信息安全标准清单

合集下载

信息安全标准一览表

50.
GB/T 15843.3-1998
信息技术安全技术实体鉴别第3部分：用非对称签名技术的机制
51.
GB/T 17618-1998
信息技术设备抗扰度限值和测量方法
52.
GB/T 17544-1998
信息技术软件包质量要求和测试
53.
GB/T 19000.2-1998
质量管理和质量保证标准第2部分：GB/T 19001、GB/T 19002和GB/T 19003实施通用指南
电子计算机机房设计规范
7.
GB/T 19021.1-1993
质量体系审核指南审核
8.
GB/T 19021.2-1993
质量体系审核指南质量体系审核员的评定准则
9.
GB/T 19021.3-1993
质量体系审核指南审核工作管理
10.
GB/T 15277-1994
信息处理 64bit分组密码算法的工作方式
信息技术开放系统互连目录第5部分：协议规范
29.
GB/T 16264.6-1996
信息技术开放系统互连目录第6部分：选择属性类型
30.
GB/T 16264.7-1996
信息技术开放系统互连目录第7部分：选择客体类
31.
GB/T 16264.8-1996
信息技术开放系统互连目录第8部分：鉴别框架
质量管理体系要求
79.
GB/T 19004-2000
质量管理体系业绩改进指南
80.
GB/T 19000.3-2001
质量管理和质量保证标准第3部分：GB/T 19001-1994在计算机软件开发、供应、安装和维护中的使用指南

国家信息安全标准名录

60 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南
61 GB/T 20987-2007 信息安全技术网上证券交易系统信息安全保障评估准则
62 GB/T 20988-2007 信息安全技术信息系统灾难恢复规范
63 GB/T 21028-2007 信息安全技术服务器安全技术要求
37 GB/T 20270-2006 信息安全技术网络基础安全技术要求
38 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
39 GB/T 20272-2006 信息安全技术操作系统安全技术要求
40 GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
12 GB/T 15843.2-2008 信息技术安全技术实体鉴别第2部分: 采用对称加密算法的机制
13 GB/T 15843.3-2008 信息技术安全技术实体鉴别第3部分: 采用数字签名技术的机制
14 GB/T 15843.4-2008 信息技术安全技术实体鉴别第4部分: 采用密码校验函数的机制
68 GB/T 21054-2007 信息安全技术 PKI系统安全等级保护评估准则
69 GB/T 22019-2008 信息安全技术信息系统安全等级保护基本要求
70 GB/T 22020-2008 信息安全技术信息系统安全保护等级定级指南
71 GB/T 22080-2008 信息技术安全技术信息安全管理体系要求
33 GB/T 20009-2005 信息安全技术数据库管理系统安全评估准则
34 GB/T 20010-2005 信息安全技术包过滤防火墙评估准则
35 GB/T 20011-2005 信息安全技术路由器安全评估准则

2023版最新现行信息技术建设有效标准及规范清单

2023版最新现行信息技术建设有效标准及规范清单简介本文档旨在提供2023年最新的信息技术建设有效标准和规范清单。

这些标准和规范有助于确保信息技术的安全性、可靠性和合规性。

请注意，这份清单仅供参考，具体应根据实际情况和需求进行调整和实施。

标准与规范清单1. 信息安全管理- ISO/IEC ：信息安全管理体系要求- ISO/IEC ：信息安全管理实施指南- 《信息系统安全等级保护基本要求》：我国对信息系统安全等级保护的基本要求2. 网络安全- GB/T ：网络与信息安全防护术语- GB/T ：信息安全技术网络安全基本要求3. 数据保护与隐私- GDPR：欧洲通用数据保护条例- 《个人信息安全规范》：我国个人信息保护的基本要求4. 云计算- ISO/IEC ：云计算参考架构- 《云计算服务等级分级及安全基本要求》：我国云计算服务安全的基本要求5. 软件开发与测试- ISO/IEC ：软件生命周期过程- ISO/IEC ：软件产品质量模型6. 系统集成- GB/T ：信息系统集成服务过程参考模型- 《信息系统集成服务等级定义与评价指南》：我国信息系统集成服务等级评价的指南7. 项目管理- PMBOK：项目管理知识体系- PRINCE2：项目管理方法8. 安全审计与监控- ISO/IEC ：信息技术安全管理系统审计指南- 《信息系统安全事件的分类与处理指南》：我国信息系统安全事件的分类与处理指南以上清单仅列举了部分信息技术建设的标准和规范，具体选择和实施应根据组织的需求和背景进行权衡和决策。

