【正文】 狀況和研制計(jì)劃的基礎(chǔ)上， WG3將下列 3個(gè)方面作為近期工作新領(lǐng)域： 密碼模塊確認(rèn) /認(rèn)證方法； 加密協(xié)議的驗(yàn)證； 評(píng)價(jià)證據(jù)的產(chǎn)生指南。 WG3已經(jīng)開始提前著手修訂 CC2023和 CEM2023。 ISO 15408:2023和 ISO 8045:2023已經(jīng)開始著手修訂，預(yù)計(jì)今年 11月份形成 CD。可以預(yù)見的 CC的廣泛的國(guó)際互認(rèn)應(yīng)該還有很長(zhǎng)的路要走。來(lái)自英國(guó)、美國(guó)、瑞典、日本和中國(guó)等 20個(gè)國(guó)家和地區(qū)的 40余名代表出席了該會(huì)議。目前， ISO/IEC 27011《電信信息安全管理指南》 已被確定為新工作項(xiàng)目?！钡凸募用堋笔怯?SC27的上級(jí)機(jī)構(gòu) ─JTC1 直接下達(dá)的研究任務(wù)，反映了國(guó)際上對(duì)移動(dòng)和嵌入式計(jì)算環(huán)境下加密技術(shù)的高度關(guān)注。再綜合 WG2更名為”密碼與安全機(jī)制工作組”、《密碼模塊安全技術(shù)要求》標(biāo)準(zhǔn)的發(fā)布以及《密碼模塊測(cè)試要求》等項(xiàng)目的確立這些情況，可以看出SC27正在逐步加大密碼技術(shù)標(biāo)準(zhǔn)的研究與制定工作。 《 IT 安全保障框架》 《 IT安全評(píng)估準(zhǔn)則》 《安全目標(biāo)和保護(hù)輪廓產(chǎn)生指南》 《安全評(píng)估方法》 《運(yùn)行系統(tǒng)安全評(píng)估》 WG4 ?（ 1） WG4安全控制與服務(wù)工作組是 2023年創(chuàng)立的新工作組，去年秋天召開第一次會(huì)議，其主要關(guān)注點(diǎn)在信息和通訊技術(shù)的安全，標(biāo)準(zhǔn)項(xiàng)目包括ISO/IEC 18028 系列網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、 ISO/IEC 18043《選擇、部署和運(yùn)行入侵檢測(cè)系統(tǒng) (IDS)》、 ISO/IEC 18044《信息安全事件管理》、ISO/IEC24762《信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南》。 WG5 ?（ 1） 主要討論標(biāo)準(zhǔn)研究項(xiàng)目編輯組起草的文件，以及對(duì)有關(guān)文件征求各國(guó)意見和處理，還討論形成了 WG5的路線圖。但這些問(wèn)題也都是世界各國(guó)和業(yè)界關(guān)注的重要問(wèn)題，身份管理和隱私保護(hù)相關(guān)標(biāo)準(zhǔn)可能將會(huì)成為新的熱點(diǎn)領(lǐng)域。 2023年 ISO/IEC JTC1/SC27（信息技術(shù)安全技術(shù)）工作組會(huì)議將于 10月在塞浦路斯舉行。 為滿足我國(guó)正在進(jìn)行的信息系統(tǒng)等級(jí)保護(hù)試點(diǎn)和推廣工作的需求，重點(diǎn)開展包括信息安全等級(jí)保護(hù)模型、基本要求、定級(jí)指南、實(shí)施指南、基本配置、技術(shù)要求、管理要求、工程管理、產(chǎn)品分級(jí)使用等相關(guān)標(biāo)準(zhǔn)的研究制定。 , February 11, 2023 雨中黃葉樹，燈下白頭人。 :46:2401:46:24February 11, 2023 1他鄉(xiāng)生白發(fā)，舊國(guó)見青山。 2023年 2月 11日星期六 1時(shí) 46分 24秒 01:46:2411 February 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 :46:2401:46Feb2311Feb23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 。 , February 11, 2023 閱讀一切好書如同和過(guò)去最杰出的人談話。勝人者有力，自勝者強(qiáng)。 