guó)家保密法規(guī)共同構(gòu)成我國(guó)保密管理的重要基礎(chǔ)。公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)成立于2019年3月31日負(fù)責(zé)規(guī)劃和制定我國(guó)公共安全行業(yè)信息安全標(biāo)準(zhǔn)和技術(shù)規(guī)范，監(jiān)督技術(shù)標(biāo)準(zhǔn)的實(shí)施。成立于2019年12月專(zhuān)門(mén)組織、研究和制定通信行業(yè)網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范。國(guó)內(nèi)其他信息安全標(biāo)準(zhǔn)管理機(jī)構(gòu)國(guó)家保密局負(fù)責(zé)管理、發(fā)布并強(qiáng)制執(zhí)35標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介信息安全標(biāo)準(zhǔn)化組織國(guó)外信息安全相關(guān)標(biāo)準(zhǔn)國(guó)內(nèi)信息安全相關(guān)標(biāo)準(zhǔn)本講提綱標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介本講提綱36國(guó)外信息安全相關(guān)標(biāo)準(zhǔn)和指南

OECD指南GASSP

英國(guó)BSIBS7799-1BS7799-2

美國(guó)NISTNISTSP800-53NISTSP800-30……COBITITILISO/IEC17799ISO/IEC27001ISO/IEC13335ISO/IEC27000系列CNITSEC信息系統(tǒng)安全保障框架管理保障部分國(guó)外組織機(jī)構(gòu)指南國(guó)外國(guó)家標(biāo)準(zhǔn)指南信息系統(tǒng)審計(jì)領(lǐng)域IT服務(wù)管理領(lǐng)域國(guó)外信息安全相關(guān)標(biāo)準(zhǔn)和指南OECDGASSP英國(guó)BS37BS7799標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)BSI制定BS7799標(biāo)準(zhǔn)：BS7799-1:2019《信息安全管理實(shí)用規(guī)則》BS7799-2:2019《信息安全管理體系規(guī)范》BS7799-3:2019《信息安全風(fēng)險(xiǎn)評(píng)估》安全方針的制定安全責(zé)任的歸屬風(fēng)險(xiǎn)的評(píng)估訪問(wèn)控制防病毒相關(guān)策略……BS7799廣泛涵蓋所有信息安全議題：BS7799標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)BSI制定BS7799-138BS7799-1是組織建立并實(shí)施信息安全管理的一個(gè)指導(dǎo)性準(zhǔn)則從以下10個(gè)方面定義了127項(xiàng)控制措施：安全政策組織安全資產(chǎn)分類(lèi)與控制人員安全物理與環(huán)境安全業(yè)務(wù)連續(xù)性管理符合性管理通信與操作管理訪問(wèn)控制系統(tǒng)開(kāi)發(fā)與維護(hù)

側(cè)重于組織整體的管理和運(yùn)營(yíng)操作

與信息安全技術(shù)相關(guān)BS7799-1是組織建立并實(shí)施信息安全管理的一個(gè)指導(dǎo)性準(zhǔn)39BS7799-2引用PDCA模型，將信息安全管理體系分解成4個(gè)子過(guò)程：1）風(fēng)險(xiǎn)評(píng)估3）安全管理

