【正文】 知識域 ：信息安全標準化 組織 ?知識 子域：國際信息安全標準化組織 ? 了解 國際信息安全標準化組織及其工作 ?知識 子域：國外信息安全標準化組織 ? 了解 國外典型信息安全標準化組織及其工作 ?知識 子域：我國信息安全標準化組織 ? 了解 我國信息安全標準化組織及其工作 78 國際 主要 的信息安全標準化組織 ? 國際標準化組織（ ISO） ? International Organization for Standardization ? 成立 于 1947年， 是 最大 的非政府性標準化專門機構 ? 國際電工委員會（ IEC） ? International Electrotechnical Commission ? 成立于 1906年 ， 是成立最早的國際標準化機構 ?Inter工程任務組（ IETF） ? InterEngineering Task Force ? 成立于 1986 年 ，以 RFC文件 形式發(fā)布標準規(guī)范 ?ISO/IEC JTC1 SC27 ? ISO和 IEC聯(lián)合 技術 委員會 信息 安全標準化的分技術委員會 ? 國際電信 聯(lián)盟（ ITU）及 國際電信聯(lián)盟遠程通信標準化 組織 （ ITUT） 79 國際信息安全標準化組織 ?ISO/IEC JTC1 SC27 ? 信息技術 安全技術 信息安全管理體系工作組 密碼與安全機制工作組 安全評估準則工作組 安全控制與服務工作組 身份管理與隱私技術工作組 80 美國標準化組織 ? ANSI ? 美國國家標準協(xié)會（ American National Standards Institute） ? 分技術委員會 T4負責 IT安全技術標準化工作，對口 JTC1的 SC27 ? X9 制定金融業(yè)務標準、 X12 制定商業(yè)交易標準 (EDI) ? NIST ? 美國國家標準與技術 研究院（ National Institute of Standards and Technology） ? 負責聯(lián)邦政府非密敏感信息 ? FIPS ? IEEE ? 美國電氣和電子工程師協(xié)會（ Institute of Electrical and Electronics Engineers） ? P1363 81 其他 區(qū)域性 信息安全標準化組織 ?ECMA ? 歐洲計算機制造聯(lián)合會 （ European Computer Manufacturers Association） ? 由主流廠商 組成 ? 研究 信息和通訊技術方面的標準并發(fā)布有關技術 報告 ?ETSI ? 歐洲電信標準協(xié)會（ European Telemunications Standards Institute，） ? 非贏利性的電信標準化組織 ?ASTAP ? 亞太地區(qū)電信標準化機構（ AsiaPacific Telemunity Standardization Program） ? 該 組織和 ETSI與 ITU、 ISO和 IEC等標準化組織協(xié)調合作，推動全世界的標準化活動 82 我國標準化組織 ? 中國國家標準化管理 委員會 ? 是 我國最高級別的國家標準機構 ? 全國信息安全標準化技術 委員會（ TC260) ? 1984年，成立數(shù)據(jù)加密技術分委員，后來改為信息技術安全分技術委員會 ? 2023年 4月 ，為加強信息安全標準的協(xié)調工作，國家標準委決定成立 全國信息安全標準化技術委員會（信安標委， TC260） ，由國家標準委直接領導，對口 ISO/IEC JTC1 SC27 ? 國家標準化管理委員會 高 新函 [2023]1號文 決定：自 2023年 1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經信息安全標委會提出工作意見，協(xié)調一致后由信息安全標委會組織申報；在國家標準制定過程中，標準工作組或主要起草單位要與信息安全標委會積極合作，并由信息安全標委會完成國家標準送審、報批 工作 83 全國信息安全標準化技術委員會 ?TC260 ? 信息 安全標準體系與協(xié)調工作組（ WGl） ? 涉 密信息系統(tǒng)安全保密工作組（ WG2） ? 密碼 技術工作組（ WG3） ? 