2023年 2月 11日星期六 1時(shí) 46分 24秒 01:46:2411 February 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 2023年 2月 11日星期六 上午 1時(shí) 46分 24秒 01:46: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 :46:2401:46Feb2311Feb23 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 2023年 2月 11日星期六 1時(shí) 46分 24秒 01:46:2411 February 2023 1空山新雨后，天氣晚來(lái)秋。 :46:2401:46:24February 11, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 , February 11, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 。 :46:2401:46Feb2311Feb23 1故人江海別，幾度隔山川。 （ 2） 國(guó)際標(biāo)準(zhǔn)引入速度滯后 。 我國(guó)信息安全標(biāo)準(zhǔn)化”十二五”工作重點(diǎn) 主要包括以下幾個(gè)方面： （ 1） 信息安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)； （ 2） 涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)； （ 3） 密碼技術(shù)和網(wǎng)絡(luò)信任體系標(biāo)準(zhǔn)； （ 4） 電子政務(wù)信息安全標(biāo)準(zhǔn)； （ 5） 電子商務(wù)信息安全標(biāo)準(zhǔn)； （ 6） 信息安全管理體系標(biāo)準(zhǔn) （ 7） 信息安全政府監(jiān)管有關(guān)標(biāo)準(zhǔn) （ 8） 信息安全應(yīng)急與備份有關(guān)標(biāo)準(zhǔn) （ 9） 信息安全服務(wù)管理標(biāo)準(zhǔn) （ 10） 信息安全測(cè)評(píng)標(biāo)準(zhǔn) （ 11） 可信計(jì)算技術(shù)標(biāo)準(zhǔn) （ 12） 信息安全保障指標(biāo)與評(píng)價(jià)體系 主要開展防火墻類、入侵檢測(cè)類、防病毒類、安全網(wǎng)關(guān)類、安全終端類、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券系統(tǒng)、工業(yè)控制系統(tǒng)等產(chǎn)品和系統(tǒng)的安全測(cè)評(píng)標(biāo)準(zhǔn)的研究制定，并加強(qiáng)對(duì) GB17859與 GB/T18336相關(guān)基礎(chǔ)測(cè)評(píng)標(biāo)準(zhǔn)的研究，以便協(xié)調(diào)一致。盡管與會(huì)各國(guó)對(duì)有些標(biāo) 準(zhǔn)的看法和認(rèn)識(shí)并不統(tǒng)一，有些意見分歧還很大，但這些標(biāo)準(zhǔn)也都是世界各 國(guó)和業(yè)界關(guān)注的重要標(biāo)準(zhǔn)，可能會(huì)成為新的熱點(diǎn)領(lǐng)域。由于個(gè)人隱私保護(hù)和身份管理等不僅僅是技術(shù)問(wèn)題，還涉及很多社會(huì)問(wèn)題，目前關(guān)于身份管理和隱私保護(hù)標(biāo)準(zhǔn)各國(guó)代表的看法和認(rèn)識(shí)并不統(tǒng)一，有些意見分歧還很大。 ?（ 2） WG4負(fù)責(zé)的標(biāo)準(zhǔn)和項(xiàng)目正在整合之中，這次會(huì)議已經(jīng)取得了一些初步的共識(shí)，將標(biāo)準(zhǔn)按大類整合，形成幾個(gè)比較系統(tǒng)的標(biāo)準(zhǔn)。 ?