美国信息安全标准化建设问题研究资料.doc

密级： 页数：14信息工程大学毕业设计（论文）题目：国外信息安全标准建设情况及对我们的启示 学员姓名学号所在单位 指导教师 技术职务 完成日期 摘 要本文首先对标准的概念、分类以及信息安全标准的定义、分类做了描述，然后介绍了国际信息安全标准组织的建设情况和美国信息安全标准建设情况及其特点，最后阐述了我国的信息安全标准组织、国外信息安全标准建设对我国的启示及发展趋势。关键字：美国 信息安全 信息安全标准 信息安全建设目 录第一章 信息安全标准的概念(1) 1.1 标准的概念(1) 1.1.1 标准的定义(1) 1.1.2 标准的分类(1) 1.2 信息安全标准的概念(1) 1.2.1 信息安全标准的定义(2) 1.2.2 信息安全标准的分类(2)第二章 国际信息安全标准建设情况(3)2.1 国际信息安全标准组织(3)2.2 ISO和IEC(4)第三章 美国信息安全标准建设情况(5)3.1 美国信息安全标准化组织 (5)3.1.1 美国信息安全标准化组织体制总体的构成 (5)3.1.2 美国国家标准学会（ANSI） (5) 3.1.3 美国国家标准技术研究院（NIST）(7)3.1.4 美国军方信息安全标准化组织(7)3.1.5 其他信息安全标准化组织 (8)3.2 美国信息安全标准化组织体制的特点(8)第四章 国外信息安全标准建设对我国的启示(10)4.1 我国信息安全的标准组织(10)4.2 国外信息安全标准建设对我国的启示(11)4.3 信息安全标准的发展趋势(12)参考文献(14)I第1章 信息安全标准的概念信息安全标准对于信息安全工作的开展、信息安全策略的实施、信息安全产品的研究都具有指导作用。作为具有特殊性要求的信息安全产业，标准问题具有自身的特殊之处。除了对信息安全产品操作性的需求、安全等级认证的需求和对服务商能力进行衡量的需求外，信息安全的标准问题还涉及一个国家的信息主权的有效控制问题。1.1 标准的概念1.1.1 标准的定义 标准是为在一定的范围内获得最佳的秩序，对活动或其结果规定的共同的和重复使用的规则、指导原则或特殊文件。该文件经协商一致制定并经一个公认机构的批准。标准应以科学、技术和经验的综合成果为基础，以促进最大的社会效益为目的。就“标准”的定义而言，它包括了三个方面的内容：1.标准是对某一对象进行统一化描述的一种特殊文件。标准化的对象是系统和元素及其状态、运动过程或结果，因此标准的统一化具有空间有效性和时间有效性。2.制定标准的目的是为了满足人类社会的某种需求，取得最佳经济效益和社会效益。3.标准的制定应当根据需要确定标准化对象，以科学、技术和经验的综合成果为基础。与标准的统一化有关系的各个方面要协商一致，标准需要经过一个公认的(权威）机构或授权机构的批准，并以特定形式发布。1.1.2 标准的分类标准的种类有很多，可以根据不同的目的，从不同的角度对标准进行分类。按标准的层次：从世界范围来看，可以分为国际标准、区域标准、国家标准、行业标准、企业标准。从标准发生作用的范围或标准审批机构来说，可分为国家标准、行业标准、地方标准、企业标准。按标准的约束性:可分为强制性标准和推荐性标准。按标准的性质:分为技术标准、管理标准、工作标准。1.2 信息安全标准的概念信息安全标准化工作对于解决信息安全问题具有重要的技术支撑作用。信息安全标准化不仅关系到国家的安全，而且也是保护国家利益、促进产业发展的一种重要手段。在互联网飞速发展的今天，网络和信息安全问题是不容忽视的，积极推动信息安全标准化，掌握在信息时代全球化竞争中的主动权是非常重要的。所以说，信息安全标准化工作室一项艰巨、长期的基础性工作。 1.2.1 信息安全标准的定义1信息安全标准是关于信息安全的一系列规则和规范。信息安全标准化是确保信息安全系统以及信息安全产品在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段。