2）安全設(shè)計(jì)與執(zhí)行4）再評(píng)估建立信息安全管理體系的步驟：1）定義信息安全策略2）定義ISMS范圍3）進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估4）信息安全風(fēng)險(xiǎn)管理5）確定控制目標(biāo)和選擇控制措施6）準(zhǔn)備信息安全適用性聲明BS7799-2引用PDCA模型，將信息安全管理體系分解成40ISO/IEC17799標(biāo)準(zhǔn)2000年12月，BS7799-1被ISO正式批準(zhǔn)為國(guó)際標(biāo)準(zhǔn)，編號(hào)ISO/IEC17799最新版本ISO/IEC17799:2019提高外部風(fēng)險(xiǎn)管理要求（例如：外包、服務(wù)提供商、第三方、業(yè)務(wù)合作伙伴或客戶(hù)）增加了服務(wù)等級(jí)協(xié)議（SLA）、審計(jì)說(shuō)明服務(wù)交付管理沿用IT服務(wù)管路標(biāo)準(zhǔn)BS15000/ISO20000的思想ISO/IEC17799標(biāo)準(zhǔn)2000年12月，BS77941ISO/IEC17799:2019標(biāo)準(zhǔn)結(jié)構(gòu)前言0引言1范圍2術(shù)語(yǔ)和定義3本標(biāo)準(zhǔn)的組織結(jié)構(gòu)4風(fēng)險(xiǎn)評(píng)估和處置5安全策略6信息安全的組織架構(gòu)7資產(chǎn)管理8人力資源管理9物理和壞境安全10通信和運(yùn)行安全11訪問(wèn)控制12信息系統(tǒng)采購(gòu)、開(kāi)發(fā)和維護(hù)13信息安全事故管理14業(yè)務(wù)持續(xù)性管理15符合性ISO/IEC17799:2019標(biāo)準(zhǔn)結(jié)構(gòu)前言42ISO/IEC2700X標(biāo)準(zhǔn)族ISMS要求ISO/IEC27001:2019（BS7799-2:2019)ISMS實(shí)用規(guī)則ISO/IEC27002:2019（ISO/IEC17799)ISMS實(shí)施指南ISO/IEC27003ISMS測(cè)量ISO/IEC27004

風(fēng)險(xiǎn)管理ISO/IEC27005（ISO/IEC13335-3）ISMS審核和認(rèn)證機(jī)構(gòu)ISO/IEC27006:2019ISMS概念和詞匯表ISO/IEC27000:2019（ISO/IEC13335-1）ISMS審核員指南ISO/IEC27007特定標(biāo)準(zhǔn)和指南附錄AISO/IEC2700X標(biāo)準(zhǔn)族ISMS要求ISMS實(shí)用43ISO/IEC27001:20192019年10月，BS7799-2成功升級(jí)為國(guó)際標(biāo)準(zhǔn)，編號(hào)為ISO/IEC27001ISO/IEC27001是信息安全管理體系（ISMS）的規(guī)范說(shuō)明強(qiáng)調(diào)風(fēng)險(xiǎn)管理的思想，指導(dǎo)組織建立ISMSISO/IEC27001:20192019年10月，BS44建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素。管理體系包括組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責(zé)，流程，程序和資源等。管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內(nèi)。Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)什么是管理體系？QualitymanagementsystemEnvir45信息安全管理體系(ISMS):是整個(gè)管理體系的一部分，建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以：建立實(shí)施運(yùn)作監(jiān)控評(píng)審維護(hù)改進(jìn)信息安全。職業(yè)健康

安全I(xiàn)T服務(wù)信息安全環(huán)境管理體系食品安全質(zhì)量建設(shè)了ISMS，尤其是獲取了ISO27001認(rèn)證后，組織將在信息安全方面進(jìn)入一個(gè)強(qiáng)制的良性循環(huán)。信息安全管理體系(ISMS):職業(yè)健康

安全I(xiàn)T服務(wù)信息安全460.引言1.范圍2.規(guī)范性應(yīng)用文件3.術(shù)語(yǔ)和定義4.信息安全管理體系(ISMS) 4.1總要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實(shí)施和運(yùn)維ISMS 4.2.3監(jiān)控和評(píng)審ISMS 4.2.4維護(hù)和改進(jìn)ISMS 4.3文件要求5.管理職責(zé)6.ISMS的內(nèi)部審核7.ISMS的管理評(píng)審8.ISMS改進(jìn)附錄A控制目標(biāo)和控制措施附錄BOECD原則與本標(biāo)準(zhǔn)附錄CISO9001:2000和ISO14001:2019對(duì)照參考書(shū)目SO/IEC27001:2019的結(jié)構(gòu)27001輔助部分27001核心部分（條款4-8)27001核心部分27001輔助部分0.引言SO/IEC27001:2019的結(jié)構(gòu)27001輔47