鑒別 與授權工作組（ WG4） ? 信息 安全評估工作組（ WG5） ? 通信 安全標準工作組（ WG6） ? 信息 安全管理工作組（ WG7） 84 知識域 ：信息安全標準體系 ?知識 子域：我國信息 安全標準 體系 ? 了解我國信息安全標準體系框架 ?知識子域：信息安全等級保護標準體系 ? 理解信息安全等級保護標準體系 ? 理解在信息安全等級保護建設的各階段應遵循的標準 ?知識子域：國際信息安全標準體系 ? 了解國際信息安全標準體系框架 85 信息 安全標準體系 ?信 息安全標準體系 ? 是由信息安全領域內具有內在聯(lián)系的標準組成的科學有機整體 ? 是編制信息安全標準制訂 /修訂計劃的重要依據(jù) ? 是促進信息安全領域內的標準組成趨向科學化 、 合理化的手段 ? 是一幅現(xiàn)有、應有和預計制定的信息安全標準的藍圖，并隨著科學技術的發(fā)展不斷地完善和更新 86 我國信息安全標準體系 87 信息安全等級保護標準體系 88 信息安全等級保護 十大標準 ?基礎類 ? 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 GB 178591999 ? 《 信息系統(tǒng)安全等級保護實施指南 》 GB/T 250582023 ? 應用類 89 ? 《 信息系統(tǒng)安全保護等級定級指南 》 GB/T 222402023 定級階段 ? 《 信息系統(tǒng)安全等級保護基本要求 》 GB/T 222392023 ? 《 信息系統(tǒng)通用安全技術要求 》 GB/T 202712023 ? 《 信息系統(tǒng)等級保護安全設計技術要求 》 GB/T 250702023 建設 /整改階段 ? 《 信息系統(tǒng)安全等級保護測評要求 》 GB/T 284482023 ? 《 信息系統(tǒng)安全等級保護測評過程指南 》 GB/T 284492023 測評階段 ? 《 信息系統(tǒng)安全管理要求 》 GB/T 202692023 ? 《 信息系統(tǒng)安全工程管理要求 》 GB/T 202822023 管理 其它相關標準 90 ?技術類 ? GB/T 210522023 信息安全技術 信息系統(tǒng)物理安全技術要求 ? GB/T 202702023 信息安全技術 網絡基礎安全技術要求 ? GB/T 202722023 信息安全技術 操作系統(tǒng)安全技術要求 ? GB/T 202732023 信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求 ? 其他信息產品、信息安全產品相關標準 ... ?其他類 ? GB/T 209842023 信息安全技術 信息安全風險評估規(guī)范 ? GB/Z 243642023信息安全技術 信息安全風險管理指南 ? GB/T 243632023信息安全技術 信息安全應急響應計劃規(guī) 范 ? GB/Z 202852023 信息安全技術 信息安全事件管理指南 ? GB/Z 209862023 信息安全技術 信息安全事件分類分級指南 ? GB/T 209882023 信息安全技術 信息系統(tǒng)災難恢復規(guī)范 系統(tǒng)服務安全等級 定級指南－－ GB/T 222402023 保護對象受到破壞時受侵害的客體 對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 等級保護定級方法 保護對象 對客體的侵害程度 客體 ： 社 會關系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務安全 業(yè)務信息安全 綜合評定對客體的侵害程度 確定業(yè)務信息安全受到破壞時所侵害的客體 綜合評定對客體的侵害程度 確定系統(tǒng)服務安全受到破壞時所侵害的客體 業(yè)務信息安全等級 定級對象的安全保護等級 8＝ MAX（ 4， 7） 確定定級對象 （系統(tǒng)邊界） 一般流程 等級確定 91 控制點 控制項 安全要求類 層面 一級 二級 三級 四級 一級 二級 三級 四級 技術要求 物理安全 7 10 10 10 9 19 32 33 網絡安全 3 6 7 7 9 18 33 32 主機安全 4 6 7 9 6 19 