分享

012 国家软考信息安全工程师信息安全管理体系和技术与工程类标准

 孟溪ProbeT连山 2019-10-24

信息安全管理标准可分为信息安全管理体系和技术与工程类标准。

1、信息安全管理体系

BS7799是由英国贸易工业部立项,由英国标准协会制定的信息安全管理体系。BS7799可分为两部分:

(1)BS7799《信息安全管理实施规则》:提供了一套由信息安全最佳惯例组成的实施规则,可以作为企业信息安全管理体系建设的参考。该部分被ISO/IEC JTC1认可,正式成为国际标准 ISO/IEC17799:2000《信息技术--信息安全管理实施细则》。

(2)BS7799《信息安全管理体系规范》:规定了信息安全管理体系各方面的达标指标。

2、技术与工程标准

《可信计算机系统评估准则》《Trusted Computer System Evaluation Criteria, TCSEC),俗称”橘皮书“,是美国国防部在1985年发表的一份技术文件。制定该准则的目的是向制造商提供一种制造标准;同时向用户提供一种验证标准。

TCSEC将系统分为A、B、C、D四类:

D级:最小保护级;

C级:自主保护级;

C1级:自主安全保护级;

C2级:可控访问保护级;

B级:强制保护级;

B1级:标记安全保护级;

B2级:结构化保护级;

B3级:安全区域保护级;

A级:验证保护级;

A1级:验证设计级;

A2级:超A1级。

TCSEC的发起者和其他组织联合起来建立了CC编辑委员会来开发CC。 1999年12月ISO采纳CC,并作为国际标准ISO/IEC 15408《信息技术安全评估准则》(简称CC)发布。2001年,我国参考国际标准ISO/IEC15408,制定了国家标准GB/T18336《信息技术安全性评估准则》。

CC适用于硬件、固件、和软件实现的信息技术安全措施。CC包括三个部分:

第一部分:简介和一般模型;

第二部分:安全功能要求;

第三部分:安全保证要求。

系统安全工程能力成熟模型(System Security Engineering Capability Maturity Model,SSE-CMM)是由美国国家安全局发起的研究项目。SSE-CMM确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程的方法。SSE-CMM目标是将安全工程变为可定义的、成熟的、可度量、可评估的工程项目。我国安全评测中心评审机构信息安全服务资质的依据就是SSE-CMM。

下次就开始学习密码学啦。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多