【正文】 典型標(biāo)準(zhǔn) 介紹 ?知識(shí)子域 ：測(cè)評(píng)標(biāo)準(zhǔn) ? 了解已發(fā)布的測(cè)評(píng)標(biāo)準(zhǔn)及其適用范圍 ? 了解 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 的 結(jié)構(gòu) ? 理解相關(guān) 概念（ TOE、 PP、 ST、 EAL） ? 了解 《 信息系統(tǒng)安全保障評(píng)估框架 》 的意義和結(jié)構(gòu) ?知識(shí)子域：密碼技術(shù)標(biāo)準(zhǔn) ? 了解已發(fā)布的密碼技術(shù)標(biāo)準(zhǔn)及其適用范圍 99 基礎(chǔ) 標(biāo)準(zhǔn) ?GB/T 25069– 2023《 信息安全技術(shù) 術(shù)語(yǔ) 》 ? 定義 信息 安全領(lǐng)域相關(guān) 術(shù)語(yǔ) ? 分為 一般概念術(shù)語(yǔ)、信息安全技術(shù)術(shù)語(yǔ)、信息安全管理術(shù)語(yǔ)三 類(lèi) ?GB/T 《 信息技術(shù) 開(kāi)放系統(tǒng)互連 基本 參考 模型 第 1部分：基本模型 》 ? idt ISO/IEC 74981:1994 ?GB/T 《信息處理 系統(tǒng) 開(kāi)放系統(tǒng)互連 基本 參考 模型 第 2部分：安全體系結(jié)構(gòu) 》 ? idt ISO 74982:1989 ? 解決開(kāi)放系統(tǒng)互聯(lián)中 安全問(wèn)題的一致性方法 100 技術(shù)與機(jī)制標(biāo)準(zhǔn) ? GB/T 284552023《引入可信第三方的實(shí)體鑒別及接入架構(gòu)規(guī)范》 ? 標(biāo)識(shí)與鑒別 標(biāo)準(zhǔn) ? 提出 一套適用于網(wǎng)絡(luò)訪問(wèn)控制和身份管理，并具有普遍適用性的實(shí)體鑒別與安全接入的協(xié)議和 結(jié)構(gòu) ? GB/T 284472023《電子認(rèn)證服務(wù)機(jī)構(gòu)運(yùn)營(yíng)管理規(guī)范》 ? 授權(quán)與訪問(wèn)控制標(biāo)準(zhǔn) ? 規(guī)定了電子認(rèn)證服務(wù)機(jī)構(gòu)在業(yè)務(wù)運(yùn)營(yíng)、認(rèn)證系統(tǒng)運(yùn)行、物理環(huán)境與設(shè)施安全 、業(yè)務(wù) 連續(xù)性、審計(jì)與改進(jìn)等方面應(yīng)遵循的要求 ? GB/T 210522023《信息系統(tǒng)物理安全技術(shù)要求》 ? 物理安全標(biāo)準(zhǔn) ? 將 物理安全 按照 五個(gè)不同級(jí)別 分別描述要求 ? GB 《 信息技術(shù)設(shè)備 安全 第 1部分：通用要求》 ? 物理安全標(biāo)準(zhǔn) ? 旨在 減小設(shè)備在安裝 、操作和維修時(shí)的危險(xiǎn) 101 管理標(biāo)準(zhǔn) ?GB/T 220802023《信息安全管理體系 要求》 ? idt ISO/IEC 27001:2023 ? 為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和 改進(jìn) ISMS進(jìn)行 了 規(guī)范 ?GB/Z 243642023《信息安全風(fēng)險(xiǎn)管理指南》 ? 規(guī)范信息安全風(fēng)險(xiǎn)管理的內(nèi)容和 過(guò)程 ? 為 信息系統(tǒng)生命周期不同階段的信息安全風(fēng)險(xiǎn)管理提供指導(dǎo) ?GB/T 202822023《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》 ? 對(duì)信息系統(tǒng)安全工程中所涉及到的需求方、實(shí)施方與第三方工程實(shí)施的指導(dǎo)，各方可以此為依據(jù)建立安全工程管理 體系 ? 按照 GB 178591999劃分的五個(gè)安全保護(hù)等級(jí)，規(guī)定了信息系統(tǒng)安全工程管理的不同 要求 102 測(cè)評(píng)標(biāo)準(zhǔn) ?GB/T18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》 ? 為 信息技術(shù)產(chǎn)品 和 系統(tǒng) 敵 安全功能 及其保證 措施 的 安全評(píng)估提出了 通用要求 ? 可 作為 評(píng)估 IT產(chǎn)品和系統(tǒng)安全性的基礎(chǔ) 準(zhǔn)則 ? 適用于對(duì)于用戶(hù)、開(kāi)發(fā)者和評(píng)估者 ?GB/T 20274《信息系統(tǒng)安全保障評(píng)估框架》 ? 用于 描述 和 評(píng)估 信息系統(tǒng)安全保障 內(nèi)容 、 能力 的通用框架 ? 信息系統(tǒng)作為評(píng)估對(duì)象 ， 從 技術(shù) 、 管理、工程 等 多個(gè) 方面 描述 103 GB/T18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》 ? 