27001的核心內(nèi)容相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于圖1所示的PDCA模型。圖1應(yīng)用于ISMS過(guò)程的PDCA模型27001的核心內(nèi)容相關(guān)方受控的信息安全要求和期望相關(guān)方檢48ISO27001所關(guān)注的領(lǐng)域信息安全策略信息安全組織資產(chǎn)管理人力資源的安全物理和環(huán)境安全通信和操作管理訪問(wèn)控制信息系統(tǒng)的獲取，開(kāi)發(fā)和維護(hù)信息安全事故管理業(yè)務(wù)連續(xù)性管理合規(guī)性ISO27001所關(guān)注的領(lǐng)域49ISO27001正式的標(biāo)準(zhǔn)可認(rèn)證的標(biāo)準(zhǔn)管理體系的要求控制措施的要求ISO17799實(shí)施細(xì)則（一整套最佳實(shí)踐）控制措施的實(shí)施建議和實(shí)施指導(dǎo)ISO27001的附錄A的細(xì)化與補(bǔ)充ISO27001與ISO17799（27002）為設(shè)計(jì)控制措施提供實(shí)施指南ISO/IEC17799為設(shè)計(jì)控制措施提供實(shí)施指南ISO27001ISO17799ISO27001與ISO150ISO/IEC13335ISO/IECTR13335系列：GMITS（IT安全管理指南）系列標(biāo)準(zhǔn)ISO/IECIS13335系列：MICTS（信息與通信技術(shù)安全管理）ISO/IECTR13335-1:2019《IT安全的概念與模型》ISO/IECTR13335-2:2019《IT安全管理與策劃》ISO/IECTR13335-3:2019《IT安全管理技術(shù)》ISO/IECTR13335-4:2000《安全管理措施的選擇》ISO/IECTR13335-5:2019《網(wǎng)絡(luò)安全管理指南》ISO/IEC13335-1:2019第1部分：信息與通信技術(shù)安全管理概念和模型ISO/IEC13335-2第2部分：信息與通信技術(shù)安全風(fēng)險(xiǎn)管理技術(shù)取代ISO/IECTR13335-1:2019將取代ISO/IECTR13335-2:2019ISO/IEC13335ISO/IECTR13335系51ISO27001正式的標(biāo)準(zhǔn)可認(rèn)證的標(biāo)準(zhǔn)管理體系的要求控制措施的要求ISOTR13335風(fēng)險(xiǎn)管理方法論提供如何識(shí)別風(fēng)險(xiǎn)到風(fēng)險(xiǎn)處置對(duì)ISO27001的風(fēng)險(xiǎn)評(píng)估方法的細(xì)化和補(bǔ)充ISO27001與ISO13335為風(fēng)險(xiǎn)管理提供方法風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IECTR13335-3（IT安全管理指南：IT安全管理技術(shù)）中描述了風(fēng)險(xiǎn)評(píng)估方法的例子ISO27001ISOTR13335ISO27001與I52ISO13335：以風(fēng)險(xiǎn)為核心的安全模型風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足ISO13335：以風(fēng)險(xiǎn)為核心的安全模型風(fēng)險(xiǎn)安全措施信息資產(chǎn)53資產(chǎn)（Asset）任何對(duì)組織有價(jià)值的東西[ISO/IEC27001:20193術(shù)語(yǔ)和定義]資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。信息資產(chǎn)是指組織的信息系統(tǒng)、其提供的服務(wù)以及處理的數(shù)據(jù)。資產(chǎn)的根本屬性是：價(jià)值（C、I、A值）

風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足資產(chǎn)（Asset）任何對(duì)組織有價(jià)值的東西[ISO/IEC2754漏洞（Vulnerability）脆弱性是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。脆弱性包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性的根本屬性是：嚴(yán)重程度（脆弱性被利用后對(duì)資產(chǎn)的損害程度、脆弱性被利用的難易程度）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足漏洞（Vulnerability）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏55威脅（Threat）威脅是對(duì)組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可以分為人為威脅（故意、非故意）和非人為威脅（環(huán)境、故障）2種。

