1、信息安全管理体系
BS7799是由英国贸易工业部立项,由英国标准协会制定的信息安全管理体系。BS7799可分为两部分:
(1)BS7799《信息安全管理实施规则》:提供了一套由信息安全最佳惯例组成的实施规则,可以作为企业信息安全管理体系建设的参考。该部分被ISO/IEC JTC1认可,正式成为国际标准 ISO/IEC17799:2000《信息技术--信息安全管理实施细则》。
(2)BS7799《信息安全管理体系规范》:规定了信息安全管理体系各方面的达标指标。
2、技术与工程标准
《可信计算机系统评估准则》《Trusted Computer System Evaluation Criteria, TCSEC),俗称”橘皮书“,是美国国防部在1985年发表的一份技术文件。制定该准则的目的是向制造商提供一种制造标准;同时向用户提供一种验证标准。
TCSEC将系统分为A、B、C、D四类:
D级:最小保护级;
C级:自主保护级;
C1级:自主安全保护级;
C2级:可控访问保护级;
B级:强制保护级;
B1级:标记安全保护级;
B2级:结构化保护级;
B3级:安全区域保护级;
A级:验证保护级;
A1级:验证设计级;
A2级:超A1级。
TCSEC的发起者和其他组织联合起来建立了CC编辑委员会来开发CC。 1999年12月ISO采纳CC,并作为国际标准ISO/IEC 15408《信息技术安全评估准则》(简称CC)发布。2001年,我国参考国际标准ISO/IEC15408,制定了国家标准GB/T18336《信息技术安全性评估准则》。
CC适用于硬件、固件、和软件实现的信息技术安全措施。CC包括三个部分:
第一部分:简介和一般模型;
第二部分:安全功能要求;
第三部分:安全保证要求。
系统安全工程能力成熟模型(System Security Engineering Capability Maturity Model,SSE-CMM)是由美国国家安全局发起的研究项目。SSE-CMM确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程的方法。SSE-CMM目标是将安全工程变为可定义的、成熟的、可度量、可评估的工程项目。我国安全评测中心评审机构信息安全服务资质的依据就是SSE-CMM。
下次就开始学习密码学啦。
联系客服
