信息安全标准体系

依据《中华人民共和国标准化法》，标准体系分为四层，分别是国家标准、行业标准、地方标准、企业标准。

除此之外，国家质量技术监督局颁布的《国家标准化指导性技术文件管理规定》，补充了一种“国家标准化指导性技术文件”。符合下列情况之一的项目，可制定指导性技术文件：

（1）技术尚在发展中，需要有相应的标准文件引导其发展或具有标准化价值，尚不能制定为标准的项目。

（2）采用国际标准化组织、国际电工委员会及其他国际组织（包括区域性国际组织）的技术报告的项目。

常见的标准代号如下：

（1）我国国家标准代号： 强制性标准代号为GB、推荐性标准代号为GB/T、指导性标准代号为GB/Z、实物标准代号GSB。

（2）行业标准代号：由汉语拼音大写字母组成（如电力行业为DL）

（3）地方标准代号：DB加上省级行政区划代码的前两位。

（4）企业标准代号：由Q加上企业代号组成。

（5）美国国家标准学会（American National Standard Institude, ANSI）是美国国家标准。

（6）国家标准化指导性技术文件：指导性技术文件的代号由大写汉语拼音字母GB/Z构成；指导性技术文件的编号，由指导性技术文件的代号、顺序号和年号（即发布年份的四位数字）组成。

标准化组织

• 国际标准化组织

1、SC27（信息安全通用方法及技术标准化工作的分技术委员会）：

SC27是ISO和IEC组成的JTC1（第一联合技术委员会）下的分技术委员会。

SC27下设三个小组：

第一工作组（WG1）：需求、安全服务及指南工作组。

第二工作组（WG2）：安全技术及机制工作组。

第三工作组（WG2）：安全评估准则工作组。

相关标准、草案：

安全技术与机制：散列函数、密码算法、数字签名机制、实体鉴别机制等。

安全评估准则和安全管理：安全管理指南、安全管理控制措施等。

2、IEC（国际电工委员会）：

IEC研究和制定电工、电子、电磁领域的国际标准

相关标准、草案：信息技术设备安全（IEC60950）

3、SG17

ITU（国际电信联盟）下的第17研究组，研究通信系统安全标准

相关标准、草案：消息处理系统（MHS）、目录系统（X.400和X.500系列）和安全框架、安全模型等方面的信息安全标准，其中X.509标准成为电子商务认证的重要标准

4、IETF（Internet工程任务组）

提出Internet标准草案和RFC（请求评议）文稿

相关标准、草案：RFC1352（SNMP安全协议）、RFC1421-1424（因特网电子邮件保密增强）、RFC1825（因特网协议安全体系结构）PKI、IPsec等。

5、IEEE（美国电气电工工程师协会）

国际性的电子技术与信息科学工程师协会

相关标准、草案：IEEE 802.10（可交互操作局域网安全标准）；IEEE802.11i（无线安全标准）

6、ECMA（欧洲计算机厂商协会）

国际的计算机与计算机应用相关标准。ECMA由11个技术委员会，其中:TC36（IT安全）是制定信息技术设备的安全标准

相关标准、草案：商业与政府的信息技术产品和系统安全性评估标准化框架；开放系统环境下逻辑安全设备框架。

7、ANSI（美国国家标准化协会）

主要制定美国的信息技术标准，也承担JTC1的部分工作。

相关标准、草案：制定数据加密、银行业务安全、商业交易、EDI安全等美国标准，很多成为国际标准。

8、NIST（美国国家标准技术研究所）

主要制定美国联邦计算机系统标准和指导文件

相关标准、草案：FIPS（联邦信息处理标准），DES是FIPS的著名标准。

9、DOD（美国国防部）

发布过信息安全和自动信息系统安全相关标准

相关标准、草案：DOD5200.28-STD（可信计算机系统系统评估准则）

• 全国信息安全标准化技术委员会

委员会负责组织展开国内信息安全有关的标准化技术工作，技术委员会主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。

全国信息安全标准化技术委员会的组织结构：

工作组名称：

WG1（信息安全标准体系与协调工作组），职能：研究信息安全标准体系；跟踪信息安全标准发展动态；研究、分析国内信息安全标准的应用需求；研究并提出新工作项目及工作建议。

WG2（涉密信息系统安全保密标准工作组），职能：研究提出涉密信息系统安全保密标准体系；制定和修订涉密信息系统安全保密标准，以保证我国涉密信息系统的安全。

WG3（密码技术工作组），职能：密码算法、密码模块，密钥管理标准的研究与制定。

WG4（鉴别与授权工作组），职能：国内外PKI/PMI标准的分析、研究和制定。

WG5（信息安全评估工作组），职能：研究提出测评标准项目和制定计划。

WG6（通信安全标准工作组），职能：研究提出通信安全标准体系，制定和修订通信安全标准。

WG7（信息安全管理工作组），职能：信息安全管理标准体系的研究，信息安全管理标准的制定。

大数据安全标准特别工作组，职能：负责大数据和云计算相关的安全标准化研制工作。

本次学习到这里，下次学习信息安全标准。