分三部分 ? GB/《第 1部分：簡(jiǎn)介和一般模型 》 ? ISO/IEC 154081:2023 ? 定義了 IT安全性評(píng)估的一般概念和原理，并提出了評(píng)估的一般模型 ? GB/《第 2部分：安全功能要求 》 ? ISO/IEC 154082:2023 ? 規(guī)定了一系列功能組件族和類(lèi)，作為表達(dá)評(píng)估對(duì)象（ TOE）功能要求的標(biāo)準(zhǔn)方法 ? GB/《第 3部分：安全保證要求 》 ? ISO/IEC 154083:2023 ? 規(guī)定了一系列保證組件族和類(lèi)，作為表達(dá) TOE保證要求的標(biāo)準(zhǔn) 方法 ? 定義了保護(hù)輪廓（ PP）和安全目標(biāo)（ ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證 級(jí)別 （ Evaluation Assurance Level， EAL） 104 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 的發(fā)展 105 ITSEC 1991 CC 1996 ISO15408 1999 CC 1998 GB/T 18336 2023 CD 1997 GB 17859 1999 ISO15408 2023 TCSEC 1985 FC 1992 CTCPEC 1993 GB/T 18336 2023 FCD 1998 對(duì) 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 的理解 ?發(fā)展 ? 國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果 ? 1999年正式成為國(guó)際標(biāo)準(zhǔn) ISO/IEC 15408 ?特點(diǎn) ? 定義了“保護(hù)輪廓”和“安全目標(biāo)” ? 將評(píng)估過(guò)程分“功能”和“保證”兩部分 ? 基于 風(fēng)險(xiǎn)管理理論，對(duì)安全模型、安全概念和安全功能進(jìn)行了全面系統(tǒng)描繪，強(qiáng)化 了保證 評(píng)估 ?優(yōu)點(diǎn) ? 通用的表達(dá)方式，便于理解 ? 是目前最全面的評(píng)價(jià)準(zhǔn)則 ? 一種評(píng)估方法，其評(píng)估結(jié)果國(guó)際互認(rèn) 106 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語(yǔ) —— TOE ?評(píng)估 對(duì)象（ TOE） ? Target of Evaluation ? 評(píng)估 對(duì)象（即被評(píng)估的產(chǎn)品 或 系統(tǒng)） ? 用于安全評(píng)估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)（如防火墻、計(jì)算機(jī)網(wǎng)絡(luò)、密碼模塊等），包括相關(guān)的管理員指南、用戶(hù)指南、設(shè)計(jì)方案等文檔 107 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語(yǔ) —— PP ?保護(hù)輪廓（ PP） ? Protection Profile ? 為了滿(mǎn)足安全目標(biāo)而提出的一整套相對(duì)應(yīng)的功能和保證需求 ? 是滿(mǎn)足用戶(hù)需要的、與實(shí)現(xiàn)無(wú)關(guān)的安全需求 ? PP與某個(gè)具體的 TOE無(wú)關(guān)，它定義的是用戶(hù)對(duì)這類(lèi)TOE的安全需求 ? 主要內(nèi)容：需保護(hù)的對(duì)象；確定安全環(huán)境； TOE的安全目的； IT安全要求； 基本原理 ? 在 標(biāo)準(zhǔn)體系中 PP相當(dāng)于產(chǎn)品標(biāo)準(zhǔn) ? 如： 《 包過(guò)濾防火墻安全技術(shù) 要求 》 108 《 信息技術(shù)安全性評(píng)估準(zhǔn)則 》 術(shù)語(yǔ) —— ST ?安全 目標(biāo)（ ST） ? Security Target ? 針對(duì)具體 TOE而言，是某 一款。參議院向國(guó)會(huì)提交了 《 網(wǎng)絡(luò)安全法 》 議案 ? 2023年 6月 ， 美國(guó)國(guó)防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部（主要進(jìn)行數(shù)字戰(zhàn)爭(zhēng) ， 防護(hù)針對(duì)美軍計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅）。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定。 ?檢查重點(diǎn) ? 國(guó)務(wù)院各部門(mén)和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門(mén)戶(hù)網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點(diǎn)。 ? 從法律上授予美國(guó)國(guó)內(nèi)執(zhí)法機(jī)構(gòu)和國(guó)際情報(bào)機(jī)構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動(dòng)，使美國(guó)人民能夠生活在安全的環(huán)境 中 ? 由于該法賦予聯(lián)邦政府的權(quán)力過(guò)大，引起美國(guó)國(guó)內(nèi)民權(quán)人士的擔(dān)憂(yōu)，并產(chǎn)生訴 案 ? 該法 還對(duì)美國(guó)現(xiàn)有的十幾部法律做出了修改 ? 政府可以對(duì)國(guó)外銀行和對(duì)私人存戶(hù)達(dá)到 100萬(wàn)美元以上的賬戶(hù)進(jìn)行調(diào)查 45 《 聯(lián)邦信息安全管理法案 》 ?《 聯(lián)邦信息安全管理法案 》 ? 對(duì) 國(guó)家信息安全管理職責(zé) 的授權(quán) ?國(guó)家標(biāo)準(zhǔn)與技術(shù)局（ NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南 ?管理與預(yù)算辦公室（ OMB）主任對(duì)安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行（包括遵守）情況進(jìn)行監(jiān)督 ? 屬于《電子政務(wù)法》的第三部分 ,《電子政務(wù)法》 ?該法對(duì)聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個(gè)方面，從危機(jī)管理到電子檔案及查詢(xún)索引都做了規(guī)定 46 《 公眾公司會(huì)計(jì)改革與投資者保護(hù)法 》 ?《 公眾公司會(huì)計(jì)改革與投資者保護(hù)法 》 ? 又名《薩班斯 奧克斯利法》 ? 主要目的是加強(qiáng)對(duì)上市公司內(nèi)部 金融 信息的監(jiān)管，以維護(hù)金融市場(chǎng)的秩序和安全 ? 該法案要求公眾公司保證其內(nèi)部金融控制的準(zhǔn)確性，規(guī)定由證券交易委員會(huì)（ SEC）制定規(guī)則，強(qiáng)制要求公眾公司年度報(bào)告中包含內(nèi)部控制報(bào)告及其評(píng)價(jià)，并要求會(huì)計(jì)師事務(wù)所對(duì)公司管理層做出的評(píng)價(jià)出具鑒定報(bào)告 47 知識(shí)域：信息安全政策 ?知識(shí)子域：國(guó)家信息安全政策概況 ? 了解國(guó)家有關(guān)政策提出的加強(qiáng)信息安全保障工作的方針和總體要求 ? 理解國(guó)家有關(guān)政策規(guī)定的加強(qiáng)信息安全保障工作的主要原則 ? 理解國(guó)家有關(guān)政策規(guī)定的需要重點(diǎn)加強(qiáng)的信息安全保障工作 48 我國(guó)信息安全保障 工作 總體文件 ?《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 》 ? 中 辦發(fā) [2023]27號(hào) ? 明確了我國(guó)信息安全保障工作的方針和總體 要求 ? 加強(qiáng) 信息安全保障工作的主要 原則 ? 需要 重點(diǎn)加強(qiáng)的信息安全保障 工作 ? 27號(hào)文的發(fā)布 具有重大 意義 ? 它 標(biāo)志著我國(guó)信息安全保障工作有了總體 綱領(lǐng) ? 我國(guó) 最近十余年的信息安全保障工作都是圍繞此政策性文件來(lái)展開(kāi)和推進(jìn) 的 ? 促進(jìn) 了我國(guó)信息安全保障建設(shè)的各項(xiàng)工作 49 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 》 ?總體 方針和 要求 ? 堅(jiān)持積極防御、綜合防范的方針 ? 全面提高信息安全防護(hù)能力 ? 重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 ? 創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全 ?主要原則 ? 立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重 ? 正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全 ? 統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作 ? 明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系 50 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 》 ?主要任務(wù)（重點(diǎn)加強(qiáng)的安全保障工作） ? 實(shí)行信息安全等級(jí)保護(hù) ? 加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) ? 