中国信息安全技术标准体系框架
本文部分内容来自《中国电子技术标准化研究院》
一、一些标准化组织
1、国际组织
- ISO(国际标准化组织)
- IEC(国际电工委员会)
- ITU(国际电信联盟)
- IETF(Internet 工程任务组)
2、国际组织
信息技术安全标准化技术委员会(CITS)
成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及ISO/IEC JTC1相对应的标准化工作,是国内最大的标准化技术委员会。
CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会
成立于2002年12月18日,是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究一下网络通信安全标准。
二、我国信息安全标准发展历程
- 1984.7 全国信息技术标准化委员会组建数据加密标准化分技术委员会,1985年发布了第一个有关信息安全方面的标准
- 1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会
- 我国信息安全技术标准系统编号主要有:GB、GB/T 、GJB、BMB、GA、YD等。
- 2002年4月15日成立全国信息安全标准化技术委员会(简称信安标委,委员会编号为TC260)
网址:http://www.tc260.org.cn/
全国信安标委机构设置:
三、信息安全技术标准体系框架
1. 基础标准
- 安全术语
- 涉密基础
- 测评基础
- 管理基础
- 物理安全
- 安全模型
- 安全体系结构
2. 技术与机制标准
- 密码技术
- 安全标识
- 鉴别机制
- 授权机制
- 电子签名
- 公钥基础设施
- 通信安全技术
- 涉密系统通用技术要求
3. 管理与服务标准
- 涉密服务
- 密码管理
- 安全控制与服务
- 网络安全管理
- 行业/领域安全管理
4. 测评标准
- 密码产品
- 通用产品
- 安全保密产品
- 通用系统
- 涉密信息系统
- 通信安全
- *安全检查
- 安全能力评估
四、通用产品安全标准
| 序号 | 标准名称 | 状态 |
|---|---|---|
| 1 | 信息技术 安全技术 信息技术安全性评估准则 | GB/T 18336-2015 |
| 2 | 信息安全技术 信息技术产品供应方行为安全准则 | GB/T 32921-2016 |
| 3 | 信息安全技术 信息系统安全等级保护基本要求 | GB/T 22239-2008 |
| 4 | 信息安全技术 网络产品和服务安全通用要求 | 草案 |
| 5 | 信息安全技术 网络智能家用电器信息技术安全框架与测评指南 | 研究项目 |
| 6 | 信息安全技术 重点场所的智能联网设备的安全要求 | 草案 |
五、 物联网安全标准
| 序号 | 标准名称 | 状态 |
|---|---|---|
| 1 | 信息安全技术 智能卡通用安全检测指南 | GB/T 31507-2015 |
| 2 | 信息安全技术 射频识别(RFID)系统通用安全技术要求 | 送审稿 |
| 3 | 信息安全技术 物联网感知层接入通信网的安全要求 | 草案 |
| 4 | 信息安全技术 物联网信息安全参考模型及通用要求 | 征求意见稿 |
| 5 | 信息安全技术 物联网感知设备安全技术要求 | 征求意见稿 |
| 6 | 信息安全技术 物联网感知层网关安全技术要求 | 征求意见稿 |
| 7 | 信息安全技术 物联网数据传输安全技术要求 | 草案 |
六、我国大数据安全标准化
- 2016年4月,全国信安标委成立大数据安全标准化工作组,组长:王建民、陈兴蜀
- 发布大数据安全标准化体系
大数据安全标准
1. 基础标准
- 概念和框架->大数据安全参考架构
- 角色和模型->大数据安全管理指南
2. 平台和技术
- 系统平台安全->大数据基础平台安全要求
- 平台安全运维
- 安全相关技术 -
3. 数据安全
- 个人信息安全->个人信息安全规范、个人信息去标识化指南->个人信息影响评估指南
- 重要数据安全
- 数据跨境安全
4. 服务安全
- 服务安全能力->大数据服务安全能力要求、大数据安全能力成熟度模型
- 交易服务安全->大数据交易服务安全要求
5.行业应用类
- 安全大数据
- 政务大数据安全
- 健康医疗大数据安全
- 其它行业大数据安全
七、个人信息保护安全国家标准
- 已发布标准:GB/Z 28828-2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》
八、 其它智能家电相关国家标准
鉴别
| 编号 | 内容 |
|---|---|
| GB/T 31504-2015 | 《信息安全技术 鉴别与授权 数字身份信息服务框架规范》 |
| GB/T 30275-2013 | 《信息安全技术 鉴别与授权 认证中间件框架与接口规范》 |
| GB/T 15852.1-2008 | 《信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制》 |
| GB/T 15843 | 《信息技术 安全技术 实体鉴别》共5部分 |
| GB/T 28455-2012 | 《信息安全技术 引入可信第三方的实体鉴别及接入架构规范》 |
| GB/T 29242-2012 | 《信息安全技术 鉴别与授权 安全断言标记语言》 |
安全机制
| 编号 | 内容 |
|---|---|
| GB/T 17903 | 《信息技术 安全技术搞抵赖》共3部分 |
| GB/T 20520-2006 | 《信息安全技术 公钥基础设施 时间戳规范》 |
| GB/T 25062-2010 | 《信息安全技术 鉴别与授权 基于角色的访问控制模型与管理规范》 |
九、 密码标准
GB/T29829-2013
十、 信息安全评估标准
- 《智能家用电器信息安全技术框架与测评指南》
- GB4706.1 (IEC60335-1)家用和类似用途电器安全最新标准提案,《61_5073ea_DC》
- GB/T 18336 (ISO/IEC 15408) 信息技术安全评估准则
- GB/T 22080(ISO/IEC 27001)信息安全管理体系要求