02~信息安全标准与规范

一、常见的信息安全标准

1、美国标准：

TCSEC（Trusted Computer System Evaluation Criteria，可信计算机系统评价标准。）

1970年由美国国防科学委员会提出，1985年12月由美国国防部公布。是计算机系统安全评估的第一个正式标准。

TCSEC最初只是军用标准，后来延至民用领域。将计算机系统的安全划分为4个等级、7个级别。

四个大类（由低到高）： D（最小保护）、C（自主保护）、B（强制性保护）、A（验证保护）

七个级别（由低到高）： D、C1、C2、B1、B2、B3、A1。

2、英国标准：

ITSEC（Information Technology Security Evaluation Criteria），欧洲的安全评价标准，是英国、法国、德国和荷兰制定的IT安全评估准则，较美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。应用领域为军队、政府和商业。

ITSEC首次提出了信息安全的保密性、完整性和可用性概念，将可信计算基的概念提高到可信信息技术的高度。

它定义了从E0到E6这7个安全等级和10种安全功能。

3、国际标准：

ISO 27001，信息安全管理体系的国际标准。可以帮助企业建立与优化自身的信息安全管理体系，并对其进行评估。

ISO/IEC 27001是信息安全管理体系（ISMS）的国际规范性标准。

ISO 27001认证要求组织通过一系列的过程，如确定信息安全管理体系范围、指定信息安全方针和策略、明确管理职责、以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的和制度化的，以预防为主的信息安全管理方式。

ISO/IEC 27002从14个方面提出35个控制目标和113个控制措施，这些控制目标和措施是信息安全管理的最佳实践。

4、中国标准：

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种制度，国家网络安全领域的基本国策、基本制度和基本方法。

等保是安全建设的一个“必过标杆”，如果相关企业部门没有开展等级保护测评，将被按照相关规定进行不同程度的整改。如果其行为违反了正式实施的《中华人民共和国网络安全法》等相关规定，将被依据相关法律法规进行处罚。

等级保护按照保护对象的重要程度以及在遭到破坏后的危害程度，由低到高分为五级。

二、常见的信息安全标准组织

1、国际的：

International Organization for Standardization（ISO）国际标准化组织： ISO是一个全球性的非政府组织，是国际标准化领域中一个十分重要的组织。ISO负责目前绝大部分领域（包括军工、石油和船舶等垄断行业）的标准化活动。

International Electrotechnical Commission（IEC）国际电工委员会： IEC是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中的国际标准化工作。

2、国内的：

全国信息安全标准化技术委员会（TC260）

中国通