安全服务项目参考标准(国际、国内).pdfVIP

项目参考标准 盖特佳公司将依据对安全风险具有良好定义的 ISO15408/BS7799/SSE_CMM 等国际标准来 XXX 单位进行安全服务。这些标准是帮助 XXX 单位计算机信息网 络系统构建信息安全管理框架的国际标准。该标准要求各组织建立并运行一套经 过验证的信息安全管理体系，用于解决如下问题：资产的保管、组织的风险管理、 管理标准和管理办法、要求达到的安全程度等。 1）国际安全标准 ISO 15408 ISO 国际标准化组织于 1999 年正式发布了 ISO/IEC 15408。ISO/IEC JTC 1 和 Common Criteria Project Organisations 共同制订了此标准，此标准等同于 Common Criteria V2.1。 ISO/IEC 15408 有一个通用的标题——信息技术—安全技术—IT 安全评估准 则。此标准包含三个部分： 第一部分 介绍和一般模型 第二部分 安全功能需求 第三部分 安全认证需求 ISO/IEC 15408 第二部分简介 ISO/IEC15408 第二部分 安全功能需求，主要归结信息安全的功能需求： 1 ． 审计——安全审计自动响应、安全审计数据产生、安全审计分析、安全 审计评估、安全审计事件选择、安全审计事件存储 2 ． 通信——源不可否认、接受不可否认 3 ． 密码支持——密码密钥管理、密码操作 4 ． 用户数据保护——访问控制策略、访问控制功能、数据鉴别、出口控制、 信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信 息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部 用户数据完整传输保护 5 ． 鉴别和认证——认证失败安全、用户属性定义、安全说明、用户认证、 用户鉴别、用户主体装订 6 ． 安全管理——安全功能的管理、安全属性管理、安全功能数据管理、撤 回、安全属性终止、安全管理角色 7 ． 隐私—— 匿名、使用假名、可解脱性、可随意性 8 ． 安全功能保护——底层抽象及其测试、失败安全、输出数据的可用性、 输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、 可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、 内部数据的一致性、内部数据复制的一致性、安全自检。 9 ． 资源利用——容错、服务优先权、资源分配 10 ． 访问——可选属性范围限制、多并发限制、锁、访问标志、访问历史、 session 建立 11 ． 可信通道/信道—— 内部可信通道、可信通道 ISO/IEC 15408 第三部分简介 ISO/IEC15408 第三部分 安全认证需求，主要归结信息安全的认证需求： 1. 配置管理 2. 分发和操作 3. 开发 4. 指导文档 5. 生命周期支持 6. 测试 7. 漏洞评估 2）国际安全标准 BS7799 BS 7799—— 信 息 安 全 标 准 是 英 国 的 工 业 、 政 府 和 商 业 共 同 需 求 而 发 展 的 一 个 标 准 ，它 确 保 公 司 发 展 ，实 施 和 估 量 有 效 的 安 全 管 理 时 间 并 为 公 司 贸 易 内 部 提 供 信 心 。目 前 此 标 准 是 领 导 英 国 和 国 际 商 业 最 好 的 信 息 安 全 惯 例 并 受 到 国 际 一 致 好 评 。因 为 标 准 适 用 于 各 种 类 型 的 组 织 ，公 共 的 或 私 人 的 部 门 和 任 何 商 业 环 境 ，它 的 第 一 部 分 包 含 最 好 的 信 息 安 全 管 理 应 用 并 且 是 国 际 适 用 的 。关 于 BS7799 成 为 国 际（ ISO） 标 准 的 评 审 正 在 进 行 。 BS7799 的 最 原 始 的 版 本 是 1995 年 出 版 ： 为 了 确 保 它 的 不 过 时 ， 所 有 的 标 准 需 要 定 期 地 评 定 。 BS 7799 ： 1999 是 1995 版 本 的 一 个 修 订 版 本 和 扩 展 版 本：它 包 含 了 所 有 的 原 始 的 控 制 和 一 套 在 原 有 的