信息安全保障体系的建设、应用，是一个极其庞大的复杂系统，没有配套的安全标准，就不能构造出一个可用的信息安全保障体系。信息安全标准不仅仅是一个标准，它与政府、企事业单位和广大用户都有着密切的关系。在20世纪80年初，我开展和制定了一些国家标准，但是随着信息化的进一步发展，还有许多技术安全标准需要及时制定、颁布和贯彻执行。而目前最主要的工作就是应该国际组织和其他发达国家的做法，尽快研究、确定我国信息技术安全标准体系的结构。1.2.2 信息安全标准的分类标准化工作的时间告诉我们，信息技术安全标准的制定和推广应用，对加快信息网络的建设有着十分重要的作用，而做好标准化工作的一项重要的基础工作，就是确定信息技术安全标准体系表。它主要有三个方面的信息安全标准。(1)基础类的标准 基础类标准是信息技术安全标准体系表开发过程中所需要用到的最基本的标准及技术规范。有信息技术安全术语标准、信息安全技术体系结构标准、信息技术安全框架标准、信息技术安全管理基础标准、信息技术安全测评基础标准。(2)安全机制类标准安全机制类标准是信息技术安全标准提休息中最核心、最关键的技术标准，有信息技术安全模型和安全服务标准、信息技术安全机制标准。(3)应用类标准应用类标准主要是指信息技术各个应用领域中的具体安全标准，在整个信息技术安全标准体系中有着非常重要的地位。包括四个方面的内容，有应用基础安全标准、应用产品安全标准、应用系统安全标准、安全评估类标准。 2第2章 国际信息安全标准建设情况2.1 国际信息安全标准组织国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前，世界上有很多个国际和区域性组织制定标准或技术规则。与信息安全标准化有关的主要组织有：国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）、Internet工程任务组（IETF）等。1.国际标准化组织（ISO）ISO是目前世界上最大的、最具权威性的国际标准化专门机构，是一个非政府性国际机构，是联合国经社理事会甲级咨询组织及贸发理事会综合级(最高级)咨询机构，其工作范围是促进各成员国国家标准的协调，制定国际标准，安排有关成员团体和其技术委员会进行情报交流，以及与其他国际组织协作，特别是应这些组织要求共同研究标准化问题。国际标准化组织主要从事信息技术安全的一般方法和技术的标准化工作。主要职责是制定国际标准，协调世界范围的标准化工作。负责制定的标准主要是放开系统互联、密钥管理、数字签名、安全评估等方面的内容。国际上ISO的信息技术安全标准，包括已正式发布、正在制定的标准项目已有近70项，国际互联网的RFC文中有100多项涉及信息安全，都是比较实用的。在此基础上，建立标准体系，根据轻重缓急，有计划有步骤地安排标准制定项目，合理地组织各方面的力量，开展标准制定工作。2.国际电工委员会（IEC）国际电工委员会是世界上成立最早的专门国际标准化机构，负责有关电工、电子领域的国际标准化工作。在信息安全标准化方面，它与ISO联合成立了JTC1下分委员会外，还在电信、电子系统、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通讯技术电子设备的安全等，并为信息技术设备安全(IEC 60950)等制定相关国际标准。 3.国际电信联盟（ITU）3ITU是世界各国政府的电信主管部门之间协调电信事务方面的一个国际组织，即“国际电信联盟”。 国际电信联盟主要负责研究通信系统安全标准。国际电信联盟的实质性工作分为三个部门：国际电信联盟标准化部门（ITU-T）、国际电信联盟无线电通信部门（ITU-R）和国际电信联盟电信发展部门（ITU-D）。所属的SG17组主要负责研究通信系统安全标准。SG17组主要研究的内容包括：通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H323网络安全、下一代网络安全等标准方面进行了研究。目前大约有40多个ITU-T建议书都是与通信安全有关的标准。