等保2.0 信息安全及等保标准体系概述

标准概述

  标准的存在不仅对于我国，而对于全世界都是非常必要的，例如：度量单位、生产加工、国际贸易都离不开标准。标准界中一般都是谁做得好，谁话事，想要达到别人的标准也不容易，例如你到国外读研究生，别人不承认你所修的本科学分，说明你所在学校没有达到国际标准，如果是985的高校，那么可能就没有这个问题。

定义

  国际标准化组织（ISO）和国际电工委员会（IEC）在《Standardization and related activities-General vocabulary》（最新版不知道啥年份，目前看到04年的：ISO/IEC GUIDE 2:2004，中文叫标准与相关活动的通用词汇）3.2节中给出的定义是：
  Document, established by consensus and approved by a recognized body, that provides, for common and repeated use, rules, guidelines or characteristics for activities or their results, aimed at the achievement of the optimum degree of order in a given context.
  NOTE. Standards should be based on the consolidated results of science, technology and experience, and aimed at the promotion of optimum community benefits.
  没看懂没关系，GB/T 20000.1-2014 《标准化工作指南 第1部分：标准化和相关活动的通用术语》（该标准貌似2020要修订）中也给出了标准对应的定义：
  通过标准化活动，按照规定的程序经协商一致制定，为各种活动或其结果提供规则、指南或特性，供共同使用和重复使用的文件。
注1：标准宜以科学、技术和经验的综合成果为基础。
注2：规定的程序指制定标准的机构颁布的标准制定程序。
注3：诸如国际标准、区域标准、国家标准等，由于它们可以公开获得以及必要时通过修正或修订保持与最新技术水平同步，因此它们被视为构成了公认的技术规则。其他层次上通过的标准，诸如专业协（学）会标准、企业标准等，在地域上可影响几个国家。
  理解【标准】的定义对于理解信息安全及等保标准体系很有帮助，因为信息安全及等保标准也是【标准】，也是根据【标准】框架来进行制定的。

分类

  标准的分类对于理解信息安全及等保标准体系很有帮助，后面的信息安全及等保标准体系也可以按这个分类思路。

1. 按标准的实施范围的分法：国家标准、行业标准、地方标准和团体标准、企业标准。至于每一类标准由哪个部门制定和审批，哪个部门备案就不展开了。另外还有“国家标准化指导性技术文件”，作为对四类标准的补充。此类标准在编号上表示为“GB/Z"。
2. 按标准的约束性质的分法：强制性标准、推荐性标准。国家标准分为强制性标准、推荐性标准，行业标准、地方标准是推荐性标准。（貌似现在也有些地方标准也有强制标准）
   强制性标准，必须符合，没得商量（这类标准一般和广大人民生命财产利益、国家安全、环境等相关）。其他类的产品，国家鼓励采用推荐性标准。
   强制性标准又可以分为：全文强制和条文强制，这和后面的信息安全及等保标准关系不大，不展开。
3. 按标准的地位来分：基础标准、一般标准。
4. 按标准化对象来分：技术标准、管理标准和工作标准。这三类标准又可以细分，例如，技术标准可以进一步分为：基础性技术标准，产品标准，工艺标准，检测和试验方法标准，设备标准，原材料、半成品、外购件标准，安全、卫生、环境保护标准，标识标准等。这里不需要了解得太细。

编号

  了解标准的编号可以使我们快速的对应到标准的分类，当然由于标准有国内和国际的（当然还有区域[如欧盟]和行业大佬[如诺基亚、IBM]制定的标准，这里就不细分了），所以编号也分为国内标准编号和国际标准编号，不过二者都大概遵循以下结构：
$$标准代号+专业类号（optional）+顺序号+年份$$

1. 标准代号基本就是缩写或者使用中文的拼音首字母，举些栗子：
   ISO：国际标准化组织International Standard Organization
   IEC：国际电工委员会International Electrotechnical Commission
   GB：国家强制标准
   JR：金融行业标准
   GA：公共安全行业标准
   GD：广电行业标准
   MH：民航行业标准
   YD：邮电行业标准
   当然也有例外：
   QJ：航天行业标准，很久以前，航天属于【七级】部
   SJ：电子行业标准，电子工业部的前身是第【四机】械工业部
   DB：地方标准，地方标准由大写汉语拼音DB加上省、自治区、直辖市行政区划代码的前面两位数字组成，【详细代码见《中华人民共和国行政区划代码》：北京市（110000 BJ）、天津市（120000 TJ）河北省（130000 HE）…】，例如：DB11-XXXX代表北京市标准
   Q：企业标准，企业标准的代号由汉字大写拼音字母Q加斜线再加企业代号（通常是三位，汉语拼音或阿拉伯数字或两者兼用）组成，技术标准加“/J”，管理标准加“/G”，工作标准加“/Z”
2. 专业类号（optional），一般是斜杠加单个字母组成：
   /T：推荐标准
   /Z：工作标准，在GB后面/Z代指导性技术文件
   /J：技术标准
   /G：管理标准