（ 2） 在工作組路線圖中除了目前正在研究的 ISO/IEC15408《 IT安全評(píng)估 準(zhǔn)則》、 ISO/IEC 15443《 IT 安全保障框架》、 ISO/IEC 15446《安全目標(biāo) 和保護(hù)輪廓產(chǎn)生指南》、 ISO/IEC 18045《安全評(píng)估方法》、 ISO/IEC 19790 《密碼模塊安全要求》、 ISO/IEC 24759《密碼模塊測(cè)試要求》、 ISO/IEC 19791《運(yùn)行系統(tǒng)安全評(píng)估》、 ISO/IEC19792《生物特征識(shí)別技術(shù)安全測(cè)試 評(píng)估框架》和 ISO/IEC21827《系統(tǒng)安全工程 能力成熟度模型》等標(biāo)準(zhǔn)項(xiàng)目 外，還提出了擬新增加《密碼協(xié)議驗(yàn)證》、《評(píng)估證據(jù)產(chǎn)生指南》、《合格 評(píng)定要求的融合》、《安全系統(tǒng)設(shè)計(jì)》、《篡改保護(hù)要求與評(píng)估》等研究領(lǐng) 域。受中國(guó)提案的影響， WG2提出今后要將”多元實(shí)體鑒別”相關(guān)標(biāo)準(zhǔn)列入今后的路線圖中。 本次會(huì)議主要內(nèi)容包括四個(gè)方面： ① 標(biāo)準(zhǔn)的例行編制工作； ② 可能影響國(guó)際標(biāo)準(zhǔn)的新情況討論； ③ 新項(xiàng)目討論 ④ 討論 SC27/WG2路線圖。 ?（ 1） WG1在 2023年 11月第 33屆會(huì)議上啟動(dòng)了 ISMS審核指南的研究項(xiàng)目， 在相關(guān)意見和提案的基礎(chǔ)上，審核指南是繼 ISMS要求標(biāo)準(zhǔn) (ISO/IEC27001)之 后的重要標(biāo)準(zhǔn)之一，預(yù)計(jì)未來(lái)幾年內(nèi)將成為 WG1討論的重點(diǎn)。 WG3決定啟動(dòng)一個(gè)為期 6個(gè) 月的工作組研究課題，專門研究生物特征識(shí)別技術(shù)的評(píng)價(jià)方法； WG2完成了 一個(gè)使用生物特征識(shí)別技術(shù)產(chǎn)生數(shù)字簽名的研究課題，同時(shí)啟動(dòng)了一個(gè)與生 物特征識(shí)別數(shù)據(jù)鑒別有關(guān)的標(biāo)準(zhǔn)研究課題。對(duì)于 CC互認(rèn)問(wèn)題， WG3在馬來(lái)西亞會(huì)議上提議撤銷 PP注冊(cè)程序。爭(zhēng)論集中在 CC的第 2部分和第 3部分 (低等級(jí)保護(hù)的表述問(wèn)題）。 ?（ 3） CC仍然是國(guó)際上產(chǎn)品測(cè)試與認(rèn)證的主要依據(jù)，這次會(huì)議仍然致力于CC的推廣、進(jìn)一步擴(kuò)大國(guó)際互認(rèn)。 2023年 JTC1/SC27會(huì)議信息安全標(biāo)準(zhǔn)熱點(diǎn)跟蹤 WG3 本次 WG3會(huì)議熱點(diǎn)問(wèn)題仍然是與產(chǎn)品有關(guān)的安全評(píng)估標(biāo)準(zhǔn)，通用準(zhǔn)則 (CC) 標(biāo)準(zhǔn)的發(fā)展問(wèn)題是本次 WG3會(huì)議的討論重點(diǎn)。 WG1 ?（ 1） WG1工作組會(huì)議對(duì) WG1和 WG4標(biāo)準(zhǔn)項(xiàng)目的預(yù)留編號(hào)范圍進(jìn)行了初步劃定：27000～ 27009留予 WG1的 ISMS標(biāo)準(zhǔn)族， 27010～ 27019留予 ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔， 27030～ 27039則為 WG4安全服務(wù)系列標(biāo)準(zhǔn)編號(hào) ； ?（ 2） 根據(jù) SC27第 17次全體會(huì)議決議， ISO/IEC JTC1/SC27要求其秘書處確認(rèn)當(dāng)前標(biāo)準(zhǔn) ISO/IEC 17799將在 2023年 4月重新編號(hào)為 ISO/IEC 27002。 CobiT是一個(gè)在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的 IT治理模型。 BS15000 有兩個(gè)部分，目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。 ITIL和 BS15000 ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ Information Technology Infrastructure Library）。