ITU-T正式发布的信息安全标准有近100个。ITU-T颁布的比较有影响力的安全标准主要有：消息处理系统（MHS，X.400系列）、目录系统（X.500系列）、安全框架和模型（X.800系列）等，其中的X.509标准是PKI的重要基础标准，X.805是端到端通信安全的重要标准。目前，ITU在安全标准化方面主要关注NGN（下一代网络）安全、IPTV安全、身份管理（IDM）、数字版权管理（DRM）、生物认证、反垃圾信息等热点问题。4.Internet工程任务组（IETF）Internet工程任务组的主要任务是负责互联网相关技术规范的研发和制定。在目前，IETF已经成为了全球互联网最具权威的大型技术研究组织。IETF标准制定的具体工作由各个工作组承担，工作组分成八个领域，分别是Internet路由、传输、应用领域等等，著名的IKE和IPsec都在RFC系列之中，还有电子邮件，网络认证和密码标准，也包括了TLS标准和其它的安全协议标准。有关安全方面的RFC有近300个。这些工业标准对提高和改善互联网的安全性起到了至关重要的作用，如PKI、IPSec、TLS、PGP等方面的RFC成为了指导互联网安全的重要文件。5.欧洲计算机厂商协会（ECMA）欧洲计算机厂商协会成立于1961年，除吸收欧洲计算机厂商，还吸收全球其他的各大计算机公司、厂商成为其会员，主要制定计算机及其相关应用的标准和技术报告，向国际标准化组织提交标准提案。对于信息技术标准，国际标准通常是指ISO和IEC 以及ISO和IEC的一个联合文员会（JTC）信息技术标准化技术委员会负责制定的标准。ITU也有与JTC1联合制定的信息技术方面的标准。2.2 ISO和IEC在国际信息安全标准组织中，ISO和IEC是当今世界信息安全领域最大最具权威的国际标准化机构，专门从事国际标准的制定，由于制定的国际标准经过各级技术委员会和分技术委员会的充分讨论和多次修改。所以，制定出的标准能够代表当时科技发展水平。通过广泛征求各方面的意见，使得标准能够满足各方面的需要，易为各方所接受，也使得他们的标准理所当然的在国际上得到公认。 4ISO/IEC的第一联合技术委员会ISO/IEC JTC1专门关注技术领域。ISO/IEC JTC1“数字内容管理与保护”研究组是国际上首次成立专门研究数字内容管理与保护的官方标准化组织。ISO/IEC JTC1中负责制定国际标准信息安全标准的技术组织是ISO/IEC JTC1 SC27IT Secueity techniques分委员会，有以下5个工作组。WG1：要求、安全服务和指南；WG2：安全技术和机制；WG3：安全评估准则；WG4：安全控制和服务；WG5：身份管理和隐私技术。主要负责研究和制定个信息安全管理体系、密码学与安全控制、信息安全评估、安全控制与服务以及身份管理与隐私保护等领域的信息安全国际标准。与IEC联合成立的JTC1/SC27专门负责安全技术标准的制定、审核，已经发布的部分标准有：ISO/IEC 18033加密机制ISO/IEC 9796,14888.15965 数字签名ISO/IEC TR 13335 GMITSISO/IEC 15408 Evaluation criteria for IT SecurityISO/IEC 17799 Code of Practice for Information Security ManagementISO/IEC 21287 SSE-CMMISO/TC68负责银行和金融服务业务应用范围内信息安全标准的制定，已经发布的其他行业的重要标准有ISO9001，ISO14001。目前，该分技术委员会已制定和正在研制的国际标准有120项，这些标准主要涉及密码算法、散列函数、数字签名、实体鉴别、安全评估、安全管理等领域，近几年颁布的比较有影响力的标准有：ISO/IEC 15408（IT安全性评估准则，包含3个部分）、ISO/IEC 15443（IT安全保障框架，包含3个部分）、ISO/IEC 218279（系统安全工程能力成熟模型）和ISO/IEC 27000系列（信息安全管理系统，已完成7个部分，计划包含20多个子标准）。