信息安全标准上ppt课件.ppt
第13讲 信息安全标准(一),北京邮电大学 计算机学院副教授 徐国爱,信息安全标准体系,标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准,本讲提纲,基本概念,标准化:在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质:通过制定、发布和实施标准,达到统一。目的:获得最佳秩序和社会效益。意义:促进和带动产业发展;解决安全互联互通。,等同采用国际标准IDT(identical)修改采用国际标准MOD(modified)非等效采用国际标准NEQ(not equivalent),是指我国标准在技术内容与文本结构上均与国际标准完全相同,或者我国标准在技术内容上可以与国际标准相同,但可以包含小的编辑性修改。是采用国际标准的基本方法之一。,是指允许我国标准和国际标准存在技术性差异,并对这些技术性差异进行了清楚的标示和解释。是采用国际标准的基本方法之一。,是指我国标准与相应国际标准在技术内容和文本结构上均不相同,它们之间的差异也未被清楚的标示。其不属于采用国际标准。,标准的分类,从世界范围,按标准的层次分类:,国际标准:由国际标准化组织(ISO)和国际电工委员会(IEC)制定的标准。区域标准:是世界区域性标准化组织制定的标准。国家标准:在一个国家内通用的标准。行业标准:是在某个行业或专业范围内适用的标准。企业标准:有企业制定的标准。,我国按适用范围分类,国家标准,对需要在全国范围内统一的技术要求,应当制定国家标准。国家标准由国家标准化管理委员会编制计划、审批、编号、发布。国家标准代号为:GB和GB/T,其含义分别为强制性国家标准和推荐性国家标准。国家标准是四级标准体系中的主体,在全国范围内使用,其他各级标准不得与之相抵触。2019年增加一种“国家标准化指导性技术文件”,作为国家标准的补充,其代号为GB/Z。,行业标准,对没有国家标准又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。当相应的国家标准实施后,该行业标准应自行废止。行业标准由行业标准归口部门编制计划、审批、编号、发布、管理。部分行业的行业标准代号如下:,汽车QC化工HG电子SJ石油化工SH有色金属YS邮电通信YD,机械JB船舶CB电力DL商检SN包装BB核工业EJ,地方标准,对没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的要求,可以制定地方标准。地方标准由省、自治区、直辖市标准化行政主管部门统一编制计划、组织制定、审批、编号、发布。地方标准在本行政区域内使用,不得与国家标准和行业标准相抵触。国家标准、行业标准公布实施后,相应的地方标准自行废止。地方标准制定范围:,工业产品的安全、卫生要求;药品、兽药、食品卫生、环境保护、节约能源、种子等法律法规要求;其他法律法规规定的要求。,企业标准,是对企业范围内需要协调、统一的技术要求、管理要求和工作要求所制定的标准。企业标准由企业制定,企业标准是企业组织生产、经营活动的依据,由企业法人代表或法人代表授权的主管领导批准、发布。企业产品标准应在发布后30日内向政府备案。,按法律的约束性分类:,技术标准,管理标准,工业标准,按标准的性质分类,按标准化的对象和作用分类:,分类,基础标准,产品标准,方法标准,安全标准,卫生标准,环境保护标准,标准化三维空间,国际级区域级国家级行业级地方级企业级,人员服务系统产品过程,术语,体系、框架,技术机制,应用,管理,Y,X,Z,X轴代表标准化的对象Y轴代表标准化的内容Z轴代表标准化的级别,八字原理,我国通行“标准化八字原理”,统一,简化,协调,最优,我国标准工作归口单位,国家标准化管理委员会sac.gov/全国信息安全标准化技术委员会(简称信息安全标委会,TC260)tc260.org/全国信息技术标准化技术委员会(简称信标委,CITS),负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作。nits.gov/全国金融标准化技术委员会(简称金标委),负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会的归口管理工作。cfstc.org/,IT标准化,IT标准发展趋势,标准逐步从技术驱动向市场驱动方向发展。信息技术标准化机构由分散走向联合。信息技术标准化的内容更加广泛,重点更加突出,从IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加。