而SSECMM 則是一個(gè)評(píng)估標(biāo)準(zhǔn)， 適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn) 通用標(biāo)準(zhǔn) CC(ISO/IEC 15408) 我們通常所稱的通用標(biāo)準(zhǔn)或通用準(zhǔn)則（ Common Criteria，簡(jiǎn)稱 CC）是指 ISO/IEC15408:1999標(biāo)準(zhǔn)。 SSECMM SSECMM (System Security Engineering Capability Maturity Model)模型是 CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局 (NSA)領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。ISO/IEC 17799:2023 通過(guò)層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等 11個(gè)安全管理要素，還有 39個(gè)主要執(zhí)行目標(biāo)和 133個(gè)具體控制措施（最佳實(shí)踐），供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。 我國(guó)信息安全標(biāo)準(zhǔn)體系 我國(guó)信息安全標(biāo)準(zhǔn)體系 信息安全測(cè)評(píng)標(biāo)準(zhǔn) ： 信息安全測(cè)評(píng)標(biāo)準(zhǔn)包括測(cè)評(píng)基礎(chǔ)標(biāo)準(zhǔn)、產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)和系統(tǒng)測(cè)評(píng)標(biāo)準(zhǔn)， 信息安全測(cè)評(píng)標(biāo)準(zhǔn)體系框架如圖 。 ?（ 1）美國(guó)的體系結(jié)構(gòu) 3. 信息安全標(biāo)準(zhǔn)體系 WG1 需求安全服務(wù)與指南標(biāo)準(zhǔn) （ 22項(xiàng) ） WG2 安全技術(shù)和機(jī)制標(biāo)準(zhǔn) （ 45項(xiàng) ） WG3 系統(tǒng)和產(chǎn)品安全評(píng)估與認(rèn)證標(biāo)準(zhǔn) （ 15項(xiàng) ） I S O JTC/SC27 ISOJTC/SC27 （ 2） ISO標(biāo)準(zhǔn)體系結(jié)構(gòu) （截止到 2023年底） 3. 信息安全標(biāo)準(zhǔn)體系 實(shí)體安全（ A） 環(huán)境安全（ A10） 設(shè)備安全（ A20） 媒體安全（ A30） 運(yùn)行安全（ B） 風(fēng)險(xiǎn)分析（ B10） 審計(jì)跟蹤（ B20） 備份與恢復(fù)（ B30） 應(yīng)急（ B40） 應(yīng)急計(jì)劃輔助軟件（ B41） 應(yīng)急設(shè)施（ B42） 信息安全（ C） 操作系統(tǒng)安全（ C10） 安全操作系統(tǒng)（ C11） 操作系統(tǒng)安全部件（ C12） 數(shù)據(jù)庫(kù)安全（ C20） 安全數(shù)據(jù)庫(kù)系統(tǒng)（ C21） 數(shù)據(jù)庫(kù)系統(tǒng)安全部件（ C22） 網(wǎng)絡(luò)安全（ C30） 網(wǎng)絡(luò)安全管理（ C31） 安全網(wǎng)絡(luò)系統(tǒng)（ C32） 網(wǎng)絡(luò)系統(tǒng)安全部件（ C33） （ 3） GA1631997關(guān)于計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 3. 信息安全標(biāo)準(zhǔn)體系 （ 4）一種信息安全產(chǎn)品與標(biāo)準(zhǔn)體系結(jié)構(gòu)草案 網(wǎng)絡(luò)通信安全類 內(nèi)容安全類 身份鑒別類 基礎(chǔ)平臺(tái)與中間 應(yīng)用安全類 惡意代碼防治類 監(jiān)控與審計(jì)類 密碼基礎(chǔ)類 安全隔離類 1密碼設(shè)備類 數(shù)據(jù)安全類 1密碼模塊類 3. 信息安全標(biāo)準(zhǔn)體系 （ 5）一種基于