IEC除与ISO联合成立了JTC1外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会负责安全标准研制，如TC56（可靠性）、TC74（IT设备安全和功效）、TC77（电磁兼容）、TC108（音频/视频）、信息技术和通信技术电子设备的安全等，并制定相关国际标准，如信息技术设备安全（IEC 60950）等。5 第三章 美国信息安全标准建设情况 信息安全标准是信息安全保障建设的基础，信息安全标准化组织是信息安全标准建设的重要力量。在国际上，美国最早关注信息安全和信息安全标准建设，相继制定发布了大量的信息安全标准，形成了保护美国信息安全的标准体系，并在信息安全标准建设的实践中，逐步完善了信息安全标准化组织体制。3.1 美国信息安全标准化组织3.1.1 美国信息安全标准化组织体制总体的构成 美国政府通过积极有效的参与和引导，以及政府与人民之间多年来形成的合作关系和高效运行机制，使之成为世界上拥有完备信息安全标准化组织体制国家之一。在全球的信息安全标准化建设中发挥这重要的作用。美国信息安全标准的研究、制定和颁布主要涉及的组织有：以国家标准学会（ANSI）为代表的全国自愿性标准体系管理和协调机构以国家标准技术研究院（NIST）为代表的美国政府标准和技术研究机构以美国国家安全局（NSA）为代表的美国军方标准化组织另外，还涉及美国电气电子工程师学会（IEEE）、通信工业协会（TIA）、保险商实验室（UI）等各个机构和部门，同样也是信息安全标准建设的重要力量。美国信息安全标准化组织体制是一个成熟的体系，政府机构是信息安全标准建设的指导者，军方是信息安全标准建设的直接参与者和研究者，自愿性标准组织是信息安全标准的管理者、评定者和服务者，承担标准制定的机构即使信息安全标准的制定者，也是标准的实施者。也就是说，政府机构扶着相关管理法规的制定和标准化研究，国家标准的制定是在有关管理部门的协调下，有分散的数百个标准制定组织或承担的。3.1.2 美国国家标准学会（ANSI）美国国家标准学会是美国自愿性标准组织的管理和协调机构，该学会是一个非政府、非盈利的机构，其经费来源于会费和标准资料销售收入，不接受政府的资助。美国国家标准学会作为标准制定的认可机构，其主要职能是对标准制定者、技术顾问组急合格评定体系资格进行认可；批准和撤销美国国家标准；保障国民和企业参与国际或国内的标准化活动；保障美国资源协同标准体系的完整性；代表美国组织协调参与国际标准化活动。美国标准学会标准的编制按照自愿性、公开性、透明性、协商一致的原则。6美国国家标准学会是美国标准化工作的中心，是联邦政府与明见标准化沟通的平台。该学会的标准绝大多数来自各专业标准，作为美国政府授权的国家标准化管理机构，行使政府职能，通过协调各方利益，给标准制定机构提供各种帮助，并经过严格的审批程序，制定出高质量的标准。同时，学会还代表美国政府参与国际标准化活动，是该学会的标准在国际标准化体系中占有一席之地，许多国家和企业借鉴和采用，在全国范围内享有极高的权威性和知名度。 美国国家标准学会研究、评定、批准和发布了大量由标准制定组织制定的信息安全标准，包括信息安全管理指南、信息技术设备与安全、信息交换和国家应急准备、医疗保健信息安全框架指南等基础类和应用于各行业信息安全标准，即ANSI 信息交换中远程通信有限服务 国家安全应急准备的表示方法，ANSI/IEEE软件安全方案标准，ANSI/IEEE互通LAN安全标准，ANSI/NFPA 公共安全电信设备人员资格认证标准等等。研究采纳大量国际标准化组织的信息安全标准，并发布为美国标准。例如：ANSI/INCITS/ISO/IEC 信息技术-安全技术-信息安全管理实施规范，ANSI/INCITS/ISO/IEC 信息技术-安全技术-信息和通信技术安全管理等。 3.1.3 美国国家标准技术研究院（NIST）国家标准技术研究院隶属于美国商务部，是政府标准化工作的主管部门。