信息安全管理标准可分为信息安全管理体系和技术与工程类标准。1、信息安全管理体系 BS7799是由英国贸易工业部立项,由英国标准协会制定的信息安全管理体系。BS7799可分为两部分: (1)BS7799《信息安全管理实施规则》:提供了一套由信息安全最佳惯例组成的实施规则,可以作为企业信息安全管理体系建设的参考。该部分被ISO/IEC JTC1认可,正式成为国际标准 ISO/IEC17799:2000《信息技术--信息安全管理实施细则》。 (2)BS7799《信息安全管理体系规范》:规定了信息安全管理体系各方面的达标指标。 2、技术与工程标准 《可信计算机系统评估准则》《Trusted Computer System Evaluation Criteria, TCSEC),俗称”橘皮书“,是美国国防部在1985年发表的一份技术文件。制定该准则的目的是向制造商提供一种制造标准;同时向用户提供一种验证标准。 TCSEC将系统分为A、B、C、D四类: D级:最小保护级; C级:自主保护级; C1级:自主安全保护级; C2级:可控访问保护级; B级:强制保护级; B1级:标记安全保护级; B2级:结构化保护级; B3级:安全区域保护级; A级:验证保护级; A1级:验证设计级; A2级:超A1级。 TCSEC的发起者和其他组织联合起来建立了CC编辑委员会来开发CC。 1999年12月ISO采纳CC,并作为国际标准ISO/IEC 15408《信息技术安全评估准则》(简称CC)发布。2001年,我国参考国际标准ISO/IEC15408,制定了国家标准GB/T18336《信息技术安全性评估准则》。 CC适用于硬件、固件、和软件实现的信息技术安全措施。CC包括三个部分: 第一部分:简介和一般模型; 第二部分:安全功能要求; 第三部分:安全保证要求。 系统安全工程能力成熟模型(System Security Engineering Capability Maturity Model,SSE-CMM)是由美国国家安全局发起的研究项目。SSE-CMM确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程的方法。SSE-CMM目标是将安全工程变为可定义的、成熟的、可度量、可评估的工程项目。我国安全评测中心评审机构信息安全服务资质的依据就是SSE-CMM。 下次就开始学习密码学啦。 |
|