威脅的根本屬性是：出現(xiàn)的頻率（還包括威脅的能力，威脅的決心。）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足威脅（Threat）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低56風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖57美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)委員會(huì)NIST美國(guó)NIST相關(guān)管理標(biāo)準(zhǔn)指南NISTSP800系列中信息安全管理相關(guān)文件：NISTSP800系列是NIST根據(jù)美國(guó)聯(lián)邦信息安全管理法案（FISMA2019）所賦予的法定職責(zé)所開(kāi)發(fā)的系列文件。NISTSP800-53：聯(lián)邦信息系統(tǒng)推薦安全控制NISTSP800-18：開(kāi)發(fā)IT系統(tǒng)安全計(jì)劃指南NISTSP800-30：IT系統(tǒng)風(fēng)險(xiǎn)管理指南NISTSP800-34：IT系統(tǒng)業(yè)務(wù)持續(xù)性規(guī)劃指南NISTSP800-50：建立信息安全意識(shí)和培訓(xùn)管理……美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)委員會(huì)NIST美國(guó)NIST相關(guān)管理標(biāo)準(zhǔn)指南58系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）1993年4月美國(guó)國(guó)家安全局（NSA）開(kāi)始醞釀2019年10月發(fā)布SSE-CMM的1.0版本2019年4月完成SSE-CMM的2.0版本2019年成為國(guó)際標(biāo)準(zhǔn)ISO/IEC21827:2019《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》2019年6月由國(guó)際系統(tǒng)安全工程協(xié)會(huì)（ISSEA）更新為3.0版本2019年10月，ISO基于SSE-CMM3.0發(fā)布了ISO/IEC21827:2019系統(tǒng)安全工程-能力成熟度模型（SSE-CMM）1993年4月59SSE-CMM定義描述了一個(gè)組織的安全工程過(guò)程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證?，F(xiàn)代統(tǒng)計(jì)過(guò)程控制理論表明通過(guò)強(qiáng)調(diào)生產(chǎn)過(guò)程的高質(zhì)量和在過(guò)程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品。SSE-CMM項(xiàng)目目標(biāo)是促進(jìn)安全工程成為一個(gè)確定的、成熟的和可度量的科目。通過(guò)區(qū)分投標(biāo)者的能力級(jí)別和相關(guān)計(jì)劃風(fēng)險(xiǎn)來(lái)選擇合格的安全工程提供商；工程組把投資集中在安全工程工具、培訓(xùn)、過(guò)程定義、管理實(shí)施和改進(jìn)上；基于能力的保證，也就是說(shuō)，信賴(lài)是基于對(duì)工程組織安全工程實(shí)踐和過(guò)程成熟的信心。理論基礎(chǔ)目的SSE-CMM定義描述了一個(gè)組織的安全工程過(guò)程必須包含的本質(zhì)60SSE-CMM體系結(jié)構(gòu)SSE-CMM包括兩維：“域”和“能力”SSE-CMM體系結(jié)構(gòu)SSE-CMM包括兩維：“域”和“能力61基本實(shí)施及過(guò)程域SSE-CMM包含61個(gè)基本實(shí)施過(guò)程，其被歸入11個(gè)安全工程過(guò)程域（PA）PA01—管理安全控制PA02—評(píng)估影響PA03—評(píng)估安全風(fēng)險(xiǎn)PA04—評(píng)估威脅PA05—評(píng)估脆弱性PA06—建立安全論據(jù)PA07—協(xié)調(diào)安全PA08—監(jiān)視安全態(tài)勢(shì)PA09—提供安全輸入PA10—確定安全需求PA11—驗(yàn)證與確認(rèn)安全基本實(shí)施及過(guò)程域SSE-CMM包含61個(gè)基本實(shí)施過(guò)程，其被歸62通用實(shí)施與公共特征通用實(shí)施是應(yīng)用于所有過(guò)程域中的活動(dòng)。其針對(duì)的是過(guò)程的管理、測(cè)量和制度化。通用實(shí)施被歸入12個(gè)不同的邏輯域，稱(chēng)為“公共特征”。12個(gè)公共特征被分為5個(gè)能力級(jí)別，代表了依次增長(zhǎng)的安全功能能力。通用實(shí)施與公共特征通用實(shí)施是應(yīng)用于所有過(guò)程域中的活動(dòng)。其針對(duì)63通用實(shí)施、公共特征、能力級(jí)別的關(guān)系以實(shí)施或制度化為手段來(lái)提高工程過(guò)程的實(shí)施能力通用實(shí)施的集合，每一集合中的公共特征面向的是同一類(lèi)過(guò)程的管理和制度化問(wèn)題若干個(gè)公共特征的組合，顯示了安全工程過(guò)程的實(shí)施能力級(jí)別通用實(shí)施、公共特征、能力級(jí)別的關(guān)系以實(shí)施或制度化為手段來(lái)提高64SSE-CMM五個(gè)能力級(jí)別SSE-CMM五個(gè)能力級(jí)別及其包含的公共特征SSE-CMM五個(gè)能力級(jí)別SSE-CMM五個(gè)能力級(jí)別及其包含65安全工程過(guò)程安全工程過(guò)程的三個(gè)主要部分安全工程過(guò)程安全工程過(guò)程的三個(gè)主要部分66風(fēng)險(xiǎn)過(guò)程