根据过会授权，制定事关国家重大利益的标准，协调联邦机构标准和私有部门标准的合格评定程序，推动美国标准化战略的实施，提升美国国家的竞争实力。国家标准技术研究院是一个一研究为重点的组织，在美国科技界占有重要的地位。代表政府参与标准化活动，从战略上对美国自愿性标准化活动实施科学有效的管理，并自爱美国政府和民间标准化机构之间架起沟通的桥梁，发挥纽带和协调作用，兼有“标准制定者”和“标准化活动管理者”的双重身份。国家标准技术研究院是美国信息安全技术标准领域最具影响的标准化机构，在美国信息安全管理工作中有着重要作用，制定的信息安全规范和标准很多，主要涉及访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电讯、联邦信息处理等方面。3.1.4 美国军方信息安全标准化组织在美国政府的标准体系中，军用标准占据着重要地位。这些标准内容丰富，技术先进，很多已经成为美国国家标准，并被许多国家所采用，是世界先进军用标准的代表。美国军用标准的体制与标准化建设经历逐步完善的过程在进行全面彻底的改革后，国防部使用的标准化文件在构成上趋于合理，进一步完善了军用标准化体系。继而在这次改革以后，美国国防部标准化文件以国防部标准化文件、国防部规范、国防部标准、国防部手册等替代了原有的表述。7美国国防部标准化组织实行三级管理体制。进行方针政策制定、任务分工、计划编制和执行程序等方面的的标准化管理。制定了一系列的计算机安全标准和法规，提出了信息安全保障的概念，发布了信息保障和信息保障实现等信息保障指令，开发了信息安全工程能力成熟模型，并使其成为最重要的安全评估国际标准。信息安全标准化的主要内容有：信息安全等级标准化-针对不同的信息安全状态，针对性的设计等计划的安全保障措施，通过把不同等级的保护对象与保护措施一一对应，构架信息安全保障体系。信息安全评价标准化-美国国防部国家计算机安全中心颁布可信计算机安全评价标准(TCSEC)，急著名的“桔皮书”，为计算机信息系统的安全定义了安全级别。为了根据具体情况应用“桔皮书”标准，国防部国家计算机安全中心制定了可信网络解释、计算机安全系统解释和可信数据库解释，由此形成了计算机系统安全评价标准系列-彩虹系列。信息安全技术标准化-美国防部部门标准规范系列有三大类别：联邦规范和标准、国防部军用规范和标准以及非政府规范和标准。还参照合格产品目录、手册和国际标准，较有代表性的有：国防部标准化工作的政策和程序、国际军事合理化、标准化和互用性、国防标准化计划、国防部惯例标准、国防部规范编写规定、数据标准化程序等。3.1.5 其他信息安全标准化组织根据初步统计，目前美国参与各种标准制定的机构中，经过美国国家标准学会认可的机构只占据一小部分，在这些机构中有政府部门，也有各种专业协会、行业协会、工贸协会及其他的社团组织，他们在信息安全标准研究和制定中发挥着重要的作用。在这些机构中，相对重要的有：美国电气电子工程师学会（IEEE）、美国通信工业协会（TIA）、美国安全检测实验室公司（UL）、美国电信产业解决方案联盟（ATIS）。除去上述机构外，美国能源管制委员会、电缆电信工程师协会、材料实验协会等、也是研究制定信息安全方面国家标准或行业标准的重要机构。3.2 美国信息安全标准化组织体制的特点 由美国信息安全标准化组织在信息安全标准研究、制定和发布过程的作用可以看出：1.政府机构发挥着主导作用美国的请执行标准都由政府部门和机构制定和管理。重要信息安全标准的研究与制定，政府部门发挥这重要作用。2.自愿性标准组织担负组织与管理职能美国标准体系建设的基本特点是市场主导，协会引导，政府参与，自愿性参与制定，自愿性采用，在信息安全领域，更多的体现为政府引导，协会运作，市场参与。其中以自愿性标准组织所起的作用十分重要。3.行业标准机构参与标准制定与实施工作8美国标准化工作的一个重要特征就是高度开放，自愿参加，以企业为主题，以协会为核心，以技术委员会为具体组织形式。