信息安全技术标准分类体系研究.doc

信息安全管理体系标准导言随着信息技术的不断发展，信息安全意识逐渐增强。

信息安全管理体系标准是各行业保障信息安全的基础工具。

本文将从信息安全体系的概念、标准的重要性以及一些常见的信息安全管理标准等方面进行探讨。

一、信息安全管理体系概述信息安全管理体系是指为了确保组织内部信息安全，对信息资产进行管理并实施预防、保护、检测和应对威胁的一套规范、控制措施和管理实践。

其中，信息资产是指组织对信息的保护和利用的需求。

二、信息安全管理体系标准的重要性信息安全管理体系标准的制定和实施对于保护信息资产、预防信息安全事件的发生具有重要意义。

以下是几个典型的信息安全管理体系标准：1. ISO/IEC 27001：ISO/IEC 27001是一项国际标准，为组织提供了建立、实施、维护和持续改进信息安全管理体系的要求。

其适用范围包括所有类型和规模的组织。

2. NIST SP 800-53：美国国家标准与技术研究院信息安全框架NIST SP 800-53是美国国家标准与技术研究院发布的一项信息安全框架，为政府和私营部门提供了推荐的安全控制措施。

3. PCI DSS：支付卡行业数据安全标准PCI DSS是针对支付卡行业制定的一套数据安全标准，要求所有接触支付卡信息的实体保护客户的支付卡数据。

4. GDPR：通用数据保护条例GDPR是欧盟制定的一项通用数据保护条例，要求保护个人数据的隐私权、加强个人数据的控制和安全保障。

三、信息安全管理体系标准的实施步骤1. 初步评估与规划在实施信息安全管理体系标准之前，组织需要对现有的信息安全状态进行评估，并制定详细的实施计划和目标。

2. 制定政策与流程根据信息安全管理体系标准的要求，制定组织的信息安全政策和相关的流程，确保信息资产得到适当的保护和管理。

3. 风险评估与控制进行全面的风险评估，确定可能存在的威胁和漏洞，并采取相应的控制措施，减少威胁发生的可能性。

4. 实施与运营按照制定的政策和流程，组织进行信息安全管理体系的实施，并持续监测和改进。

1、前言为了更好地保障我国的信息安全，中央办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。

27号文明确了加强信息安全保障工作的总体要求和主要原则，对加强信息安全保障工作做出了全面部署，提出了5年内建成国家信息安全保障体系IA(Information Assurance)的构想。

目前，关系国家安全、经济命脉和社会稳定等方面的3大基础信息网络(电信网络、广电网络和互联蜘络)和8个重要信息系统行业(金融、电信、证券、保险、民航、铁路、税收和海关)的信息安全保障系统逐渐建成，并投入使用。

信息化是信息技术系统与社会系统相互作用、紧密耦合，且有大量人的行为参与其中的综合发展进程。

然而安全因素和系统因素相互制约，使得信息安全具有很大的综合性、复杂性和不确定性。

同时，信息安全保障会伴随信息化的发展而不断变化。

为了保证国家基础网络设施和重要信息系统等关键部门所建设的信息安全保障体系的长效机制，迫切需要针对不同重要行业、业务系统研究建立科学的、可度量的，可操作的信息安令保障评价指标体系(Indicator)，对其信息安全保障的整体状态进行科学的、客观的评价与描述，从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。

闪此。

信息安全保障评价指标体系就是用一组科学的、可度量的指标作对信息安全保障系统的保障功能、保障效果和保障周期进行综合的考核和评价。

2、相关工作现有的安全评估方式可以大致归结为4类：安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSECMM(Systems Security Engineering Capability Maturity Model)等。