PA04：評(píng)估威脅

PA05：評(píng)估脆弱性

PA02：評(píng)估影響威脅信息脆弱性信息影響信息

PA03：評(píng)估安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)信息SSE-CMM中與風(fēng)險(xiǎn)相關(guān)的過(guò)程域風(fēng)險(xiǎn)過(guò)程PA04：評(píng)估威脅PA05：評(píng)估脆弱性PA0267工程過(guò)程

PA10：確定安全需求

PA01：管理安全控制

PA09：提供安全輸入風(fēng)險(xiǎn)信息要求、政策等解決方案、指導(dǎo)等

PA08：監(jiān)視安全態(tài)勢(shì)配置信息SSE-CMM中與工程相關(guān)的過(guò)程域

PA07：協(xié)調(diào)安全工程過(guò)程PA10：確定安全需求PA01：管理安全控制P68保證過(guò)程

PA11：檢驗(yàn)與確認(rèn)安全檢驗(yàn)與確認(rèn)后的證據(jù)證據(jù)

PA06：建立安全論據(jù)保證論據(jù)SSE-CMM中與保證相關(guān)的過(guò)程域

其他的PA保證過(guò)程PA11：檢驗(yàn)與確認(rèn)安全檢驗(yàn)與確認(rèn)后的證據(jù)證據(jù)P69信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ISACF）于2019年發(fā)布國(guó)際通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，為信息系統(tǒng)審計(jì)和治理提供一整套的控制目標(biāo)、管理措施、審計(jì)指南等。把IT劃分為4個(gè)域，并進(jìn)一步細(xì)分為34個(gè)流程：規(guī)劃與組織（PO）獲取與實(shí)施（AI）交付與支持（DS）監(jiān)控（M）評(píng)估風(fēng)險(xiǎn)確保持續(xù)的服務(wù)保證系統(tǒng)安全安全審計(jì)信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)70

IT治理

信息

監(jiān)控IT資源

交付與支持

獲得與實(shí)施

規(guī)劃與組織

COBIT

組織戰(zhàn)略目標(biāo)COBIT模型IT治理信息監(jiān)控IT資源交付與支持獲得與實(shí)施規(guī)71COBIT的4個(gè)域，34個(gè)IT處理流程1規(guī)劃與組織POPO1制定IT戰(zhàn)略規(guī)劃PO2確定信息體系結(jié)構(gòu)PO3確定技術(shù)方向PO4定義IT組織與關(guān)系PO5管理IT資產(chǎn)PO6溝通管理目標(biāo)與方向PO7人力資源管理PO8確保符合外部需求PO9風(fēng)險(xiǎn)評(píng)估PO10項(xiàng)目管理PO11質(zhì)量管理2獲取與實(shí)施AIAI1確定自動(dòng)化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4程序開(kāi)發(fā)與維護(hù)AI5系統(tǒng)安裝與鑒定AI6變更管理3交付與支持DSDS1定義并管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理與容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育并培訓(xùn)用戶(hù)DS8為客戶(hù)提供幫助和建議DS9配置管理DS10問(wèn)題管理和突發(fā)事件管理DS11數(shù)據(jù)管理DS12設(shè)施管理DS13操作管理4監(jiān)控MMI過(guò)程監(jiān)控M2評(píng)價(jià)內(nèi)部控制的適當(dāng)性M3確保獨(dú)立性鑒定M4提供獨(dú)立性審計(jì)COBIT的4個(gè)域，34個(gè)IT處理流程1規(guī)劃與組織72COBIT產(chǎn)品家族分類(lèi)：