ANSI认可的标准制定组织和其他协会机构，各自组件制定标准的技术委员会，形成各自的标准制定体系，承担ANSI委托的国家标准和各协会标准的制定。国家标准由ANSI批准颁布，协会标准由各自的协会管理，不受ANSI领导。在信息安全方面，ANSI除了直接采用美国各专业协会的标准。与信息安全相关的政府机构和专业技术委员会也制定了大量标准与规范，全面保护美国政府与基础设施的信息安全。4.成熟的国家标准体系由于政府和民间标准化组织的共同努力，使美国的标准化体系日趋成熟。主要表现在自愿性标准与政府技术法规标准相辅相成的安全标准体系、政府支持民间的标准化组织体系、分工明确的政府机构安全标准化职能体系。9第四章 国外信息安全标准建设对我国的启示4.1 我国信息安全的标准组织信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。虽然国际上有很多标准化组织在信息安全方面制定了许多的而标准，但是信息安全标准事关国家安全利益，任何国家都不会轻易相信和过分依赖别人，总要通过自己国家的组织和专家制定出自己可以信任的标准来保护民族的利益。目前，我国按照国务院授权，在国家质量监督捡验捡疫总局管理下，由国家标准化管理委员会统一管理全国标准化工作，下设有255个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制，有88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作，有31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。成立于1984年的全国信息技术安全标准化技术委员会（CITS）,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IECJTC1相对应的标准化工作，目前下设24个分技术委员会和特别工作组,是目前国内最大的标准化技术委员会。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。全国信息技术安全标准化技术委员会的工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化，归纳国内外对应的标准化工作。其技术安全包括：开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。在全国信息安全标准化技术委员会挂牌成立后，面对急剧发展的信息安全产业，经国家标准化管理委员会批准新组建了全国信息安全标准化工作顶层组织。信息安全标委会是在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织。它的工作任务就是向国家标准化管理委员会提出该专业标准化工作的方针、政策和技术措施的建议。与国外相比，我国的信息安全领域的标准制定工作起步较晚，但随着全国信息安全标准化技术委员会的成立，信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。在全国信息安全标准化技术委员会中，成立了信息安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组，它们在对我国信息安全保障体系建设和信息安全产业的发展方面，起到了积极作用。在我国，另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会，下设四个工作组，即有线网络安全工作组（WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）、安全基础设施工作组（WG4）。10近年来，我国对信息安全标准的制定与实施工作非常重视，不仅引进了国际上著名的ISO/IEC 27001:信息安全管理体系要求和ISO/IEC 17799:信息安全管理实用规则、ISO/IEC 15408:IT安全评估准则、SSE-CMM系统安全工程能力成熟度模型等信息安全管理标准。