大部分通用的信息安全标准，如ISO17799，ISO13335等，其核心思想都是基于风险的安全理念。

信息技术先进的国家，例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。

专家视点编辑：胡欣Expert Viewpoint专家视点Expert Viewpoint应用与检测类标准等。

2.2 鉴别与授权相关标准鉴别与授权领域国家标准的研制工作由全国信安标委鉴别与授权标准工作组(WG4)负责。

截至2020年12月，共发布密码领域国家标准63项，主要包括授权类标准、鉴别类标准、凭证与核验类标准、标识类标准、集成应用与身份管理类标准等。

2.3 信息安全评估相关标准信息安全评估国家标准的研制工作由全国信安标委信息安全评估标准工作组(WG5)负责。

截至2020年12月，共发布信息安全评估相关国家标准112项，主要包括系统类标准、产品类标准、服务类标准等。

2.4通信安全相关标准通信安全领域国家标准的研制工作由全国信安标委通信安全标准工作组(WG6)负责。

截至2020年12月，共发布通信安全领域国家标准22项，主要包括基础技术类标准、基础网络类标准、业务网络与应用类标准、终端安全类标准、安全管理类标准等。

2.5 信息安全管理相关标准信息安全管理领域国家标准的研制工作由全国信安标委信息安全管理标准工作组(WG7)负责。

截至2020年12月，共发布信息安全管理领域国家标准66项，主要包括信息安全管理体系类标准、管理支撑技术类标准、政府监管类标准等。

2.6 大数据安全相关标准大数据安全国家标准的研制工作由全国信安标委大数据安全标准特别工作组(SWG-BDS)负责。

截至2020年12月，共发布大数据安全类标准、个人信息保护类标准、云计算安全类标准、智慧城市安全类标准等共20项。

综合来看，我国网络安全国家标准研制工作取得了阶段性进展，这些标准成果为我国网络安全保障体系与保障能力建设提供了技术依据，在支撑国家网络安全法律法规与网络安全重点工作落地实施、推动信息技术产业发展等方面发挥着基础性、规范性和引领性作用。

3 网络安全国家标准关联分析模型随着信息技术的飞速发展，网络安全标准化范畴正在不断扩大。

全国信息安全标准化技术委员会关于印发《全国信息安全标准化技术委员会工作组章程》的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2017.02.03•【文号】信安字〔2017〕002号•【施行日期】2017.02.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文关于印发《全国信息安全标准化技术委员会工作组章程》的通知信安字〔2017〕002号各位委员、秘书处、各工作组、各成员单位：为加强对全国信息安全标准化技术委员会工作组的管理，规范工作组工作及相关活动，全国信息安全标准化技术委员会修订了《全国信息安全标准化技术委员会工作组章程》，现印发给你们，请认真遵照执行。

附件：全国信息安全标准化技术委员会工作组章程全国信息安全标准化技术委员会二〇一七年二月三日全国信息安全标准化技术委员会工作组章程（2017年2月3日）第一章总则第一条为加强全国信息安全标准化技术委员会（以下简称“信安标委”）工作组的管理，规范工作组工作及相关活动，根据《全国信息安全标准化技术委员会章程》的有关规定制定本章程。

第二条本章程适用于信安标委下设的工作组（WG）和特别工作组（SWG）。

第三条工作组的设立、调整或撤消，由信安标委秘书处（以下简称“秘书处”）提出建议，报请信安标委主任办公会审议批准。

第二章工作组组成第四条工作组设组长一名，全面负责工作组工作。

工作组组长由秘书处提名，经信安标委主任办公会审议任命。

工作组可设副组长，协助组长开展工作。

副组长由组长提名，经主任委员批准任命。

秘书处指派联络员，负责与工作组对口联络。

第五条工作组可设秘书，按组长要求组织和落实工作组相关工作，包括标准项目管理和推进、会议组织、文档管理、工作组成员管理等。

第六条组长、副组长应具备的基本条件：1. 遵守国家法律法规的中国公民；2. 愿意为国家网络安全标准化事业做出贡献，具有较强的技术研究能力或丰富的标准化工作经验，并具备较强的组织协调能力；3. 工作认真负责，公平公正，作风民主；4. 具有相关工作基础和支撑其开展工作的条件。

信息安全技术体系信息安全技术体系是指由各种技术、机制和措施组成的一套系统化的安全保护体系，用于保护信息系统及其所涉及的信息免受恶意攻击、非法访问和数据泄露等威胁。