从技术角度看,IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面,并向着以技术中立为前提,保证互操作为目的方向发展。,标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准,本讲提纲,国际信息安全标准化组织,国际标准化组织(ISO),建于1947年2月23日2952个技术成员工作成果发布为国际标准(IS),由146个国家标准成员组成的世界联盟,190个技术委员会(TCs)、544个子委员会(SCs)、2188个工作组(WGs),与安全相关机构,ISO/IEC JTC 1/SC 27:IT安全技术ISO TC 68:金融服务ISO TC 215:健康医疗学,国际标准化组织(ISO),JTC1其他分技术委员会,SC6系统间通信与信息交换SC17识别卡和有关设备SC18文件处理及有关通信SC21开放系统互连,数据处理和开放式分布处理SC22程序语言,其环境及系统软件接口,也开发相应的安全标准SC30开放式电子数据交换,主要开发电子数据交换的有关安全标准,国际电工委员会(IEC),正式成立于1906年10月,是世界上成立最早的专门国际标准化机构。成立的相关技术委员会:,TC56:可靠性TC74:IT设备安全与功效TC77:电磁兼容TC108:音频/视频CISPR:无线电干扰特别委员会,国际电信联盟(ITU),成立于1865年5月17日,其前身是国际电报和电话咨询委员会(CCITT)。主要负责研究通信系统安全标准。ITU SG17组主要研究方向:,通信安全项目安全架构与框架计算安全安全管理用于安全的生物测定安全通信服务,Internet工程任务组(IETF),始创于1986年,包括170多个RFC,12个工作组主要任务:负责互联网相关技术规范的研发和制定。IETF安全工作小组:,PGP开发规范(openpgp)鉴别防火墙遍历(aft)通用鉴别技术(cat)域名服务系统安全(dnssec)IP安全协议(ipsec)一次性口令鉴别(otp)X.509公钥基础设施(pkix)S/MIME安全电子邮件(smime)安全Shell(secsh)传输层安全(tls),电气和电子工程师学会(IEEE),1963年1月1日由美国无线电工程师协会(IRE, 创立于1912年)和美国电气工程师协会(AIEE,创建于1884年)合并而成。IEEE 802委员会,成立于1980年2月,任务是制定局域网的国际标准(802.117)。,高层接口逻辑链路控制CSMA/CD网令牌总线网令牌环网城域网,欧洲计算机制造商协会(ECMA),负责适用于计算机技术的各种的标准的制定和颁布。,TC32“通信、网络和系统互连”曾定义了开放系统应用层安全结构。TC36“IT安全”负责信息技术设备的安全标准。,外国信息安全标准化组织,美国,美国国家标准协会(ANSI)国家标准与技术研究院(NIST)美国国防部(DOD),NCITS-T4 制定IT安全技术标准X9 制定金融业务标准X12 制定商业交易标准,负责联邦政府非密敏感信息其工作以NIST出版物(FIPSPUB)和NIST特别出版物(SPECPUB)等形式发布制定了数据加密标准DES、密钥托管加密标准EES,负责涉密信息NSA(National Security Agency,美国国家安全局)国防部指令(DODI)(如TCSEC),英国,BS 7799医疗卫生信息系统安全,加拿大,计算机安全管理,日本,JIS 国家标准JISC 工业协会标准,韩国,KISA负责防火墙、IDS、PKI方面标准,ISO/IEC JTC1 SC27,ISO/IEC JTC1 SC27IT安全技术其工作领域是IT安全的通用方法和技术,包括:ISO/IEC JTC1 SC27已成为信息安全领域最具权威和得到国际最广泛认可的标准化组织。,为IT安全服务识别通用要求(包括要求方法);开发安全技术和机制(包括注册流程以及安全组件的关系);开发安全指南(例如:解释文件、风险分析);开发管理支持文件和标准(例如:术语和安全评估准则)。,SC27的5个工作组方向:,WG3安全评估,WG1信息安全管理体系,WG4安全控制与服务,WG2密码与安全机制,WG5身份管理与隐私技术,评估,指南,技术,产品,系统,过程,环境,ISO/IEC JTC1 SC27标准动态表,国内信息安全标准化组织,全国信息安全标准化技术委员会简称信安标委(TC260),2019年4月15日成立负责组织开展国内信息安全有关的标准化工作工作范围包括:,共76个标准(13项修订标准)50项标准正在研制中,安全技术安全机制安全服务安全管理安全评估,TC260工作组,WG1:信息安全标准体系与协调工作组WG2:涉密信息系统安全保密标准工作组WG3:密码技术标准工作组WG4:鉴别与授权工作组WG5:信息安全评估工作组WG7:信息安全管理工作组,信安标委制定国家信息安全标准流程:,立项申请提出草案,工作组征求意见,评审通过形成送审稿,秘书处网上征求意见,评审通过形成送批稿,主任办公会审查,国标委批准发布,定期复审提出修改,国内其他信息安全标准管理机构,国家保密局行业标准化组织,负责管理、发布并强制执行国家保密标准。