而且，为了更好地推进我国信息安全管理工作，相关部门还制定了中华人民共和国国家标准GB17895：计算机信息系统安全保护等级划分准则、GB/T 18336:信息技术安全性评估准则和GB/T 20269：信息安全技术信息系统安全管理要求等一批重要的信息安全管理方面的标准。 信息安全管理标准化工作中主要的研究热点包括：信息安全国际标准的转化(主要是国际ISO/IEC 17799和ISO/IEC 13335的采标工作)，风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作)，以及信息系统评估的标准制定工作(主要是信息系统安全保障评估框架标准的编制工作等)，对促进信息安全管理工作起到了良好的推进作用。4.2 国外信息安全标准建设对我国的启示 我国信息安全标准化工作虽然去得了较大的发展，但与发达国家、特别是与美国信息安全标准化工作相比较还有很大的差距。所以，借鉴各发达国家标准化建设的管理经验，有效发挥政府主管机构的作用，协调政府各部门的关系，调动科研机构和相关企业在标准制定创新工作的积极性，保证信息安全标准化组织体系更加科学、合理、高效的运行，是我国信息安全标准化领域面临的重要课题：1.建设公开有序的标准制定与运行机制我国的标准化工作是政府相关部门指导下进行的。热别是安标委成立以来，我国信息安全标准化工作取得了较大的进步，形成了良好的工作机制，初步缓解了我国信息安全标准欠缺的矛盾，为国家信息安全工作提供了有力的标准支撑。随着信息化建设的不断推进，信息安全的地位日趋重要。为了确保国家信息网络系统的安全，必须进一步加强安全标准制定与运行的机制建设，有效的调动相关部门和行业标准化组织的积极性，通过完善运行机制保障我国信息安全标准的科学发展，体现国家标准制定的广泛参与原则、协调一致原则和透明性原则。2.完善标准管理与服务保障体系我国信息安全标准化管理经理一个多方参与、逐步完善的过程，目前已建立了信息安全标准管理体系。在这种情况下，需要进一步加强沟通，逐步实现信息安全标准化管理的统一协调、统一受理、统一审查和统一报批。3.提升信息安全标准研究能力与编制水平11我国信息安全标准基础研究、国际标准化跟踪研究和专项研究等方面还处于初级阶段。跨系统安全标准演剧、管理类和系统类标准的研究。还有待进一步加强。特别是建立、扶植信息安全标准专业研究机构，培养用于创新的科研团队和大批熟悉国际信息安全标准规范的复合型人才，仍是我国信息安全标准化工作的重要作用。4.争取在国际信息安全标准化组织中发挥作用 国际标准不仅代表一个国家自主创新的水平，显示一个国家的技术和管理水平，还表明一个国家对世界的贡献和在世界上的地位。信息安全标准标志这一个国家信息安全的水平。目前，我国在信息安全标准创新和在国际信息安全标准论坛的话语权，与一个发展中的大国地位不够相称。我国提出的无线局域网安全标准和在国际标准争夺战中的经历告诉我们，要在国际信息安全标准化组织中发挥积极作用，还有很长的路要走。为此，我国在国家标准建设中既要主动采用通用的制定，不断提升我国信息安全标准组织在国际标准组织中的地位。4.3 信息安全标准的发展趋势随着网络的延伸和发展，信息安全问题受到了全社会前所未有的普遍关注，人们对信息安全的理解和认识更加深入全面，信息安全标准化的工作也在各级组织中得到了重视。信息技术安全标准化又是一项基础性工作，必须统一领导、统筹规划、各方参与、分工合作，以保证其顺利和协调发展。1.与国际接轨 信息安全的国际标准大多数是在欧洲、美国等工业发达国家标准的基础上协调产生的，基本上代表了当今世界现代信息技术的发展水平。我国的信息化工作起步较晚，但是互联网是没有国界的，在互联网上使用的产品是可以互联互通的，在我国接入互联的那一天起，在互联上产生的信息安全问题就同样开始威胁我国的网络，所以借鉴国外的成熟的先进的经验发展我国的信息化建设事业是十分必要的。信息安全标准化工作是一个国际性的工作，共性