该体系的目标是确保信息的机密性、完整性和可用性，保障信息系统的正常运行和业务的持续发展。

本文将从理论研究、技术框架和实施策略三个方面阐述信息安全技术体系的相关内容。

一、理论研究信息安全技术体系的建立离不开理论研究的支撑。

在信息安全领域，密码学、安全协议、访问控制等方向的研究是非常重要的。

密码学作为信息安全的基石，研究如何利用密码算法进行数据加密和解密，以确保信息的机密性。

安全协议的研究则关注信息通信过程中的安全性，通过设计合理的协议确保信息的传输过程不受攻击者的干扰。

访问控制的研究则是为了确保只有授权用户能够访问系统资源，防止非法访问和滥用权限。

二、技术框架构建信息安全技术体系需要建立一套完备的技术框架，以实现信息系统全生命周期的安全保护。

在技术框架层面，可以从安全策略制定、安全风险评估、安全设计和安全管理等方面来进行论述。

首先，安全策略制定是制定信息安全运行和管理的总体指导方针和安全策略规划，包括信息安全目标的设定和资源分配等。

其次，安全风险评估是对信息系统中可能存在的各类安全威胁进行分析和评估，以确定安全漏洞和短板，并制定相应的风险应对和防护策略。

然后，安全设计是建立在安全策略和风险评估的基础上，通过采用合适的安全技术和机制，对信息系统进行设计和实施安全控制，以达到信息安全的要求。

最后，安全管理是对信息系统的安全性能和运行状态进行监控和管理，包括安全事件的处理、安全策略的更新和安全培训等。

三、实施策略信息安全技术体系的实施需要制定一系列的实施策略和措施，以确保技术的有效应用和系统的稳定运行。

实施策略主要包括人员培训、技术规范、安全审计和应急响应等方面。

首先，人员培训是提高信息安全意识和能力的重要手段，培训系统管理员、安全人员和普通用户等不同层次的人员，使其掌握信息安全基本知识和实际操作技能，成为信息安全的守护者。

全国信安标委秘书处 上官晓丽国家信息安全等级保护安全建设工程师培训二○一五年十一月一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准（ standard ）”定义：为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。

理解：1）制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。

2）标准是共同使用和重复使用的一种规范性文件。

3）制定标准的对象是“活动或其结果”。

4）标准产生的基础是“科学、技术和经验的综合成果”。

5）标准需经过有关方面协商一致。

6）标准需经“公认机构”的批准。

基本概念——“标准化（ standardization ）”定义：为了在既定范围内获得最佳秩序，促进共同效益，对现实问题或潜在问题确立共同使用和重复使用的条款，编制、发布和应用文件的活动。

注1：标准化活动确立的条款，可形成标准化文件，包括标准和其他标准化文件。

注2：标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性，促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪（一）中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

（二）2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求：“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，“要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准衔接的中国特色的信息安全标准体系。

要重视信息安全标准的贯彻实施，充分发挥其基础性、规范性作用”。

信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》，结合国家信息安全等级保护标准，对信息系统按照其承载信息的重要性和保密等级，划分为不同的安全等级，并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。

信息系统安全等级保护标准体系的建立和实施，对于保障国家重要信息基础设施和关键信息系统的安全运行，维护国家安全和社会稳定，具有重要意义。

首先，信息系统安全等级保护标准体系的建立，能够有力地提高国家信息系统的整体安全水平。

通过对信息系统进行安全等级划分和分类管理，可以根据信息系统承载的信息重要性和保密等级，有针对性地制定相应的安全保护要求和措施，从而有效地提高信息系统的安全性和可靠性。

其次，信息系统安全等级保护标准体系的建立，有利于加强对关键信息基础设施和关键信息系统的保护。

针对国家重要信息基础设施和关键信息系统，可以通过严格的安全等级划分和保护要求，加强对其安全运行的监测和管理，有效地防范和应对各类网络安全威胁和风险，确保其安全稳定运行。

此外，信息系统安全等级保护标准体系的建立，有助于促进信息系统安全保护工作的规范化和标准化。

通过统一的安全等级划分标准和保护要求，可以使各类信息系统的安全保护工作更加规范和标准化，为相关安全管理和技术人员提供明确的指导和依据，提高安全管理工作的科学性和有效性。

总的来说，信息系统安全等级保护标准体系的建立和实施，对于提高信息系统整体安全水平，加强关键信息基础设施和关键信息系统的保护，促进安全保护工作的规范化和标准化，都具有重要意义和价值。

希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施，切实加强对信息系统安全的管理和保护，共同维护国家信息安全和社会稳定。

一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准（ s tandard ）”定义：为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。

理解：1）制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。

2）标准是共同使用和重复使用的一种规范性文件。

3）制定标准的对象是“活动或其结果”。

4）标准产生的基础是“科学、技术和经验的综合成果”。

5）标准需经过有关方面协商一致。

6）标准需经“公认机构”的批准。

基本概念——“标准化（ s tandardization ）”定义：为了在既定范围内获得最佳秩序，促进共同效益，对现实问题或潜在问题确立共同使用和重复使用的条款，编制、发布和应用文件的活动。

注1：标准化活动确立的条款，可形成标准化文件，包括标准和其他标准化文件。

注2：标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性，促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪（一）中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

（二）2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求：“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，“要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准衔接的中国特色的信息安全标准体系。

要重视信息安全标准的贯彻实施，充分发挥其基础性、规范性作用”。

与27号文件相关的如66号等文件中进一步提出，信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。