国家保密标准和国家保密法规共同构成我国保密管理的重要基础。,公安部信息系统安全标准化技术委员会中国通信标准化协会网络与信息安全技术工作委员会,成立于2019年3月31日负责规划和制定我国公共安全行业信息安全标准和技术规范,监督技术标准的实施。,成立于2019年12月专门组织、研究和制定通信行业网络与信息安全相关的技术标准和技术规范。,标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准,本讲提纲,国外信息安全相关标准和指南,OECD指南,GASSP,英国BSI,BS 7799-1,BS 7799-2,美国NIST,NIST SP 800-53,NIST SP 800-30,COBIT,ITIL,ISO/IEC 17799,ISO/IEC 27001,ISO/IEC 13335,ISO/IEC 27000系列,CNITSEC信息系统安全保障框架管理保障部分,国外组织机构指南,国外国家标准指南,信息系统审计领域,IT服务管理领域,BS 7799标准,由英国标准协会BSI制定BS 7799标准:,BS 7799-1:2019信息安全管理实用规则BS 7799-2:2019 信息安全管理体系规范BS 7799-3:2019 信息安全风险评估,安全方针的制定安全责任的归属风险的评估访问控制防病毒相关策略,BS 7799广泛涵盖所有信息安全议题:,BS 7799-1,是组织建立并实施信息安全管理的一个指导性准则从以下10个方面定义了127 项控制措施:,安全政策组织安全资产分类与控制人员安全物理与环境安全业务连续性管理符合性管理,通信与操作管理访问控制系统开发与维护,侧重于组织整体的管理和运营操作,与信息安全技术相关,BS 7799-2,引用PDCA模型,将信息安全管理体系分解成4个子过程:,1)风险评估 3)安全管理 2)安全设计与执行 4)再评估,建立信息安全管理体系的步骤:,1)定义信息安全策略2)定义ISMS范围3)进行信息安全风险评估4)信息安全风险管理5)确定控制目标和选择控制措施6)准备信息安全适用性声明,ISO/IEC 17799标准,2000年12月,BS 7799-1被ISO正式批准为国际标准,编号ISO/IEC 17799最新版本ISO/IEC 17799:2019,提高外部风险管理要求(例如:外包、服务提供商、第三方、业务合作伙伴或客户)增加了服务等级协议(SLA)、审计说明服务交付管理沿用IT服务管路标准BS 15000/ISO 20000的思想,ISO/IEC 17799:2019标准结构,前言0引言1范围2术语和定义3本标准的组织结构4风险评估和处置5安全策略6信息安全的组织架构7资产管理8人力资源管理9物理和坏境安全10通信和运行安全11访问控制12信息系统采购、开发和维护13信息安全事故管理14业务持续性管理15符合性,ISO/IEC 2700X标准族,ISMS要求ISO/IEC 27001:2019(BS 7799-2:2019),ISMS实用规则ISO/IEC 27002:2019( ISO/IEC 17799),ISMS实施指南ISO/IEC 27003,ISMS测量ISO/IEC 27004,风险管理ISO/IEC 27005( ISO/IEC 13335-3),ISMS审核和认证机构ISO/IEC 27006:2019,ISMS概念和词汇表ISO/IEC 27000:2019( ISO/IEC 13335-1),ISMS审核员指南ISO/IEC 27007,特定标准和指南,附录A,ISO/IEC 27001:2019,2019年10月,BS 7799-2成功升级为国际标准,编号为ISO/IEC 27001ISO/IEC 27001是信息安全管理体系(ISMS)的规范说明强调风险管理的思想,指导组织建立ISMS,建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构,策略,规划,角色,职责,流程,程序和资源等。管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内。