9.2国际安全标准 BS7799 ■ 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准,它 是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础, 还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息 安全管理的实施惯例,例如信息与软件交换和处理的安全规定、设备的安 全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合 信息安全的“七分管理,三分技术”的原则。这些管理规定一般的单位都 可以制定,但要想达到BS7799的全面性则需要一番努力。在信息安全管理 方面,BS7799的地位是其他标准无法取代的。总的说来,BS7799涵盖了 安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续 提高的信息安全管理环境
9.2 国际安全标准 ◼ BS7799 ◼ 英国标准BS7799是目前世界上应用最广泛的典型的信息安全管理标准,它 是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成的。 ◼ BS7799标准提供一个开发组织安全标准、有效实施安全管理的公共基础, 还提供了组织间交易的可信度。该标准第一部分为组织管理者提供了信息 安全管理的实施惯例,例如信息与软件交换和处理的安全规定、设备的安 全配置管理、安全区域进出的控制等一些很容易理解的问题。这恰巧符合 信息安全的“七分管理,三分技术”的原则。这些管理规定一般的单位都 可以制定,但要想达到BS7799的全面性则需要一番努力。在信息安全管理 方面,BS7799的地位是其他标准无法取代的。总的说来,BS7799涵盖了 安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续 提高的信息安全管理环境
9.2国际安全标准 CC 信息安全安全性评估的标准一信息技术安全性评估通用准则(CC: Common Criteria),通常简称通用准则,也即是国际标准 IS0IEC15408-99,该标准是评估信息技术产品和系统安全特性的基础准则。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的, 通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的人 理解、信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认 可的目的。 ■此标准是现阶段最完善的信息技术安全性评估标准,我国也采用这一标准 (GB/T18336)对产品、系统和系统方案进行测试、评估和认可
9.2 国际安全标准 ◼ CC ◼ 信息安全安全性评估的标准——信息技术安全性评估通用准则(CC: Common Criteria),通常简称通用准则,也即是国际标准 ISO/IEC15408-99,该标准是评估信息技术产品和系统安全特性的基础准则。 它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的, 通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的人 理解、信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认 可的目的。 ◼ 此标准是现阶段最完善的信息技术安全性评估标准,我国也采用这一标准 (GB/T 18336)对产品、系统和系统方案进行测试、评估和认可
9.2国际安全标准 ■SSE-CMM 系统安全工程能力成熟模型简写为SSE-CMM,是原英文Systems Security Engineering Capability Maturity Model的缩写。它是一个模型,正如卉放系统互 连参考模型(OS)一样,但它指导着系统安全工程的完善和改进,使系统安全工程成 为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的科学。 a SSE-CMM描述了一个组织的安全工程过程务必包含的本质特征,这些特征是完善安全 工程的保证,也是安全工程实施的度量标准,还是一个易于理解的评估安全工程实施的 框架。 SSE-CMM模型的开发源于1993年5月美国国家安全局发起的研究工作。1995年1月 在第一次公共安全工程CMM讨论会中,信息安全协会被邀请加入,超过60个组织的代 表再次确认需要这样一种模型。因此,研讨会期间成立了项目工作组,由此进入了模型 开发阶段。通过项目领导、应用工作组全体的通力合作,于1996年10月完成了SSE- CMM模型的第一版,1997年5月完成了评价方法第一版。为检验模型及评价方法的有 效性,1996年6月到1997年6月进行了试验工作。一些试验组织向SSE-CMM及其评 价模型提供了有价值的信息。1997年8月,第二次公共安全工程CMM研讨会举行,以 明确一些与模型应用相关的问题,特别是关于:获取领域、过程改善、及产品及系统的 安全保证。由于研讨会中明确了上述问题,便成立了一个新的工作组以直接落实这些问 题,于1999年4月完成了SSE-CMM模型的第二版