CISP-22-信息安全标准0329.pptVIP

信息安全标准 中国信息安全测评中心 要 点 一、信息安全及标准化介绍 二、基础标准 三、环境与平台安全标准 四、安全管理标准 五、测评认证标准 六、实用产品标准 标准化基础 标准：为在一定的范围内获得最佳秩序，对活动或其结果规定共同的和重复使用的规则、导则或特性的文件。 强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。 我国标准分四级：国家标准、行业标准、地方标准、企业标准。 标准化基础 国家标准：对需要在全国范围内统一的技术要求(含标准样品的制作）。 行业标准：没有国家标准，需要在全国某个行业范围内统一的技术要求。 地方标准：没有国家标准 、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 企业标准：对企业范围内需要统一的技术要求、管理要求和工作要求。 标准化基础 标准化：为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。 实质：通过制定、发布和实施标准，达到统一。 目的：获得最佳秩序和社会效益。 标准化基础 标准化的基本特性： ① 抽象性 ② 技术性 ③ 经济性 ④ 连续性，亦称继承性 ⑤ 约束性 ⑥ 政策性 标准化基础 标准化的地位和作用 标准化为科学管理奠定了基础； 促进经济全面发展，提高经济效益； 标准化是科研、生产、使用三者之间的桥梁； 标准化为组织现代化生产创造了前提条件； 促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益； 合理发展产品品种，提高企业应变能力，以更好地满足社会需求； 保证产品质量，维护消费者利益； 在社会生产组成部分之间进行协调，确立共同遵循的准则，建立稳定的秩序； 在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力方面具有重大作用； 保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。 标准化基础 标准化对象 标准化研究对象 标准化学的基本概念 支撑标准化学的理论基础 标准化原理的研究 标准化形式的研究 标准化系统的研究 标准体系的研究 标准化科学管理的研究 标准化工作对象 制定和实施标准：技术基础、产品标准、过程、服务 标准的实施监督 标准化基础 国际通行“标准化七原理”： 原理1---简化 原理2---协商一致 原理3---实践、运用 原理4---选择、固定 原理5---修订 原理6---技术要求+试验方法+抽样 原理7---强制性适应于：安全、健康、环保等 标准化基础 我国通行“标准化八字原理”： “统一”原理 “简化”原理 “协调”原理 “最优”化原理 我国标准工作归口单位 2001年10月11日成立国家标准化委员会 信息技术委员会 2002年成立信息安全技术委员会 全国信息安全标准化技术委员会（简称信息安全标委会，TC2 60) 信息安全标准体系与协调工作组(WG1) 内容安全分级及标识工作组（WG2） 密码算法与密码模块/KMI/VPN工作组（WG3） PKI/PMI工作组（WG4） 信息安全评估工作组（WG5） 应急处理工作组（WG6 信息安全管理工作组（WG7） 电子证据及处理工作组（WG8） 身份标识与鉴别协议工作组（WG9） 操作系统与数据库安全工作组（WG10） 标准化基础 采标： 等同采用：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应； 等效采用：指主要技术内容相同，技术上只有很小差异，编写方法完全相对应； 非等效采用：指技术内容有重大差异。 标准化基础 标准体系：一定范围内标准按其内在联系形成的科学的有机整体 标准体系是具有层次的，我国全国标准体系表可分成五个层次。 IT标准化 IT标准发展趋势 (1)标准逐步从技术驱动向市场驱动方向发展。 (2)信息技术标准化机构由分散走向联合。 (3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。 (4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。 我国信息安全标准体系 基础标准 环境与平台安全标准 安全管理标准 测评认证标准 实用产品标准 标准化工作 标准研究与开发 标准研究 标准开发 标准确认 认证受理阶段 证书制作阶段 管委会确认 指导测评工作 标准研究 研究标准化原理和标准文本，形成标准体系： （1）跟踪国际先进标准； （2）对现有信息安全技术标准以及信息安全技术发展趋势的研究； （3）依据国际标准化组织所颁布的或将要颁布的信息安全标准，参照美国、英