建設(shè)和完善信息安全監(jiān)控體系 ? 重視信息安全應(yīng)急處理工作 ? 加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展 ? 加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè) ? 加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí) ? 保證信息安全資金 ? 加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制 51 我國(guó)信息安全 政策 的初步成效、后續(xù)展望 ?初步成效 ? 依托 2023年的 27號(hào)文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點(diǎn)工作內(nèi)容 ? 圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實(shí)了一些典型的信息安全政策（風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、電子政務(wù)類(lèi)、應(yīng)急預(yù)案等） ? 其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認(rèn)證、人員培訓(xùn)和認(rèn)證等 ?后續(xù)展望 ? “十一五”期間發(fā)布的各項(xiàng)政策均將進(jìn)入落實(shí) 期 ? 由電子政務(wù)領(lǐng)域向其他 領(lǐng)域拓 展 ? 盡快形成 “ 統(tǒng)一的 ” 信息安全服務(wù)資質(zhì)管理體制 ? 基于信息安全服務(wù)類(lèi)的標(biāo)準(zhǔn)（政策帶動(dòng)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)支撐政策） ? 統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資 質(zhì) ? 由 “ 狹義信息安全 ” 向 “ 廣義信息安全 ” 延伸 ?IT服務(wù)（外包）的 信息 安全保障 ?新技術(shù)、 新應(yīng)用下的信息安全保障 52 知識(shí)域：信息安全政策 ?知識(shí) 子域：信息安全相關(guān)國(guó)家政策 ? 了解 信息安全相關(guān)國(guó)家政策 ? 理解 風(fēng)險(xiǎn)評(píng)估、保密管理、應(yīng)急處理、安全檢查和工控安全等涉及信息安全的相關(guān)內(nèi)容 ? 理解 信息安全等級(jí)保護(hù)政策體系 ，了解信息 安全等級(jí)保護(hù)相關(guān)政策 53 信息安全相關(guān)的政策 ?風(fēng)險(xiǎn)評(píng)估相關(guān) 政策 ?保密管理相關(guān) 政策 ?應(yīng)急處理相關(guān) 政策 ?安全檢查相關(guān) 政策 ?工控安全相關(guān) 政策 ?等級(jí)保護(hù)相關(guān) 政策 ?加強(qiáng)信息安全保障相關(guān) 政策 ?物聯(lián)網(wǎng)安全相關(guān)政策 54 關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作 的意見(jiàn) （ 國(guó)信 辦 [2023]5號(hào)） ?信息安全風(fēng)險(xiǎn)評(píng)估 （基于風(fēng)險(xiǎn)管理） ? 系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 ? 評(píng)估安全事件一旦發(fā)生可能造成的危害程度 ? 提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施 ?基本工作要求 ? 應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程（ 設(shè)計(jì)、驗(yàn)收、運(yùn)維 ） ? 信息 安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式 ,應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充 ?相關(guān)保障 ? 參照標(biāo)準(zhǔn) :《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 （ GB/T 209842023） 、 《 信息安全風(fēng)險(xiǎn)管理指南 》 （ GB/Z 243642023） ? 服務(wù)資質(zhì)（ 對(duì)于涉及國(guó)計(jì)民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估技術(shù)服務(wù)，要由國(guó)家專(zhuān)控的隊(duì)伍來(lái)承擔(dān) ） 55 風(fēng)險(xiǎn)評(píng)估相關(guān)政策 《 關(guān)于 加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全 風(fēng)險(xiǎn)評(píng)估工作 的通知 》