  有了这些知识，我们再来看标准就更加明白，例如：
GB/Z 30525-2014 《科技平台标准化工作指南》，属于国家标准化指导性技术文件，2014年发布。
GD/J 037-2011 《广播电视播出相关信息系统等级保护定级指南》，属于国家广播电影电视总局科技司技术标准，2011年发布。
GB 17859-1999《计算机信息系统安全保护等级划分准则》，属于国际强制性标准，1999年发布。

信息安全相关标准

  我国的信息安全相关标准以及标准化工作由全国信息安全标准化技术委员进行管理，目前已出台了很多信息安全保护方面的标准，包括GB、GB/T、GA、GA/T等，本来想着要列出来，但是发现已经有目录了：信息安全国家标准目录（2018 版）
  这些标准当然是涵盖了等保相关标准的，下面把标准的分类列出来：
一、基础标准
1、术语概念
2、框架模型
二、技术与机制标准
1、密码算法和技术
2、安全标识
3、鉴别与授权
4、可信计算
5、生物特征识别
6、身份管理
三、安全管理标准
1、ISMS
2、风险管理
3、运维管理
4、事件管理
四、安全测评标准
1、测评准则
2、测评方法
五、产品与服务标准
1、组件
2、安全产品
3、IT产品
4、网络关键设备
5、网络安全专用产品
6、网络服务
六、网络与系统标准
1、信息系统（等保相关标准基本在这里，这个文档是18年的，所以新等保标准没更新进来）
2、办公系统
3、通信网络
4、工业控制系统
七、数据安全标准
1、个人信息
八、组织管理标准
1、机构
2、人员
3、监管
4、供应链
九、新技术新应用安全标准
1、云计算
2、大数据
3、物联网
4、移动互联网
5、关键信息基础设施
5.1 信息共享
5.2 监测预警
5.3 事件应急

等保相关标准及体系

  有了上面的知识作为铺垫，下面来看看等保2.0标准三层体系结构

第一层

  第一层体现了标准体系的层次和标准级别：国家标准、行业标准和企业标准。
  依据《中华人民共和国标准化法》，推荐性国家标准、行业标准、地方标准、团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求。同时，国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准。

第二层

  按照规范对象和作用的不同将标准体系分解为基础、网络和产品三大类。

  这里的基础类标准其实应该包含两个：
GB 17859-1999《计算机信息系统 安全保护等级划分准则》
GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

第三层

  第三层就是：(网络类标准+产品类标准)的展开。网络类标准进一步按照等级保护工作流程展开，构成序列关系，而产品类标准按照功能分类依次展开。

  网络类标准列表：
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》（这个其实可以算基础类标准）
GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》
GB/T 36958-2018《信息安全技术 网络安全等级保护安全管理中心技术要求》
GB/T 36959-2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》
GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》
  上面提到这些的标准有序列关系，实际上是指这些标准应用在等保过程有先后顺序：

等保过程	相关等保2.0标准	作用
定级	GB/T 22240-2020和相应的行业或企业标准	划分定级对象和确定安全保护等级
安全建设	GB/T 22239-2019、GB/T 25070-2019和相应的行业或企业标准	规划设计和建设工作，科学合理的选择和部署必要的安全措施
等级测评	GB/T 28448-2019、GB/T 28449-2018和相应的行业或企业标准	规范和指导等级测评工作

  产品类标准列表：
GB/T 20272-2019 《信息安全技术 操作系统安全技术要求》
GB/T 20008-2005 《信息安全技术 操作系统安全评估准则》
GB/T 20273-2019 《信息安全技术 数据库管理系统安全技术要求》
GB/T 20278-2013 《信息安全技术 网络脆弱性扫描产品安全技术要求》
GB/T 21050-2019 《信息安全技术 网络交换机安全技术要求》
  还有很多，基本都和信息安全产品（软硬都有）相关，不一一列举。

参考文献：

1. ISO/IEC GUIDE 2:2004
2. GB/T 20000.1-2014 《标准化工作指南 第1部分：标准化和相关活动的通用术语》
3. 中华人民共和国主席令第七十八号《中华人民共和国标准化法(2017修订)》
4. 陈忠文.《信息安全标准与法律法规》第二版.武汉大学出版社
5. 中级等保测评师教材