为确保信息技术建设达到预期效果，建议结合实际情况进行适当的定制化和整合。

结论本文档提供了2023年版最新的信息技术建设有效标准和规范清单。

这些标准和规范是信息技术建设过程中的重要参考，帮助组织确保信息技术的安全、可靠和合规。

务必根据实际情况进行调整和实施，以实现最佳效果。

信息安全国家标准清单

38.
GB/T 20519-2006
《信息安全技术公钥基础设施特定权限管理中心技术规范》
39.
GB/T 20520-2006
《信息安全技术公钥基础设施时间戳规范》
40.
GB/T 20987-2007
《信息安全技术网上证券交易系统信息安全保障评估准则》
41.
GB/T 18018-2007
《信息安全技术路由器安全技术要求》
《信息技术安全技术实体鉴别第3部分: 采用数字签名技术的机制》
57.
GB/T 15843.4-2008
《信息技术安全技术实体鉴别第4部分: 采用密码校验函数的机制》
58.
GB/T 15852.1-2008
《信息技术安全技术消息鉴别码第1部分：采用分组密码的机制》
59.
GB/T 17710-2008
《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》
93.
GB/T 25068.5-2010
《信息技术安全技术IT网络安全第5部分：使用虚拟专用网的跨网通信安全保护》
94.
GB/T 25069-2010
《信息安全技术术语》
95.
GB/T 25070-2010
《信息安全技术信息系统等级保护安全设计技术要求》
34.
GB/T 20281-2006
《信息安全技术防火墙技术要求和测试评价方法》
35.
GB/T 20282-2006
《信息安全技术信息系统安全工程管理要求》
36.
GB/Z 20283-2006
《信息安全技术保护轮廓和安全目标的产生指南》
37.
GB/T 20518-2006
《信息安全技术公钥基础设施数字证书格式》

信息安全的安全标准

信息安全的安全标准信息安全已经成为当今社会中不可或缺的一部分。

随着科技的发展和信息技术的广泛应用，我们的个人隐私和重要数据面临着越来越多的威胁。

为了保护个人和组织的敏感信息，制定并实施信息安全标准变得至关重要。

本文将探讨信息安全标准的意义以及几个常见的标准。

一、信息安全标准的意义信息安全标准是一套指导和规范信息系统安全的规则和准则。

它们旨在确保信息系统的机密性、完整性和可用性。

信息安全标准的实施不仅有助于保护个人隐私和重要数据，还可以减少潜在的安全漏洞，避免信息泄露和数据损失的风险。

此外，信息安全标准还可以提高企业的声誉和信誉，为客户和合作伙伴提供信心。

二、常见的信息安全标准1. ISO 27001ISO 27001是国际标准化组织（ISO）发布的信息安全管理体系标准。

它提供了一个框架，帮助组织建立、实施、维护和持续改进信息安全管理体系。

ISO 27001要求组织进行风险评估和风险管理，确保适当的安全控制措施得到采取。

这个标准广泛适用于各种组织，无论其规模和行业。

2. PCI DSSPCI DSS（Payment Card Industry Data Security Standard）是一个由支付卡行业组织制定的标准。

它适用于处理信用卡信息的组织，旨在保护持卡人数据的安全。

PCI DSS要求组织建立和维护安全的网络和系统，实施强密码策略，定期监控和测试安全控制措施，以及保护和管理持卡人数据的安全。

3. HIPAAHIPAA（Health Insurance Portability and Accountability Act）是美国制定的关于医疗信息隐私和安全的法律。

它要求医疗保健提供者和相关组织保护个人的健康信息。

HIPAA包括技术、物理和行政安全控制要求，以确保医疗机构、医生和其他相关组织遵守一系列的隐私保护措施。

4. GDPRGDPR（General Data Protection Regulation）是欧盟制定的关于数据保护和隐私的法规。

信息安全检测依据的标准清单

等保检测和风险评估
国标
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》
GB/T 28448-2012《信息安全技术信息系统安全等级保护检测要求》
GB/T 20984-2007《信息安全技术信息安全风险评估规范》
行标
《电力行业信息系统安全等级保护基本要求》（电监信息[2012]62号）
GB/T 30976.2-2014《工业控制系统信息安全第2部分：验收规范》
行标
DL/T 1455-2015《电力系统控制类软件安全性及其测评技术要求》
电力二次设备
企标
Q/GDW/Z 1938-2013《嵌入式电力测控终端设备的信息安全检测技术指标框架-指导性技术文件》
基础软件
国标
GB/T 20272-2006《信息安全技术操作系统安全技术要求》
GB/T 20273-2006《信息安全技术数据库管理系统安全技术要求》
云安全终端系统
企标
Q/GDW 11353-2014《国家电网公司云安全终端系统技术要求》
信息安全检测依据的标准清单
业务
标准类型
标准名称
应用系统安全测试
行标
DL/T 1455-2015 电力系统控制类软件安全性及其测评技术要求
企标
Q/GDW1597-2015《国家电网公司应用软件通用安全要求》
Q/GDWZ 1942-2013《国家电网公司应用系统安全性测试方法》
代码安全检测
企标
Q/GDW 1929.5-2013《信息系统应用安全第5部分：代码安全检测》
IDS产品
国标
GB/T 20275-2006《信息安全技术网络入侵检测系统技术要求和测试评价方法》