執(zhí)行概要

高級(jí)控制目標(biāo)框架

實(shí)施工具集

管理指南

具體控制目標(biāo)

審計(jì)指南

關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)與關(guān)鍵績(jī)效指標(biāo)

成熟度模型COBIT產(chǎn)品家族分類(lèi)：執(zhí)行概要高級(jí)控制目標(biāo)框架實(shí)施工73信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ITIL）由英國(guó)政府的中央計(jì)算機(jī)和通信機(jī)構(gòu)（CCTA）制定，由英國(guó)商務(wù)部（OGC）負(fù)責(zé)維護(hù)，主要適用于IT服務(wù)管理（ITSM）ITIL核心內(nèi)容：服務(wù)支持和服務(wù)交付服務(wù)支持（ServiceSupport)服務(wù)支付（ServiceDelivery）服務(wù)臺(tái)事故管理問(wèn)題管理配置管理變更管理發(fā)布管理服務(wù)級(jí)別管理成本管理持續(xù)性管理可用性管理容量管理信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ITIL）由英國(guó)政府的中央計(jì)算機(jī)和通信機(jī)74ITIL整體架構(gòu)ITIL的架構(gòu)模型ITIL整體架構(gòu)ITIL的架構(gòu)模型75標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介信息安全標(biāo)準(zhǔn)化組織國(guó)外信息安全相關(guān)標(biāo)準(zhǔn)國(guó)內(nèi)信息安全相關(guān)標(biāo)準(zhǔn)本講提綱標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介本講提綱76

