信息安全标准
信息安全标准名称 颁布国家 颁布年份美国《可信计算机系统评价标准》(TCSEC) 美国国防部 1985
美国TCSEC修订版 美国国防部 1987
德国《计算机安全评价标准》 德国信息安全部 1988
英国《计算机安全评价标准》 英国贸易部和国防部 1989
《信息技术安全评价标准》(ITSEC) 欧洲德、法、英、荷四国 1991
加拿大《可信计算机产品评价标准》(CTCPEC) 加拿大 1993
《信息技术安全评价联邦标准草案》(FC) 美国标准技术委员会和安全局 1993
《信息技术安全评价公共标准》(CC) 美、加、德、法、英、荷六国 1996
《国家军用标准军用计算机安全评估标准》 中国国防科学技术委员会 1996
国际标准 ISO/IEC 15408 (CC) 国际标准化组织 1999
《计算机信息系统安全保护等级划分准则》 中国国家质量技术监督局 1999
《信息技术-安全技术-信息技术安全评估准则》 中国国家质量技术监督局 2001
ISO/IEC 27002《信息安全管理实践标准》的一个基本观点是,纯粹以技术手段实现信息安全的效果十分有限,因此,一个组织为了达到所需要的安全级别,必须依赖合理的管理控制手段、管理程序和风险评估措施,从危害源头抓起,主动避免安全事件的发生。在以上思想的指导下,它将需要实施管理控制的对象(称为控制项)分为11类:安全策略、组织信息安全、资产管理、人力资源管理、物理与环境安全、通信与操作管理、访问控制、信息系统的获取或开发与维护、信息安全事故管理、业务连续性管理和兼容性。
ISO/IEC 27001 采用了“规划、实施、检查、处理(plato do check act ,PDCA)”的质量管理理念,给出了ISMS(information security managment system)的规划和建立、实施和运行、监控与评审、保持和改进4个阶段的基本要求,并指出这是一个循环迭代的提高过程。
标签: 信息安全标准
发表评论: