@不喜丶不悲
2年前 提问
1个回答

常见信息安全评估标准有哪些

delay
2年前

常见信息安全评估标准有以下这些:

  • TCSEC:《可信计算机系统安全评估准则》是美国国防部1985年起开始制定的安全评估标准,该标准是计算机系统安全评估领域的第一个正式标准。它以七层不同安全等级的形式度量系统的安全风险,安全等级越高,风险越低。TCSEC从用户身份鉴别授权、访问控制、安全审计等多个维度考虑安全评估问题。

  • ITSEC:1990年英国、法国、德国和荷兰制定了《信息技术安全评估准则》(Information Technology Security Evaluation Criteria,ITSEC)。该标准提出了机密性、完整性和可用性安全属性的定义,并在理论层面提出了评估对象(TOE)的概念。ITSEC将被测对象的功能和质量保证分开,可应用于产品和信息系统两类对象的评估。

  • CC标准:1993年6月,美国、欧洲和加拿大共同起草《信息技术安全评价通用准则》(Common Criteria of Information Technical Security Evaluation,简称CC标准)并将其推广成为国际标准。制定CC标准的目的是建立一个共识性的通用信息安全产品和系统的安全性评估框架。CC标准借助保护轮廓和安全目标提出安全需求,并分别基于功能要求和保证要求进行安全评估,最终实现分级评估目标。

  • ISO/IEC:27000系列标准1995年,英国标准协会(BSI)制定了信息安全管理体系标准BS-7799。该标准分为指南和规范两部分。其目的是为各种机构、企业进行信息安全管理提供一个完整的管理框架。后来该标准成为国际标准ISO/IEC 17799,在此基础上修改并完善形成现在的ISO 27001(管理体系要求)和27002(安全技术规范)等系列标准。ISO/IEC 27000系列是信息安全领域的管理体系标准,该标准明确了组织应如何确定其信息安全风险评估和处置过程可靠性的要求。各类组织可以按照ISO/IEC 27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。

  • 等级保护系列标准:我国的信息安全等级保护系列标准,是一套主要采用对信息和信息载体按照重要性等级分级别进行保护的信息安全标准。该系列标准覆盖了定级、备案、安全建设和整改、信息安全等级测评以及信息安全检查等五个安全保护阶段。其中根据信息系统的重要性和影响,将其分为用户自主保护级、系统审计保护级、全标记保护级、结构化保护级和访问验证保护级共5个等级。对应安全要求依次由低到高。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。