信息安全技術(shù)標(biāo)準(zhǔn)體系管理標(biāo)準(zhǔn)基礎(chǔ)標(biāo)準(zhǔn)安全術(shù)語(yǔ)技術(shù)與機(jī)制標(biāo)準(zhǔn)體系與模型保密技術(shù)密碼技術(shù)標(biāo)識(shí)與鑒別系統(tǒng)評(píng)估產(chǎn)品評(píng)估評(píng)估基礎(chǔ)工程與服務(wù)管理方法管理基礎(chǔ)物理安全管理技術(shù)管理要素測(cè)評(píng)標(biāo)準(zhǔn)授權(quán)與訪問(wèn)控制信息安全技術(shù)標(biāo)準(zhǔn)體系管理標(biāo)準(zhǔn)基礎(chǔ)標(biāo)準(zhǔn)安全術(shù)語(yǔ)技術(shù)與機(jī)制標(biāo)準(zhǔn)77國(guó)內(nèi)信息安全相關(guān)標(biāo)準(zhǔn)2019年發(fā)布了1項(xiàng)2019年發(fā)布了3項(xiàng)2000年發(fā)布了1項(xiàng)2019年發(fā)布了2項(xiàng)2019年發(fā)布了8項(xiàng)2019年發(fā)布了18項(xiàng)2019年發(fā)布了14項(xiàng)2019年發(fā)布了20項(xiàng)2009年發(fā)布了3項(xiàng)……國(guó)內(nèi)信息安全相關(guān)標(biāo)準(zhǔn)2019年發(fā)布了1項(xiàng)78國(guó)家信息安全標(biāo)準(zhǔn)化工作成果完成標(biāo)準(zhǔn)制定正在制定的標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)92網(wǎng)絡(luò)信任體系建設(shè)3019網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)2617信息安全管理標(biāo)準(zhǔn)104其他應(yīng)用安全標(biāo)準(zhǔn)18合計(jì)7650信息安全標(biāo)準(zhǔn)分布情況國(guó)家信息安全標(biāo)準(zhǔn)化工作成果完成標(biāo)準(zhǔn)制定正在制定的標(biāo)準(zhǔn)信息安全792019年發(fā)布的信息安全國(guó)標(biāo)BG17859-2019計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T17901.1-1999信息技術(shù)安全技術(shù)密鑰管理第1部分：框架GB/T17902.1-2019信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名第1部分：框架2019年發(fā)布的信息安全國(guó)標(biāo)GB15851-2019信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案2019年發(fā)布的信息安全國(guó)標(biāo)BG17859-2019計(jì)802000年發(fā)布的信息安全國(guó)標(biāo)GB/T18238.1-2000信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述2019年發(fā)布的信息安全國(guó)標(biāo)GB/T18238.2-2019信息技術(shù)安全技術(shù)散列函數(shù)第2部分:采用n位塊密碼的散列函數(shù)GB/T18238.3-2019信息技術(shù)安全技術(shù)散列函數(shù)第3部分:專(zhuān)用散列函數(shù)2000年發(fā)布的信息安全國(guó)標(biāo)GB/T18238.1-200812019年發(fā)布的信息安全國(guó)標(biāo)GB/T19713-2019信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議GB/T19714-2019信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議GB/Z19717-2019基于多用途互聯(lián)網(wǎng)郵件擴(kuò)展（MIME）的安全報(bào)文交換GB/T19771-2019信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范GB/T20008-2019信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20009-2019信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20190-2019信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則GB/T20191-2019信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則2019年發(fā)布的信息安全國(guó)標(biāo)GB/T19713-2019信822019年發(fā)布的信息安全國(guó)標(biāo)GB/T20269-2019信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20270-2019信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2019信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2019信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T20274.1-2019信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型2019年發(fā)布的信息安全國(guó)標(biāo)GB/T20269-2019信832019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T20275-2019信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20276-2019信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強(qiáng)級(jí)）GB/T20277-2019信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法GB/T20278-2019信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20279-2019信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T20280-2019信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法2019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T20275-20842019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T20281-2019信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20282-2019信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/Z20283-2019信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南GB/T20518-2019信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式GB/T20519-2019信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范GB/T20520-2019信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范2019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T20281-20852019年發(fā)布的信息安全國(guó)標(biāo)GB/T18018-2019信息安全技術(shù)路由器安全技術(shù)要求GB/T20945-2019信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20979-2019信息安全技術(shù)虹膜識(shí)別系統(tǒng)技術(shù)要求GB/T20983-2019信息安全技術(shù)網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則GB/T20984-2019信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/Z20985-2019信息技術(shù)安全技術(shù)信息安全事件管理指南GB/Z20986-2019信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南2019年發(fā)布的信息安全國(guó)標(biāo)GB/T18018-2019信862019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T20987-2019信息安全技術(shù)網(wǎng)上證券交易系統(tǒng)信息安全保障評(píng)估準(zhǔn)則GB/T20988-2019信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T21028-2019信息安全技術(shù)服務(wù)器安全技術(shù)要求GB/T21050-2019信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求（評(píng)估保證級(jí)3）GB/T21052-2019信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T21053-2019信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求GB/T21054-2019信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級(jí)保護(hù)評(píng)估準(zhǔn)則2019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T20987-20872019年發(fā)布的信息安全國(guó)標(biāo)GB/T17964-2019信息安全技術(shù)分組密碼算法的工作模式GB/T22080-2019信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081-2019信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則GB/T22186-2019信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求(評(píng)估保證級(jí)4增強(qiáng)級(jí))GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22240-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南2019年發(fā)布的信息安全國(guó)標(biāo)GB/T17964-2019信882019年發(fā)布的信息安全國(guó)標(biāo)（續(xù)）GB/T15843.1-2019信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分:概述GB/T15843.2-2019信息技術(shù)安全技術(shù)實(shí)體鑒別第2部分:采用對(duì)稱(chēng)加密算法的機(jī)制GB/T15843.3-2019信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分:采用數(shù)字簽名技術(shù)