十期《我国信息安全技术标准体系与认证认可制度介绍》VIP

第十期我国信息安全技术标准体系与认证认可制度介绍一 . 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设，使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编 制、修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学合理化的手段。信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。事实上，在这些特定领域标准的执行还要看各个国家的管理法规和制度。国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。二. 国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个。1. iso/iec jtc1（信息技术标准化委员会）所属sc27 （安全技术分委员会）的前身是sc20 （数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。iso/tc68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与 sc27 有着密切的联系。iso/iec jtc1 负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。2. lec 在信息安全标准化方面除了与iso 联合成立了jtc1 下的分委员会外，还在电信、信息技术和电磁兼容等方面成立了技术委员会，如 tc56 可靠性、 tc74 it设备安全和功效、tc77 电磁兼容、 tc108 音频 /视频、信息技术和通信技术电子设备的安全等，并且制定相关国际标准。3. itu sg17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。4. ietf （ internet工程任务组）制定标准的具体工作由各个工作组承担。ietf 分成八个工作组，分别-可编辑修改 -负责 internet路由、传输、应用等八个领域，其著名的ike 和 ipsec 都在 rfc 系列之中，还有电子邮件、网络认证和密码及其他安全协议标准。国内的安全标准化组织主要有全国信息安全标准化技术委员会以及中国通信标准化协会（ccsa ）下辖的网络与信息安全技术工作委员会（tc8 ）。全国信息安全标准化技术委员会（tc260 ）于 2002 年 4 月成立，是在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织，任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。主要以工作组形式开展工作，现下设六个工作组：信息安全标准体系与协调工作组（ wg1 ）、涉密信息系统标准工作组（wg2 ）、密码工作组（wg3 ）、鉴别与授权工作组（wg4 ）、信息安全评估工作组（wg5 ）、信息安全管理工作组（wg7 ）。网络与信息安全技术工作委员会该委员会成立于2003 年 12 月，主要负责研究涉及有关通信安全技术和管理标准。其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。目前， 设置有有线网络安全工作组（ wg1 ）、无线网络安全工作组（wg2 ）、安全管理工作组（wg3 ）和安全基础设施工作组（wg4 ）四个工作组。三. 我国的信息安全技术标准体系是怎样的？我国信息安全标准化工作是从学习国际标准化工作开始的，目前，我国的信息安全标准化工作也已经取得了比较大的进展。近些年，先后发布了几十项信息安全标准，也进行了信息安全标准体系的专门研究，提出了基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准等六大类信息安全技术标准的体系结构，可按照标准所涉及的主要内容进行细分，为现阶段信息安全标准编制、修订提供依据，为信息安全保障体系建设提供有效的支撑。四. 我国信息安全主要技术标准有哪些？我国信息安全技术标准体系涉及网络与信息安全各个方面，包括已经发布、报批和在研的技术标准有很多，主要的有：1. 计算机信息系统安全保护等级划分准则（gb 17859-1999）2. 信息安全技术信息安全风险评估规范（gb/t 20984-2007）3. 信息安全技术信息系统安全等级保护基本要求（gb/t 22239-2008）4. 信息安全技术信息系统通用安全技术要求（gb/t 20271-2010）5. 信息安全技术信息系统安全管理要求（gb/t 20269-2006）6. 信息安全技术信息安全事件管理指南（gb/z 20985-2007）7. 信息安全技术信息安全事件分类分级指南（gb/z 20986-2007）8. 信息安全技术信息系统灾难恢复规范（gb/t 20988-2007）9. 信息安全技术信息系统安全等级保护实施指南（gb/t 25058-2010）10. 信息安全技术信息系统安全等级保护定级指南（gb/t 22240-2008）11. 信息安全技术信息系统等级保护安全设计技术要求（gb/t 25070-2010）12. 信息安全技术信息系统物理安全技术要求（gb/t 21052-2007） 五. 什么是信息安全认证认可？2003 年 9 月，国务院发布认证认可条例，这一条例对认证和认可是这样定义的：认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动；认可则是指由认可机构对认证机构、检查机构、文验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。认证的对象分为三类 ：产品、服务和管理体系。在信息安全领域，目前针对这三类对象的认证活动在我国都已开展，即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。国家信息化领导小组关于加强信息安全保障丁作的意见（中办发 200327号）文件及其后发布的关于建立国家信息安全产品认证认可体系的通知（国认证联 200457号）文件对信息安全产品认证工作做出了规定，这也是我国信息安全保障体系建设中的一项基础性工作。除此之外，信息安全服务认证和信息安全管理体系认证也是我国信息安全认证认可事业的重要组成部分，我国认证认可主管部门为推动这些工作也作了大量努力。六. 我国对信息安全认证认可的主要内容有哪些？1. 信息安全产品认证国家认监委会同有关部门推进了统一的信息安全产品认证认可体系的建设，成立了国家信息安全产品认证管理委员会及其执委会，成立了专门的认证机构（中国信息安全认证中心），公布了信息安全产品强制性认证、指定认证机构和第一批指定实验室，公布了信息安全产品强制性认证目录，制定了检测收费标准，公布了认证实施规则，明确了强制性认证所依据的技术标准、规范以及相关技术指标。2. 信息安全服务资质认证，其中包括：信息安全应急处理服务资质认证、信息安全风险评估服务资质认证和信息系统安全集成服务资质认证。随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、 风险评估、 安全集成、 灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。信息安全服务资质管理和相关认证评价工作已成为信息安全保障工作的重要组成部分。3. 信息安全管理体系 （isms ）认证，信息安全管理体系简称isms（ information security managementsystem ）。为了推动iso/iec 27000标准族的应用和转化，原国务院信息办于2006 年 3 月至2007 年 1 月 组织开展了“信息安全管理标准应用（isms ）试点”工作。在试点的基础上，完成了iso/iec 27001： 2005 和 iso/iec27002：2005 的转化工作， 上述标准已经等同采用为国家标准gb/t 22080-2008 信息技术安全技术信息安全管理体系要求和国家标准gb/t22081-2008信息技术安全技术信息安全管理实用 规则，并于2008 年 11 月 1 日起实施。4. 信息技术服务管理（itsm ）体系认证information technology service managementitsm 认证是对组织能否有效交付it 服务的能力进行评价的过程。随着it 的迅猛发展，有效地提供it 服务管理以满足业务和顾客的要求，已经成为了各类组织建立、实施、运行it 服务管理体系的内在需求和动力。通过建立it 服务管理体系并寻求第三方认证已逐渐成为各类组织提高和检验自身it 服务管理水平的优先选择。七. 我国对信息安全人员资格的认证有哪些？目前，我国对信息安全人员资质的最高认可是“注册信息安全专业人员”，英文为certified information security professional（简称 cisp ）。注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，由中国信息安全产品测评认证中心（cnitsec ）实施认证。根据实际岗位工作需要，cisp 分为三类，分别是“注册信息安全工程师”,英文为 certified informationsecurity engineer（简称 cise ），cise 主要从事信息安全技术开发服务工程建设等工作；“注册信息安全管理人员”， 英文为 certified information security officer（简称 ciso ）， ciso 从事信息安全管理等相关工作；“注册信息安全审核员”，英文为certified information security auditor（简称 cisa ）， cisa 从事信息系统的安全性审核或评估等工作。在国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员，具备一定的信息安全基础知识，了解并掌握gb/t 18336、iso 15408 、iso 17799等有关信息安全标准，具有进行信息安全服务的能力，可以参加中国信息安全