信息安全管理第7章信息安全标准.pptVIP

第7章信息安全标准 7.1 概述 7.2 计算机安全等级保护条例 7.3 信息技术安全评估通用准则CC 7.4 ISO/IEC 27000系列标准介绍 7.1概述 标准基础知识简介 1. 标准的定义 国际标准化组织于1983年7月发布的ISO第二号指南（第四版）对标准的定义为：由有关各方根据科学技术成就与先进经验，共同合作起草，一致或基本上同意的技术规范或其他公开文件，其目的在于促进最佳的公共利益，并由标准化团体批准。 我国国家标准《标准化基本术语》（GB 3935.1-83）中对标准的定义为：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协调一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。 举例：标准化工作指南 标准化工作指南 第1部分:标准化和相关活动的通用术语 GB/T 20000.1-2014 标准化工作指南 第2部分:采用国际标准 GB/T 20000.2-2009 标准化工作指南 第3部分：引用文件 GB/T 20000.3-2014 标准化工作指南 第4部分:标准中涉及安全的内容 GB/T 20000.4-2003 标准化工作指南 第5部分:产品标准中涉及环境的内容 GB/T 20000.5-2004 标准化工作指南 第6部分:标准化良好行为规范 GB/T 20000.6-2006 …… 标准基础知识简介 2. 标准的分类 关于标准的分类，目前我国比较通用的分类方法有五种。 (1) 按标准发生作用的范围和审批标准级别来分，可分为国际标准、区域标准、国家标准、行业标准、企业标准。 (2) 按标准的约束性来分，分为强制性标准和推荐性标准两类。 (3) 按标准在标准系统中的地位和作用来分，分为基础标准和一般标准两类。 SAC 标准基础知识简介 (4) 按标准化对象在生产过程中的作用来分，则分为产品标准，原材料标准，零部件标准，工艺和工艺装备标准，设备维修标准，检验和试验方法标准，检验、测量和试验设备标准，搬运、贮存、包装、标识标准等。 (5) 按标准的性质来分，则分为技术标准、管理标准和工作标准。 信息安全标准化组织 国际信息安全标准化组织 外国信息安全标准化组织 我国信息安全标准化组织 国际信息安全标准化组织 1.ISO 2.IEC 3.ITU 4.IETF 5.ECMA 国际信息安全标准化组织 1. ISO 国际标准化组织(International Organization for Standardization)简称ISO，是一个全球化的非政府组织，是国际标准化领域中一个十分重要的组织。ISO是由国家标准化机构组成的世界范围的联合会，于1947年开始正式运行，现有140个成员国。中国既是发起国又是首批成员国。ISO 的技术活动是制定并出版国际标准（International Standards）。ISO的工作涉及包括电工标准在内的各个技术领域的标准化活动。ISO现包括190个技术委员会（TCs）、544个子委员会（SCs）、2188个工作组（WGs）。 国际信息安全标准化组织 2. IEC 国际电工委员会（International Electrotechnical Commission）于1906年成立，它是世界上成立最早的一个标准化国际机构。根据IEC的章程，IEC的任务覆盖了包括电子、电磁、电工、电气、电信、能源生产和分配等所有电工技术的标准化。此外在上述领域中的一些通用基础工作方面，IEC也制定相应的国际标准，如术语和图形符号、测量和性能、可靠性、设计开发、安全和环境等。 国际信息安全标准化组织 3. ITU 国际电信联盟（International Telecommunication Union）是联合国的一个专门机构，也是联合国机构中历史最长的一个国际组织，简称“国际电联”、“电联”或“ITU”，总部设在日内瓦。国际电信联盟的实质性工作由三大部门承担，它们是：国际电信联盟标准化部门（ITU-T）、国际电信联盟无线电通信部门和国际电信联盟电信发展部门。ITU制定的典型标准如：消息处理系统（MHS）、目录系统、X.400系列、X.500系列、安全框架、安全模型、X.509标准。 国际信息安全标准化组织 4. IETF IETF是Internet工程任务组（Internet Engineering Task Force）的简写。IETF又叫互联网工程任务组，成立于1985年底，是全球互联网最具权威的技术标准化组织，主要任务是负责互联网相关技术规范的研发和制定，当前绝大多数国际互联网技术标准出自IETF。目前IETF已制定170多个RFC（Request For Comments，是一系列以编号排定的文