,Quality management system (ISO 9001),Environmental management system(ISO 14001),Safety management system(OHSAS 18001),Human Food Safety management system(HACCP),IT Service Management System (ISO 20000),Information security management system(ISO 27001),什么是管理体系?,信息安全管理体系(ISMS):是整个管理体系的一部分,建立在业务风险的方法上,以: 建立实施运作监控评审维护改进信息安全。,职业健康安全,IT服务,信息安全,环境,管理体系,食品安全,质量,建设了ISMS,尤其是获取了ISO27001认证后,组织将在信息安全方面进入一个强制的良性循环。,0. 引言1. 范围2. 规范性应用文件3. 术语和定义4. 信息安全管理体系(ISMS)4.1 总要求4.2 建立和管理ISMS4.2.1 建立 ISMS4.2.2 实施和运维 ISMS4.2.3 监控和评审 ISMS4.2.4 维护和改进 ISMS4.3 文件要求5. 管理职责6. ISMS的内部审核7. ISMS的管理评审8. ISMS 改进附录A 控制目标和控制措施附录B OECD原则与本标准附录C ISO9001:2000和ISO14001:2019对照参考书目,SO/IEC27001:2019的结构,27001辅助部分,27001核心部分(条款4-8),27001核心部分,27001辅助部分,27001的核心内容,一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。,图1 应用于ISMS过程的PDCA模型,ISO27001所关注的领域,信息安全策略信息安全组织资产管理人力资源的安全物理和环境安全通信和操作管理访问控制信息系统的获取,开发和维护信息安全事故管理业务连续性管理合规性,ISO27001正式的标准可认证的标准管理体系的要求控制措施的要求,ISO 17799实施细则(一整套最佳实践)控制措施的实施建议和实施指导ISO27001的附录A的细化与补充,ISO27001与ISO17799(27002),为设计控制措施提供实施指南,ISO/IEC 17799为设计控制措施提供实施指南,ISO/IEC 13335,ISO/IEC TR 13335系列:GMITS(IT安全管理指南)系列标准ISO/IEC IS 13335系列:MICTS(信息与通信技术安全管理),ISO/IEC TR 13335-1:2019IT安全的概念与模型ISO/IEC TR 13335-2:2019IT安全管理与策划ISO/IEC TR 13335-3:2019IT安全管理技术ISO/IEC TR 13335-4:2000安全管理措施的选择ISO/IEC TR 13335-5:2019网络安全管理指南,ISO/IEC 13335-1:2019 第1部分:信息与通信技术安全管理概念和模型ISO/IEC 13335-2 第2部分:信息与通信技术安全风险管理技术,取代ISO/IEC TR 13335-1:2019,将取代ISO/IEC TR 13335-2:2019,ISO27001正式的标准可认证的标准管理体系的要求控制措施的要求,ISO TR 13335风险管理方法论提供如何识别风险到风险处置对ISO27001的风险评估方法的细化和补充,ISO27001与ISO13335,为风险管理提供方法,风险评估具有不同的方法。在ISO/IEC TR 13335-3(IT安全管理指南:IT安全管理技术)中描述了风险评估方法的例子,ISO13335:以风险为核心的安全模型,资产(Asset),任何对组织有价值的东西ISO/IEC27001:2019 3 术语和定义资产是企业、机构直接赋予了价值因而需要保护的东西。信息资产是指组织的信息系统、其提供的服务以及处理的数据。资产的根本属性是:价值(C、I、A值),漏洞(Vulnerability),脆弱性是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。 脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。 脆弱性的根本属性是:严重程度(脆弱性被利用后对资产的损害程度、脆弱性被利用的难易程度),威胁(Threat),威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。 威胁可以分为人为威胁(故意、非故意)和非人为威胁(环境、故障)2种。 威胁的根本属性是:出现的频率(还包括威胁的能力,威胁的决心。),风险评估实施流程图,美国国家标准与技术委员会NIST,美国NIST相关管理标准指南NIST SP 800系列中信息安全管理相关文件:,NIST SP 800系列是NIST根据美国联邦信息安全管理法案(FISMA 2019)所赋予的法定职责所开发的系列文件。