信息安全标准概述

7.1.3　信息安全标准概述

1.信息安全基础标准

信息安全标准中有一类可以划归为信息安全基础标准，涉及词汇、安全体系结构、安全框架、安全模型四个方面，具体内容如表7－1所示。

表7－1　信息安全基础标准

2.信息技术安全评估标准

信息安全标准中还有一类十分重要的标准——信息技术安全评估标准。信息技术安全评估标准的发展如图7－2所示。

图7－2　信息技术安全评估标准的发展

以上标准中，TCSEC首先提出了分等级保护的思想，是信息安全评估标准的先驱。加拿大CTCPEC、美国联邦准则FC、欧洲标准ITSEC进一步继承并发展了TCSEC。1999年，我国制定了等级保护划分准则GB 17859，等同采用了TCSEC中C1～B3级的要求，是我国信息安全等级保护制度的基础。

1996年，6国7方集中他们的成果颁布了评估通用准则CC 1.0版，该标准经过修改和讨论最终被ISO采纳成为国际标准ISO/IEC 15408，对应CC 2.1版。2001年我国将其作为国家标准GB/T 18336正式颁布。

TCSEC标准和我国信息安全等级保护标准体系是本书介绍的重点，将在7.2节中进行详细介绍。CC通用准则是目前最全面的信息技术安全评估准则，将在7.3节中进行介绍。

3.信息安全管理标准

目前信息安全管理标准在国外、国际、国内的构成情况如图7－3所示。国外的国家标准中，主要有英国BSI的BS 7799标准和美国NIST 800系列。在信息系统审计领域主要有COBIT标准；在IT服务管理领域主要有ITIL标准。国际上，由ISO/IEC公布的标准主要有ISO/IEC 27000系列和ISO/IEC 13335标准。在我国，中国信息安全产品测评认证中心将一部分国外、国际标准吸收和转换，使其构成了我国信息系统安全保障框架管理保障部分。

图7－3　信息安全管理标准概述

ISO/IEC JTC1/SC27.WG1是制定和修订ISMS标准的国际组织，我国是该组织的成员国。ISO/IEC JTC1/SC27成立时设有三个工作组。2006年5月8日至17日在西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上，将原来3个工作组调整为现在的5个工作组，专门将WG1作为ISMS标准的工作组，负责开发ISMS相关的标准与指南，充分体现了ISMS的发展在全球范围内受到高度重视。

（1）BS 7799标准

早在1995年2月，英国标准协会（BSI）就提出制定信息安全管理标准，并迅速于1995年5月制定完成。BS 7799是英国的工业、政府和商业共同需求而发展的一个标准，它分两部分：第一部分为“信息安全管理实施准则”；第二部分为“信息安全管理体系规范”。其中BS7799－1：1999于2000年12月通过ISO/IEC JTC1认可，正式成为国际标准ISO/IEC17799：2000。ISO/IEC JTC1在2005年对ISO/IEC 17799再次修订形成ISO/IEC 17799：2005。同时，BS7799－2也于2005年被采用为ISO/IEC 27001：2005。2007年，为将ISO/IEC 17799：2005引入ISO/IEC 27000标准组而将其重新编号为ISO/IEC 27002：2005。

（2）ISO/IEC 27000系列

ISO/IEC 27000系列标准是信息安全管理体系（ISMS）中最重要的标准体系。其中的ISO 27001和ISO 27002分别由英国标准BS 7799－2和BS 7799－1逐渐发展而来，这两个标准是ISO 27000系列，也是ISMS标准中最重要、最基本的两个标准。7.4节将就ISO/IEC 27000系列标准进行详细介绍。

（3）NIST SP 800系列

美国NIST SP 800系列是NIST根据美国联邦信息安全管理法案（FISMA 2002）所赋予的法定职责所开发的系列文件。NIST SP 800系列中包括的与信息安全管理相关的文件有NIST SP 800－53：联邦信息系统推荐安全控制；NIST SP 800－18：开发IT系统安全计划指南；NIST SP 800－30：IT系统风险管理指南等。

（4）COBIT

COBIT（Control Objectives for Information and Related Technology）是由信息系统审计与控制协会（Information Systems Audit and Control Association，ISACA）在1996年公布的控制框架，目前已经更新到4.1版本，是目前国际上通用的信息系统审计的标准。COBIT 4提供了关于IT治理/管理的一个最佳惯例集合，共分4个域、34个高级控制目标和214个详细控制目标。4个领域分别是：计划与组织（Plan and Organize）；获得与安装（Acquire and Implement）；交付与支持（Deliver and Support）；监测与评估（Monitor and Evaluate）。

（5）ITIL

ITIL（IT Infrastructure Library）由英国政府的中央计算机和通信机构（CCTA）制定，由英国商务部（OGC）负责维护，是用来管理信息技术（IT）的架构设计、研发和操作的一整套概念和思想。ITIL是一套主要研究有关IT服务管理的方法，借由为不同的IT组织量身定制一些复杂的清单、任务、流程，ITIL为许多重要的IT事件准则给出了详尽的解释。

（6）ISO 13335

信息安全管理标准（ISO/IEC TR ISO 13335）《IT安全管理指南》，是ISO/IEC JTC1制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施IT安全管理提供建议和支持。ISO 13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型。该模型阐述了信息安全评估的思路，对企业的信息安全评估工作具有指导意义。