信息安全评估标准

信息安全评估标准
信息安全评估是指对一个系统的信息安全状况进行定量和定性的评估,以确定其是否符合所需的信息安全标准和要求。

以下是一些常用的信息安全评估标准:
1. ISO 27001:2013 信息安全管理体系标准:该标准描述了一个信息安全管理体系的结构和要素,包括风险分析、信息安全策略、信息安全控制、信息安全事件报告和响应等。

2. ISO 22200:2013 信息安全最佳实践:该标准介绍了一些信息安全最佳实践,如安全需求分析、安全策略、安全控制、信息安全事件报告和响应等。

3. ISO 9001:2015 质量管理体系标准:该标准描述了一个质量管理体系的结构和要素,包括需求分析、规划、组织管理、过程控制、绩效评估等。

4. ANSI/ISO 13885:2002 信息安全技术:该标准介绍了一些信息安全技术的基础知识,如加密技术、解密技术、数据备份和恢复技术等。

5. ASTM F589:2009 信息安全管理体系标准:该标准介绍了一些信息安全管理体系的结构和要素,如信息安全需求分析、信息安全策略、信息安全控制、信息安全事件报告和响应等。

以上是一些常用的信息安全评估标准,不同的评估标准适用于不同的信息安全需求和场景。

在进行信息安全评估时,应根据实际情况选择适当的评估标准。

信息安全管理体系标准清单

GB/T 20273-2019 信息安全技术数据库管理系统安全技术要求
GB/T 37980-2019 信息安全技术工业控制系统安全检查指南
GB/T 37931-2019 信息安全技术 Web应用安全监测系统安全技术要求和测试评价方法
GB/T 37988-2019 信息安全技术数据安全能力成熟度模型
发布日期 2019/10/18 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/8/30 2019/5/10 2019/5/10 2019/5/10 2019/5/10 2018/12/28
GB/T 20272-2019 信息安全技术操作系统安全技术要求
GB/T 25058-2019 信息安全技术网络安全等级保护实施指南
GB/T 37962-2019 信息安全技术工业控制系统产品信息安全通用评估准则
GB/T 21050-2019 信息安全技术网络交换机安全技术要求
GB/T 37973-2019 信息安全技术大数据安全管理指南
GB/T 37076-2018 信息安全技术指纹识别系统技术要求
GB/T 37090-2018 信息安全技术病毒防治产品安全技术要求和测试评价方法
状态现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行现行
现行
现行现行现行现行现行现行现行现行现行现行现行

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

序号标准号中文名称英文名称发布日期实施日期
1GB/T 19715.1-2005信息技术信息技
术安全管理指南
第1部分：信息技
术安全概念和模型
Informatio
n
technology
-
Guidelines
for the
management
of IT
Security-
Part
1:Concepts
and models
of IT
Security
2005-4-192005-10-1
2GB/T 19715.2-2005信息技术信息技
术安全管理指南
第2部分：管理和
规划信息技术安全
Informatio
n
technology
-
Guidelines
for the
management
of IT
Security-
Part
2:Managing
and
planning
IT
Security
2005-04-
19
2005-10-1
3GB/T 20269-2006信息安全技术信
息系统安全管理要
求
Informatio
n security
technology
Informatio
n system
security
management
requiremen
ts
2006-5-312006-12-1
4GB/T 20282-2006信息安全技术信
息系统安全工程管
理要求
Informatio
n security
technology
-
Informatio
n system
security
engineerin
g
management
requiremen
ts
2006-5-312006-12-1
5GB/T 20984-2007信息安全技术信
息安全风险评估规
范
Informatio
n security
technology
- Risk
assessment
specificat
ion for
informatio
n security
2007-6-142007-11-1
6GB/Z 20985-2007信息技术安全技
术信息安全事件
管理指南
Informatio
n
technology
- Security
techniques
-
Informatio
n security
incident
management
guide
2007-6-142007-11-1
7GB/Z 20986-2007信息安全技术信
息安全事件分类分
级指南
Informatio
n security
technology
-
Guidelines
for the
category
and
classifica
tion of
informatio
n security
incidents
2007-6-142007-11-1
8GB/T 20988-2007信息安全技术信
息系统灾难恢复规
范
Informatio
n security
technology
- Disaster
recovery
specificat
ions for
informatio
n system
2007-6-142007-11-1
9GB/T 22080-2008信息技术安全技
术信息安全管理
体系要求
Informatio
n
technology
- Security
techniques
-
Informatio
n security
management
systems -
Requiremen
ts
2008-6-192008-11-1
10GB/T 22081-2008信息技术信息安
全管理实用规则
Informatio
n
technology
- Security
techniques
- Code of
practice
for
informatio
n security
management
2008-6-192008-11-1
11GB/T 19716-2005信息技术信息安
全管理实用规则
Informatio
n
technology
-Code of
practice
for
informatio
n security
management
2005-4-192005-10-1
标准状态状态说明中标分类专业类型有效L80
有效L80
有效L80
有效L09有效L80有效L80有效L80
有效L80有效L80有效L80
失效已被
GB/T 22081-2008替
换
L80
摘要发布文件备注获取方式GB/T 19715包含IT安全管理的指南。