,NIST SP 800-53:联邦信息系统推荐安全控制NIST SP 800-18:开发IT系统安全计划指南NIST SP 800-30:IT系统风险管理指南NIST SP 800-34:IT系统业务持续性规划指南NIST SP 800-50:建立信息安全意识和培训管理,系统安全工程-能力成熟度模型(SSE-CMM),1993年4月美国国家安全局(NSA)开始酝酿2019年10月发布SSE-CMM的1.0版本2019年4月完成SSE-CMM的2.0版本2019年成为国际标准ISO/IEC 21827:2019 信息技术 系统安全工程 能力成熟度模型2019年6月由国际系统安全工程协会(ISSEA)更新为3.0版本2019年10月,ISO基于SSE-CMM 3.0发布了ISO/IEC 21827:2019,SSE-CMM,定义,描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证。,现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。,SSE-CMM项目目标是促进安全工程成为一个确定的、成熟的和可度量的科目。,通过区分投标者的能力级别和相关计划风险来选择合格的安全工程提供商;工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上;基于能力的保证,也就是说,信赖是基于对工程组织安全工程实践和过程成熟的信心。,理论基础,目的,SSE-CMM体系结构,SSE-CMM包括两维:“域”和“能力”,基本实施及过程域,SSE-CMM包含61个基本实施过程,其被归入11个安全工程过程域(PA),PA01管理安全控制PA02评估影响PA03评估安全风险PA04评估威胁PA05评估脆弱性PA06建立安全论据,PA07协调安全PA08监视安全态势PA09提供安全输入PA10确定安全需求PA11验证与确认安全,通用实施与公共特征,通用实施是应用于所有过程域中的活动。其针对的是过程的管理、测量和制度化。通用实施被归入12个不同的逻辑域,称为“公共特征”。12个公共特征被分为5个能力级别,代表了依次增长的安全功能能力。,通用实施、公共特征、能力级别的关系,以实施或制度化为手段来提高工程过程的实施能力,通用实施的集合,每一集合中的公共特征面向的是同一类过程的管理和制度化问题,若干个公共特征的组合,显示了安全工程过程的实施能力级别,SSE-CMM五个能力级别,SSE-CMM五个能力级别及其包含的公共特征,安全工程过程,安全工程过程的三个主要部分,风险过程,PA04:评估威胁,PA05:评估脆弱性,PA02:评估影响,威胁信息,脆弱性信息,影响信息,PA03:评估安全风险,风险信息,SSE-CMM中与风险相关的过程域,工程过程,PA10:确定安全需求,PA01:管理安全控制,PA09:提供安全输入,风险信息,要求、政策等,解决方案、指导等,PA08:监视安全态势,配置信息,SSE-CMM中与工程相关的过程域,PA07:协调安全,保证过程,PA11:检验与确认安全,检验与确认后的证据,证据,PA06:建立安全论据,保证论据,SSE-CMM中与保证相关的过程域,其他的PA,信息及相关技术控制目标(COBIT),由信息系统审计和控制协会(ISACF)于2019年发布国际通用的信息系统审计标准,为信息系统审计和治理提供一整套的控制目标、管理措施、审计指南等。把IT划分为4个域,并进一步细分为34个流程:,规划与组织(PO)获取与实施(AI)交付与支持(DS)监控(M),评估风险,确保持续的服务,保证系统安全,安全审计,IT治理,信息,监控,IT资源,交付与支持,获得与实施,规划与组织,COBIT,组织战略目标,COBIT模型,COBIT的4个域,34个IT处理流程,COBIT产品家族分类:,执行概要,高级控制目标框架,实施工具集,管理指南,具体控制目标,审计指南,关键成功因素、关键目标指标与关键绩效指标,成熟度模型,信息技术基础设施库(ITIL),由英国政府的中央计算机和通信机构(CCTA)制定,由英国商务部(OGC)负责维护,主要适用于IT服务管理(ITSM)ITIL核心内容:服务支持和服务交付,ITIL整体架构,ITIL的架构模型,标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准,本讲提纲,信息安全技术标准体系,管理标准,基础标准,安全术语,技术与机制标准,体系与模型,保密技术,密码技术,标识与鉴别,系统评估,产品评估,评估基础,工程与服务,管理方法,管理基础,物理安全,管理技术,管理要素,测评标准,授权与访问控制,国内信息安全相关标准,2019年发布了1项2019年发布了3项2000年发布了1项2019年发布了2项2019年发布了8项2019年发布了18项2019年发布了14项2019年发布了20项2009年发布了3项,国家信息安全标准化工作成果,信息安全标准分布情况,2019年发布的信息安全国标,BG 