【正文】 比， CC 的側重點放在系統(tǒng)和產(chǎn)品的技術指標評價上，BS7799 在闡述信息安全管理要求時，并沒有強調技術細節(jié)。而SSECMM 則是一個評估標準， 適合作為評估工程實施組織能力與資質的標準 通用標準 CC(ISO/IEC 15408) 我們通常所稱的通用標準或通用準則（ Common Criteria，簡稱 CC）是指 ISO/IEC15408:1999標準。 系統(tǒng)安全工程過程一共有三個相關組織過程： ?工程過程 ?風險過程 ?保證過程 共分 5個能力級別， 11個過程區(qū)域： ?基本執(zhí)行級 ?計劃跟蹤級 ?充分定義級 ?量化控制級 ?持續(xù)改進級 2023年被國際標準化組織采納成為國際標準即 ISO/IEC 21827:2023《信息技術系統(tǒng)安全工程－成熟度模型》。 SSECMM SSECMM (System Security Engineering Capability Maturity Model)模型是 CMM在系統(tǒng)安全工程這個具體領域應用而產(chǎn)生的一個分支，是美國國家安全局 (NSA)領導開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。 ISO/IEC TR 13335系列 ISO/IEC TR 13335系列標準（舊版）－ GMITS，由 5部分標準組成： ?ISO/IEC133351:1996《 IT安全的概念與模型》 ?ISO/IEC133352:1997《 IT安全管理與策劃》 ?ISO/IEC133353:1998《 IT安全管理技術》 ?ISO/IEC133354:2023《防護措施的選擇》 ?ISO/IEC133355:2023《網(wǎng)絡安全管理指南》 目前， ISO/IEC 133351:1996 已經(jīng)被新的 ISO/IEC 133351:2023（ MICTS 第 1部分：信息和通信技術安全管理的概念和模型）所取代，ISO/IEC 133352:1997也將被正在開發(fā)的 ISO/IEC 133352（ MICTS 第 2 部分：信息安全風險管理）取代。ISO/IEC 17799:2023 通過層次結構化形式提供安全策略、信息安全的組織結構、資產(chǎn)管理、人力資源安全等 11個安全管理要素，還有 39個主要執(zhí)行目標和 133個具體控制措施（最佳實踐），供負責信息安全系統(tǒng)應用和開發(fā)的人員作為參考使用，以規(guī)范化組織機構信息安全管理建設的內容。 測 評 標 準測 評 基 礎 產(chǎn) 品 測 評 系 統(tǒng) 測 評 我國信息安全標準體系 我國信息安全標準體系 密 碼 技 術 標 準基 礎 標 準 管 理 標 準 技 術 標 準密碼產(chǎn)品設備密碼應用管理接口密碼應用服務系統(tǒng)密碼核芯片密碼管理密碼協(xié)議密鑰配用密碼檢測評估密碼算法配用密碼術語密碼算法密鑰 我國信息安全標準體系 保 密 技 術 標 準管 理 標 準實驗室要求涉密信息系統(tǒng)管理電子文件管理技 術 標 準涉密信息消除和介質銷毀信息安全保密產(chǎn)品技術要求和測試方法涉密信息系統(tǒng)技術要求和測評其它技術標準電磁泄漏發(fā)射防護和檢測信息產(chǎn)業(yè)部電子工業(yè)標準化研究所 China Electronic Standardization Insititute 四、主要信息安全 標準介紹 BS7799系列（ ISO/IEC 27000系列） ?BS7799 Part 1的全稱是 Code of Practice for Information Security，也即為信息安全的實施細則。 我國信息安全標準體系 我國信息安全標準體系 信息安全測評標準 ： 信息安全測評標準包括測評基礎標準、產(chǎn)品測評標準和系統(tǒng)測評標準， 信息安全測評標準體系框架如圖 。 信 息 安 全 技 術 標 準 體 系管理標準測評標準技術與機制標準基礎標準密碼技術標準保密技術標準圖 信息安全技術標準體系總體框架 我國信息安全標準體系 標準體系介紹 基礎標準 ： 基 礎 準 體安 全 術 語安 全 術 語框 架模 型圖 基礎標準體系框架 我國信息安全標準體系 我國信息安全標準體系 我國信息安全標準體系 技術與機制標準 技 術 與 機 制 標 準標 識 與 鑒 別 授 權 與 訪 問 控 制 物 理 安 全實 體 管 理圖 技術與機制標準體系框架 技術與機制標準包括標識與鑒別、授權與訪問控制、實體管理和物理安 全技術標準，體系框架如圖所示。 ?（ 1）美國的體系結構 3. 信息安全標準體系 WG1 需求安全服務與指南標準 （ 22項 ） WG2 安全技術和機制標準 （ 45項 ） WG3 系統(tǒng)和產(chǎn)品安全評估與認證標準 （ 15項 ） I S O JTC/SC27 ISOJTC/SC27 （ 2） ISO標準體系結構 （截止到 2023年底） 3. 