本部分提出了基本的管理
概念和模型，将这些概念和模型引入IT安全管理是必要的。

在
指南的其余部分还将进一步讨论和开发这些概念和模型以提供
更详细的指南。

为有助于标识和管理IT安全的各个方面可以同
时使用本标准的各部分。

本部分对全面理解本标准的后续各部
分是必需的。

GB/T 19715的本部分提出IT安全管理的一些基本专题以及这些
专题之间的关系。

这些部分对标识和管理IT安全各个方面是有
用的。

熟悉第1部分所介绍的概念和模型对全面理解本部分是重
要的。

该标准依据GB17859-1999《计算机信息系统安全保护等级划分
准则》划分的五个安全保护等级，规定了信息系统安全所需要
的各个安全等级的管理要求。

该标准详细给出了信息系统安全管理要素及其强度，包括
策略和制度、机构和人员管理、风险管理、环境和资源管理、
运行和维护管理、业务连续性管理、监督和检查管理、生存周
期管理；信息系统安全管理分等级的各种要求，它有利于对安
全管理的实施、评估和检查。

标准以附录的形式给出了安全管
理要素及其强度与安全管理分等级要求的对应关系，还给出了
安全管理概念的说明。

该标准适用于相关组织机构（部门）按等级化要求进行的
该标准规定了信息系统安全等级保护工程的管理要求，是对信息系统安全工程中所涉及到的需求方（甲方）、实施方（乙方）与第三方工程实施的指导性文件，各方可以此为依据建立安全工程管理体系。

该标准首先给出了安全工程的目标，然后详细规定了安全管理的资格保证要求；组织保证要求；工程实施要求；项目实施要求；安全管理工程流程与安全工要求；依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级，规定了信息系统安全工程管理的不同要求。

标准以附录的形式给出了安全工程要求与安全保护等级的对应关系，以及安全工程要求与安全工程流程的对应关系。

该标准适用于安全系统的机构和开发商的工程管理，集成商、安全服务的提供商和安全工程的组织方也可参照使用。

本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

本标准适用于规范组织开展的风险评估工作。

本指导性技术文件修改采用ISO/IEC TR 18044:2004《信息技术安全技术信息安全事件管理》。

本指导性技术文件描述了信息安全事件的管理过程。

提供了规划和制定信息安全事件管理策略和方案的指南。

给出了管理信息安全事件和开展后续工作的相关过程和规程。

本指导性技术文件可用于指导信息安全管理者，信息系统、服务和网络管理者对信息安全事件的管理。

本指导性技术文件为信息安全事件的分类分级提供指导，用于信息安全事件的防范与处置，为事前准备、事中应对、事后处理提供一个基础指南，可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。

本标准规定了信息系统灾难恢复应遵循的基本要求。

本标准适用于信息系统灾难恢复的规划、审批、实施和管理。

本标准适用于所有类型的组织（例如，商业企业、政府机构、非盈利组织）。

本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（ISMS）规定了要求。

它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

本标准对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。

本标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并提供组织间交往的信任。

本标准的推荐内容应按照适用的我国法律和法规加以选择和使用。

　本标准对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。

本标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并提供组织间交往的信任。

本标准的推荐内容应按照适用的我国法律和法规加以选择和使用。