32 36 應用安全 4 7 9 11 7 19 31 36 數(shù)據(jù)安全及備份恢復 2 3 3 3 2 4 8 11 管理要求 安全管理制度 2 3 3 3 3 7 11 14 安全管理機構 4 5 5 5 4 9 20 20 人員安全管理 4 5 5 5 7 11 16 18 系統(tǒng)建設管理 9 9 11 11 20 28 45 48 系統(tǒng)運維管理 9 12 13 13 18 41 62 70 合計 / 48 66 73 77 85 175 290 318 級差 / / 18 7 4 / 90 115 28 基本要求－－ GB/T 222392023 92 實施指南－－ GB/T 250582023 等級變更 局部調整 信息系統(tǒng)定級 總體安全規(guī)劃 安全設計與實施 安全運行維護 信息系統(tǒng)終止 國家管理部門（ 4家） 信息系統(tǒng)主管部門 信息系統(tǒng)運營、使用單位 信息安全服務機構 信息安全等級測評機構 信息安全產品供應商 93 測評要求 GB/T 284482023 測評強度 信息系統(tǒng)安全等級 第一級 第二級 第三級 第四級 訪談 廣度 種類和數(shù)量上抽樣，種類和數(shù)量都較少 種類和數(shù)量上抽樣，種類和數(shù)量都較多 數(shù)量上抽樣，基本覆蓋 數(shù)量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 檢查 廣度 種類和數(shù)量上抽樣，種類和數(shù)量都較少 種類和數(shù)量上抽樣，種類和數(shù)量都較多 數(shù)量上抽樣，基本覆蓋 數(shù)量上抽樣，基本覆蓋 深度 簡要 充分 較全面 全面 測試 廣度 種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較少，范圍小 種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多 ,范圍大 數(shù)量、范圍上抽樣，基本覆蓋 數(shù)量、范圍上抽樣，基本覆蓋 深度 功能測試 /性能測試 功能測試 /性能測試 功能測試 /性能測試，滲透測試 功能測試 /性能測試，滲透測試 94 測評過程指南 GB/T 284492023 方案編制 測評準備 分析與報告編制 現(xiàn)場測評 項目啟動、信息收集和分析、工具和表單準備 測評對象確定、測評指標確定、測試工具接入點確定、測評內容確定、測評實施手冊開發(fā)、測評方案編制 現(xiàn)場測評準備（一般包括：訪談、文檔審查、配置檢查、工具測試和實地察看）、現(xiàn)場測評和結果記錄、結果確認和資料歸還 單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成、測評報告編制 95 文檔 RR 國際信息安全標準體系框架 96 國際信息安全標準體系 信 息安全管理體系標準 密碼技術與安全機 制 標準 安全評價準則 標準 安全控制與服 務 標準 身份管理與隱私保護技 術 標準 詞 匯標準 要求標準 指南標準 相關標準 為實現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機制標準 安全評價標準 安全功能和保證規(guī)范 針對潛在 /顯現(xiàn)信息安全問題 的標準 針對 已知 信息安全問題的標準 針對信息安全違反和損害 的標準 身份管理相關標準 生物識別相關標準 隱私保護相關標準 ISO 27000 ISO 27001 ISO 27006 ISO 27002 ISO 27003 ISO 18033 ISO 19772 ... ISO 15408 ISO 18045 ... ISO 19790 ISO 24759 ... ISO 27032 ISO 27033 ISO 27037 ISO 24760 ISO 29144 ISO 29100 知識域： 我國 信息安全典型標準介紹 ?知識 子域：基礎標準 ? 了解 已發(fā)布的基礎標準及其適用范圍 ?知識 子域：技術與機制標準 ? 了解 已發(fā)布的技術與機制標準及其適用范圍 ?知識 子域：管理標準 ? 了解 已發(fā)布的管理標準及其適用范圍 97 知識域：我國信息安全