7信息安全标准与标准化组织.ppt

信息安全法律法规 第1讲 信息安全标准与标准化组织 第1讲 信息安全标准与标准化组织 第1讲 信息安全标准与标准化组织 第1讲 信息安全标准与标准化组织 第1讲 信息安全标准与标准化组织 第1讲 信息安全标准与标准化组织 问题：近来看一些产品制造标准，以前接触到的都是GB标准，我的理解是GB国家标准，现在突然又遇到了GA标准（好像是公共安全行业标准）。请问高手：1、这两个标准有什么相同点，命名的原则是什么？2、这两个标准有什么不同的适用面，哪些是强制的？3、按照我个人的理解，GB比GA的级别更高一些，对吗？两者是怎样互补的。 答案：GB是国家标准，GA是公安行业标准。两者的关系是：在有GB、无GA时，要执行GB；在没有GB、有GA时，要执行GA；在GB、GA同时有时，GA一定高于（严于）GB。你知道了两者的关系后，你所问的问题知道怎么处理了。 小结与习题_1 欢迎提问？ 谢谢！ 信息安全法律法规 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 第2讲 信息安全管理标准体系 小结与习题_2 欢迎提问？ 谢谢！ 信息安全法律法规 第3讲 信息安全测评认证工作体系 第3讲 信息安全测评认证工作体系 “注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)。根据实际岗位工作需要，CISP分为三类，分别是“注册信息安全工程师”，英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。 CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。 这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。 小结与习题_3 欢迎提问？ 谢谢！ * * 重庆电子工程职业学院- 李贺华 信息安全标准与标准化组织_1 1 一、 信息安全标准 信息安全标准在信息安全保障体系建设中发挥着基础胜、规范性作用，是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中，保证其一致性、可靠性、可控性的技术规范、技术依据。 没有信息安全标准，信息化建设的安全可靠就无法保证。信息安全标准化是支撑国家信息安全保障体系建设，关系国家信息安全的大事，也可以说是网络时代保证网络安全的交通规则。 信息安全标准体系主要由基础标准、技术标准和管理标准等体系组成。基础标准体系由安全技术术语、体系结构、模型和框架等方面标准组成；技术标准体系由密码技术、安全协议、标识与鉴别、访问控制、电子签名、完整吐保护、抗抵赖、审计与监控、公钥基础设施、物理安全技术以及其他安全技术等标准组成；管理标准体系由系统安全管理、等级保护、工程、评估和运行等方面组成。 二、 信息安全标准化国际组织 目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的国际组织主要有以下4个： 1、ISO（国际标准组织） 2、IEC（国际电工委员会） 3、ITU（国际电信联盟） 4、IETF（Internet工程任务组） 三、 信息安全标准化国内组织 1、公安部和公安部信息安全产品检测中心 我国从20世纪90年代中期开始制定信息安全1998产品的标准，并与1998年成立“公安部信息安全产品检测中心”，承担国内计算机信息系统安全产品和同类进口产品的质量监督检验工作。目前，由公安部和公安部信息安全产品检测中心制定和发布实施的信息安全产品评估标准共有50多项，基本覆盖了信息安全产品的主要项目。 三、 信息安全标准化国内组织 2、信息安全标准化技术委员会（TC260） 2002年4月,我国成立了“全国信息安全标准化技术委员会，（简称“信息安全标委会”，TC260 ，其英文名称是“China Inf