17859-2019 计算机信息系统安全保护等级划分准则GB/T 17901.1-19 99 信息技术 安全技术 密钥管理 第1部分:框架GB/T 17902.1-2019 信息技术 安全技术 带附录的数字签名 第1部分:框架,2019年发布的信息安全国标,GB 15851-2019 信息技术 安全技术 带消息恢复的数字签名方案,2000年发布的信息安全国标,GB/T 18238.1-2000 信息技术 安全技术 散列函数 第1部分:概述,2019年发布的信息安全国标,GB/T 18238.2-2019信息技术 安全技术 散列函数 第2部分:采用n位块密码的散列函数GB/T 18238.3-2019信息技术 安全技术 散列函数 第3部分:专用散列函数,2019年发布的信息安全国标,GB/T 19713-2019信息技术 安全技术 公钥基础设施 在线证书状态协议GB/T 19714-2019信息技术 安全技术 公钥基础设施 证书管理协议GB/Z 19717-2019基于多用途互联网邮件扩展(MIME)的安全报文交换GB/T 19771-2019信息技术 安全技术 公钥基础设施 PKI 组件最小互操作规范GB/T 20008-2019信息安全技术 操作系统安全评估准则GB/T 20009-2019信息安全技术 数据库管理系统安全评估准则GB/T 20190-2019信息安全技术 包过滤防火墙评估准则GB/T 20191-2019信息安全技术 路由器安全评估准则,2019年发布的信息安全国标,GB/T 20269-2019信息安全技术 信息系统安全管理要求GB/T 20270-2019信息安全技术 网络基础安全技术要求GB/T 20271-2019信息安全技术 信息系统通用安全技术要求GB/T 20272-2019信息安全技术 操作系统安全技术要求GB/T 20273-2019信息安全技术 数据库管理系统安全技术要求GB/T 20274.1-2019信息安全技术 信息系统安全保障评估框架 第一部分:简介和一般模型,2019年发布的信息安全国标(续),GB/T 20275-2019信息安全技术 入侵检测系统技术要求和测试评价方法GB/T 20276-2019信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级)GB/T 20277-2019信息安全技术 网络和终端设备隔离部件测试评价方法GB/T 20278-2019信息安全技术 网络脆弱性扫描产品技术要求GB/T 20279-2019信息安全技术 网络和终端设备隔离部件安全技术要求GB/T 20280-2019信息安全技术 网络脆弱性扫描产品测试评价方法,2019年发布的信息安全国标(续),GB/T 20281-2019信息安全技术 防火墙技术要求和测试评价方法GB/T 20282-2019信息安全技术 信息系统安全工程管理要求GB/Z 20283-2019信息安全技术 保护轮廓和安全目标的产生指南GB/T 20518-2019信息安全技术 公钥基础设施 数字证书格式GB/T 20519-2019信息安全技术 公钥基础设施 特定权限管理中心技术规范GB/T 20520-2019信息安全技术 公钥基础设施 时间戳规范,2019年发布的信息安全国标,GB/T 18018-2019信息安全技术 路由器安全技术要求GB/T 20945-2019信息安全技术 信息系统安全审计产品技术要求和测试评价方法GB/T 20979-2019信息安全技术 虹膜识别系统技术要求GB/T 20983-2019信息安全技术 网上银行系统信息安全保障评估准则GB/T 20984-2019信息安全技术 信息安全风险评估规范GB/Z 20985-2019信息技术 安全技术 信息安全事件管理指南GB/Z 20986-2019信息安全技术 信息安全事件分类分级指南,2019年发布的信息安全国标(续),GB/T 20987-2019信息安全技术 网上证券交易系统信息安全保障评估准则GB/T 20988-2019信息安全技术 信息系统灾难恢复规范GB/T 21028-2019信息安全技术 服务器安全技术要求GB/T 21050-2019信息安全技术 网络交换机安全技术要求(评估保证级3)GB/T 21052-2019信息安全技术 信息系统物理安全技术要求GB/T 