本文介绍了信息安全领域的几个重要标准,包括美国的TCSEC、英国的ITSEC、国际的ISO 27001以及中国的等级保护制度。同时,讨论了信息安全标准组织如ISO、IEC、国内的TC260等的作用。此外,详细阐述了信息安全管理体系ISMS的建立流程和等保的发展历程,强调了等保在合法合规、安全体系化和业务安全需求等方面的重要性。
一、常见的信息安全标准
1、美国标准:
TCSEC(Trusted Computer System Evaluation Criteria,可信计算机系统评价标准。)
1970年由美国国防科学委员会提出,1985年12月由美国国防部公布。是计算机系统安全评估的第一个正式标准。
TCSEC最初只是军用标准,后来延至民用领域。将计算机系统的安全划分为4个等级、7个级别。
四个大类(由低到高): D(最小保护)、C(自主保护)、B(强制性保护)、A(验证保护)
七个级别(由低到高): D、C1、C2、B1、B2、B3、A1。
2、英国标准:
ITSEC(Information Technology Security Evaluation Criteria),欧洲的安全评价标准,是英国、法国、德国和荷兰制定的IT安全评估准则,较美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。应用领域为军队、政府和商业。
ITSEC首次提出了信息安全的保密性、完整性和可用性概念,将可信计算基的概念提高到可信信息技术的高度。
它定义了从E0到E6这7个安全等级和10种安全功能。
3、国际标准:
ISO 27001,信息安全管理体系的国际标准。可以帮助企业建立与优化自身的信息安全管理体系,并对其进行评估。
ISO/IEC 27001是信息安全管理体系(ISMS)的国际规范性标准。
ISO 27001认证要求组织通过一系列的过程,如确定信息安全管理体系范围、指定信息安全方针和策略、明确管理职责、以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的和制度化的,以预防为主的信息安全管理方式。
ISO/IEC 27002从14个方面提出35个控制目标和113个控制措施,这些控制目标和措施是信息安全管理的最佳实践。
4、中国标准:
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种制度,国家网络安全领域的基本国策、基本制度和基本方法。
等保是安全建设的一个“必过标杆”,如果相关企业部门没有开展等级保护测评,将被按照相关规定进行不同程度的整改。如果其行为违反了正式实施的《中华人民共和国网络安全法》等相关规定,将被依据相关法律法规进行处罚。
等级保护按照保护对象的重要程度以及在遭到破坏后的危害程度,由低到高分为五级。
二、常见的信息安全标准组织
1、国际的:
International Organization for Standardization(ISO)国际标准化组织: ISO是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。ISO负责目前绝大部分领域(包括军工、石油和船舶等垄断行业)的标准化活动。
International Electrotechnical Commission(IEC)国际电工委员会: IEC是世界上成立最早的国际性电工标准化机构,负责有关电气工程和电子工程领域中的国际标准化工作。
2、国内的:
全国信息安全标准化技术委员会(TC260)
中国通
最低0.47元/天 解锁文章
4546
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
