信息安全测评认证

1、 2004年7月3日 2004年7月3日 2004年7月3日 n认证体制主要包括三个方面 测评认证标准（准则）测评认证标准（准则） 方法论方法论 测评认证组织体系测评认证组织体系 评估机构（实验室）评估机构（实验室） 测评认证管理委员会测评认证管理委员会 中国信息安全产品测评认证中心中国信息安全产品测评认证中心 认证机构认证机构 认可机构认可机构 （CNAB/CNAL） 证书 认可认可授权授权 认证认证 评估机构（实验室）评估机构（实验室） 评估机构（实验室）评估机构（实验室） 评估机构（实验室）评估机构（实验室） 认可认可 评估目标 ETR 评估文档 批准评估技术报告批准评估技术报告 准备评

2、估准备评估 开展评估开展评估 进行认证进行认证 评估技术报告 认证维持认证维持 认证报告 证书证书 2004年7月3日 欧洲国家欧洲国家 和地区和地区 89-93年年 加拿大加拿大 89-93年 通用准则通用准则 计划计划 93年起年起 ISO IS 15408 99 美国美国 TCSEC 83/85 年年 CTCPEC 93年年 联邦联邦 准则准则 92年年 通用准则通用准则 （CC 1.0） 96年年 通用准则通用准则 （CC 2.1） 99年年 NISTs MSFR 90年年 ITSEC 1.2 91年年 ISO 92年起年起 = 管理 监督 指导 评估 结果 NIAP 认证机构认证机构

3、 国家志愿实验 室认可程序 ISO标准(导则65) 已批准实验室列表 已批准测试方法列表 认证报告 已认证产品列表 通用准则证书 消费者组 本国政府 本国非政府 国外政府 国外非政府 安全社团 体制 需要 技术 监督 评估 结果 认可 ISO/IEC (导则25)要求 通用准则 测试实验室 评估 发起者 （IT产品或保护轮廓） IT安全评估 要求 技术 合作 主任 副主任 质量主管资料/信息主管技术监督主管 资源主管 人 事 部 培 训 部 项 目 部 评 估 部 认 证 部 证 书 管 理 文 档 控 制 资 料 管 理 证 书 维 护 机 构 管 理 通信电子安全局贸易与产业部 授权测评机

4、构申请者 国家认可 程序 测评认证管理委员会 委托者委托者 认证报告 证书 UKAS CLEF 开发者开发者 认证机构认证机构 发起者发起者 评估体系管委会评估体系管委会 实验室认可 认证 评估工作程序 观测报告 评估技术报告 批准和使用 信息系统 制订策略和 技术监督 观测 报告 评估 对象 授权CLEF 安全 目标 评估对象 安全目标 可交付性 可交付性 观测报告 董事会董事会 主席主席 监督委员会 信息安信息安 全全 计划部计划部 信息安全信息安全 技术部技术部 信息安全评信息安全评 估与估与CA部部 信息基础信息基础 设施保护部设施保护部 综合管理部综合管理部个人信息个人信息 协调秘书

5、部协调秘书部 计划与计划与 协调组协调组 安全政策安全政策 研究组研究组 教育与公共教育与公共 联络组联络组 安全技术安全技术 标准化组标准化组 密码技密码技 术组术组 先进系统与先进系统与 网网 络安全组络安全组 IT安全评安全评 估准则组估准则组 IT安全评安全评 估组估组 I IT安全评安全评 估组估组 II 韩国中央韩国中央 CA 反黑客与反黑客与 病病 毒咨询毒咨询组组 信息基础信息基础 设施保护设施保护 组组 技术援助技术援助 组组 信息安全信息安全 产产 业支持中业支持中 心心 综合事务综合事务 组组 财务组财务组 资产管理资产管理 组组 个人信息个人信息 保护中心保护中心 争议

6、调解争议调解 组组 个人信息个人信息 协调委员会协调委员会 信息与通信部信息与通信部 开发者开发者发起者发起者 国家情报暑国家情报暑 KISA/评估者评估者 用户用户 技术支持技术支持ITIT产品产品/ /评估证据评估证据 支持对评估证据开发支持对评估证据开发/补充补充 评估体制与政策协调评估体制与政策协调 颁发认证结果与证书颁发认证结果与证书 准则一致性推荐准则一致性推荐 认证体制运作认证体制运作 推荐通过认证的产品推荐通过认证的产品 提供通过认证的产品清单提供通过认证的产品清单 对评估结果认证对评估结果认证 评估报告评估报告 4 13 8 16 13 1 19981999200020012

7、0022003 3 10 22 32 53 26 0 10 20 30 40 50 60 199819992000200120022003 1 0 19 7 1 4 14 2 8 1 2 4 1 4 31 0 26 1 10 2 9 Switch Router Firewall VPN Mobile code Guard OS Biometrics Data protection PC security Web server DBMS Anti-virus Network mgt SmartCard Reader IC IDS PKI Production Env Miscellaneous EAL4 45% EAL1 22% EAL2 16% EAL3 10% EAL5 7% EAL6 0% EAL7 0% EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 2004年7月3日 2004年7月3日 2004年7月3日 2004年7月3日 欧洲国家欧洲国家 和地区和地区 89-93年年 加拿大加拿大 89-93年 通用准则通用准则 计划计划 93年起年起 ISO IS 15408 99 美国美国 TCSEC 83/