信息安全標準體系 實體安全（ A） 環(huán)境安全（ A10） 設備安全（ A20） 媒體安全（ A30） 運行安全（ B） 風險分析（ B10） 審計跟蹤（ B20） 備份與恢復（ B30） 應急（ B40） 應急計劃輔助軟件（ B41） 應急設施（ B42） 信息安全（ C） 操作系統(tǒng)安全（ C10） 安全操作系統(tǒng)（ C11） 操作系統(tǒng)安全部件（ C12） 數(shù)據(jù)庫安全（ C20） 安全數(shù)據(jù)庫系統(tǒng)（ C21） 數(shù)據(jù)庫系統(tǒng)安全部件（ C22） 網(wǎng)絡安全（ C30） 網(wǎng)絡安全管理（ C31） 安全網(wǎng)絡系統(tǒng)（ C32） 網(wǎng)絡系統(tǒng)安全部件（ C33） （ 3） GA1631997關于計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 3. 信息安全標準體系 （ 4）一種信息安全產(chǎn)品與標準體系結構草案 網(wǎng)絡通信安全類 內容安全類 身份鑒別類 基礎平臺與中間 應用安全類 惡意代碼防治類 監(jiān)控與審計類 密碼基礎類 安全隔離類 1密碼設備類 數(shù)據(jù)安全類 1密碼模塊類 3. 信息安全標準體系 （ 5）一種基于通用標準體系結構的信息安全標準體系結構 國際級 區(qū)域級 企業(yè)級 國家級 行業(yè)級 地方級 產(chǎn)品 系統(tǒng) 人員 服務 事件 對象 基礎 技術 工作 管理 內容 我國信息安全標準體系 信息安全技術標準體系框架 信息安全技術標準從總體上可劃分為六大類：基礎標準、技術與機制標 準、管理標準、測評標準、密碼技術標準和保密技術標準，在每一大類的基 礎上，可按照標準所涉及的主要內容進行細分。 信息產(chǎn)業(yè)部電子工業(yè)標準化研究所 China Electronic Standardization Insititute 三、信息安全標準 體系 軍用標準政 府 用 （ 保 密 C L S ） 標 準商 用 （ 非 密 U N C L S ） 標 準密碼標準3. 信息安全標準體系 課題目標 至今，在世界范圍內尚未形成統(tǒng)一的、公認的標準體系結構。 中國通信標準化協(xié)會網(wǎng)絡與信息安全技術工作委員會 中國通信標準化協(xié)會網(wǎng)絡與信息安全技術工作委員會（編號為 TC8）， 負責組織開展通信行業(yè)網(wǎng)絡與信息安全標準化工作。公安信息安全標準體系圖如 圖所示。 我國信息安全標準化組織 公安信息系統(tǒng)安全標準化技術委員會 公安部信息系統(tǒng)安全標準化技術委員會主要負責：規(guī)劃和制定計算機 信息系統(tǒng)安全保護等級、應用系統(tǒng)安全等級評估檢測、計算機信息系統(tǒng)安 全產(chǎn)品、計算機信息系統(tǒng)安全管理等方面標準。 2023年我 國提出的《信息安全管理體系審核指南》和《三元實體鑒別》兩項提案被 SC27接受，成為國際標準新工作項目。 ? 組長：中國電子技術標準化研究所王立建 ? 工作組聯(lián)絡處： 中國電子技術標準化研究所 ? WG7開展的研究項目： ①信息技術 安全技術 IT安全管理指南 ②信息技術 信息安全管理實用規(guī)則 ③信息技術 安全技術 系統(tǒng)安全工程能力成熟度模型 (SSECMM) 我國信息安全標準化組織 標準制定情況 截止到 2023年底，信安標委成立后共開展了 115項國家標準的制定工 作，有一半以上是自主研制的，目前有 59項已完成制定，還有 56項在研究 制定中。 ? 組長： 解放軍信息安全測評認證中心崔書昆 ? 副組長： 公安部公共信息網(wǎng)絡安全監(jiān)察局景乾元、國家信息安全評測認證中心李守鵬 ? 工作組聯(lián)絡處： 解放軍信息安全測評認證中心 我國信息安全標準化組織 ? WG7： 信息安全管理工作組 ? 任務：信息安全管理標準體系的研究；國內急用的標準調研；完成一批信息安全管理相關基礎性標準的制定工作。信息安全評估工作組。主要負責 PKI/PMI 等方面的標準研究，已完成 GB/T 20518《信息技術 安全技術 公鑰基礎設施數(shù)字證書格式》等 10多個標準的研究。 ? 組長：中國電子技術標準化研究所林寧 ? 工作組聯(lián)絡處：中國電子技術標準化研究所 ? WG1開展的研究項目： ① 信息安全標準體系的研究 ② 電子政務標準化指南 — 第六部分：信息安全 ③ 信息安全標準術語 我國信息安全標準化組織 ? WG2：涉密信息系統(tǒng)標準工作組 ? 任務： 負責涉密信息系統(tǒng)標準研究 ? 組長： 組長單位為國家保密局 ? WG1開展的研究項目： ①涉密信息消除和介質銷毀 ②信息安全保密產(chǎn)品技術要求和測試方法 ③涉密信息系統(tǒng)技術要求和測評 ④涉密信息系統(tǒng)管理 ? WG3： 密碼標準工作組 ? 任務：負責密碼相關國家標準研究 ? 組長：組長單位為國家密碼管理局 ? 正開展的研究項目： ①分組算法應用接口規(guī)范 ②證書認證系統(tǒng)密碼及相關安全技術規(guī)范 ③ PCI密碼卡技術規(guī)范 ④ ECC算法應用接口規(guī)范 ⑤雜湊算法應用接口規(guī)范 我國信息安全標準化組織 ? WG4： PKI/PMI工