21053-2019信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求GB/T 21054-2019信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则,2019年发布的信息安全国标,GB/T 17964-2019信息安全技术 分组密码算法的工作模式GB/T 22080-2019信息技术 安全技术 信息安全管理体系 要求GB/T 22081-2019信息技术 安全技术 信息安全管理实用规则GB/T 22186-2019信息安全技术 具有中央处理器的集成电路(IC)卡芯片安全技术要求(评估保证级4增强级)GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2019信息安全技术 信息系统安全等级保护定级指南,2019年发布的信息安全国标(续),GB/T 15843.1-2019信息技术 安全技术 实体鉴别 第1部分: 概述GB/T 15843.2-2019信息技术 安全技术 实体鉴别 第2部分: 采用对称加密算法的机制GB/T 15843.3-2019信息技术 安全技术 实体鉴别 第3部分: 采用数字签名技术的机制GB/T 15843.4-2019信息技术 安全技术 实体鉴别 第4部分: 采用密码校验函数的机制GB/T 15852.1-2019信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制GB/T 17903.1-2019信息技术 安全技术 抗抵赖 第1部分: 概述GB/T 17903.2-2019信息技术 安全技术 抗抵赖 第2部分: 采用对称技术的机制,2019年发布的信息安全国标(续),GB/T 17903.3-2019信息技术 安全技术 抗抵赖 第3部分: 采用非对称技术的机制GB/T 18336.1-2019信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型GB/T 18336.2-2019信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求GB/T 18336.3-2019信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求 GB/T 20274.2-2019信息安全技术 信息系统安全保障评估框架 第2部分:技术保障GB/T 20274.3-2019信息安全技术 信息系统安全保障评估框架 第3部分:管理保障GB/T 20274.4-2019信息安全技术 信息系统安全保障评估框架 第4部分:工程保障,2009年发布的信息安全国标,GB/Z 24294-2009信息安全技术 基于互联网电子政务信息安全实施指南GB/T 24363-2009信息安全技术 信息安全应急响应计划规范 GB/Z 24364-2009信息安全技术 信息安全风险管理指南,目前我国已经正式转化的信息安全管理国际标准有:,GB/T 19716-2019 信息技术 信息安全管理实用规则(修改采用国际标准ISO/IEC 17799:2000)GB/T 19715.1-2019 信息技术 IT安全管理指南第1部分:IT安全概念和模型(等同采用ISO/IEC TR 13335-1:2019)GB/T 19715.2-2019 信息技术 IT安全管理指南第2部分:管理和规划IT安全(等同采用ISO/IEC TR 13335-2:2019)GB/T 22080-2019 信息技术 安全技术 信息安全管理体系 要求(等同采用ISO/IEC 27001:2019)GB/T 22081-2019 信息技术 安全技术 信息安全管理实用规则(代替GB/T 19716-2019 ,等同采用ISO/IEC 27002:2019),工作规划,2019年5月发布国家信息安全标准化“十一五”规划规划提出“十一五”末期到达的目标:,基本建立适应信息安全保障体系建设需求的信息安全标准体系;完成150项国家标准的制定;自主制定高质量国家标准比例达到40%;提高实际参与国际标准化活动的水平,在制定国际标准上取得突破。,“十一五”期间中国信息安全标准化工作任务:,1)开展标准战略与基础理论研究2)加快急需标准的制定3)做好标准的推广实施4)积极参与国际标准化活动,“十一五”期间重点信息安全标准项目,小结,标准化:在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质:通过制定、发布和实施标准,达到统一。目的:获得最佳秩序和社会效益。意义:促进和带动产业发展;解决安全互联互通,Thank You !,