1、n胡锦涛总书记在一份报告上批示:信息安全事关国家安全,必须予以高度重视。在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心”n吴邦国同志在一份报告上批示:信息安全认证中心的工作很重要,是确保国家信息安全,促进互联网健康发展的重大举措,又是当前急需解决的紧迫问题1、对国内外信息安全设备和信息技术实施安全性检验、测试与认证2、对国内信息系统和工程进行安全性评估与认证3、对提供信息安全服务的单位、人员的资质进行评估与认证4、承担国家信息安全技术标准的研究、制订和信息安全培训5、与各国相应的测评认证机构进行国际交流与合作信息系统使命信息系统使命信息系统建模,。信息系统建
2、模,。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如:例如:ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如:美国例如:美国DITSCAP,中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系
3、统测评认证实践技术准则技术准则(信息技术系统评估准则)(信息技术系统评估准则)管理准则管理准则(信息系统管理评估准则)(信息系统管理评估准则)过程准则过程准则(信息系统安全工程评估准则)(信息系统安全工程评估准则)信信息息系系统统安安全全性性评评估估准准则则技术技术过程过程管理管理人员人员保保证证对对象象生命周期生命周期信信息息特特征征计计划划组组织织开开发发采采购购实实施施交交付付运运行行维维护护废废弃弃机密性机密性完整性完整性可用性可用性信息系统使信息系统使命类命类信息系统威信息系统威胁分级胁分级信息系统信息系统安全保障级安全保障级ISAL+价值价值信息特征信息特征机密性机密性完整行完整行
4、可用性可用性产品产品EAL级别要求级别要求EAL管理能力成熟度级别管理能力成熟度级别ISAM-CML 过程能力成熟度级别过程能力成熟度级别ISAE-CML 信息系统信息系统安全分类安全分类安全要求安全要求基线基线信息系统使命类信息特征信息和信息系统价值机密性完整性可用性IBBB对信息保障策略的违犯造成的负面影响和结果对信息保障策略的违犯造成的负面影响和结果可以忽略。可以忽略。IIBMM对信息保障策略的违犯会对安全、保险、金融对信息保障策略的违犯会对安全、保险、金融状况、组织机构的基础设施造成不良影响和状况、组织机构的基础设施造成不良影响和/或或小的破坏。小的破坏。IIIBMH对信息保障策略的违
5、犯会产生一定破坏对信息保障策略的违犯会产生一定破坏IVBHH对信息保障策略的违犯会严重的破坏安全、保对信息保障策略的违犯会严重的破坏安全、保险、金融状况、组织机构的基础设施险、金融状况、组织机构的基础设施VMHH对信息保障策略的违犯会造成异常严重的破坏对信息保障策略的违犯会造成异常严重的破坏威胁级别威胁级别威胁说明威胁说明T1无意的或意外的事件T2被动的、无意识的占有很少资源并且愿意冒少量风险的对手T3占有少量资源但是愿意冒很大风险的对手T4占有中等程度资源的熟练的对手,愿意冒少量风险T5占有中等程度资源的熟练的对手,愿意冒较大风险T6占有丰富程度资源的特别熟练的对手,愿意冒少量风险T7占有丰
6、富程度资源的特别熟练的对手,愿意冒较大风险信息系统安全保障级技术(主要安全产品EAL级)安全保障管理能力成熟度级别安全保障过程能力成熟度级别EGISAL 1EAL 1EGISAM-CML 1EGISAE-CML 1EGISAL2EAL 2EGISAM-CML 1EGISAE-CML 1EGISAL3EAL 3EGISAM-CML 2EGISAE-CML 2EGISAL4EAL 4EGISAM-CML 3EGISAE-CML 3EGISAL5EAL 5EGISAM-CML 3EGISAE-CML 3定义:“某个指定机构根据认证过程的结果和其他相关的考虑对信息系统的运行所作出的管理决定”n在实施恰当的安全措施后,平衡业务需求和信息系统的残余风险n将信息系统或网络安全和可靠运行的责任指派给了某个指定的机构申请及文档审查阶段项目启动阶段现场核查安全性测试综合评估阶段综合评估阶段 安全认证阶段安全认证阶段 信息系统安全策信息系统安全策略略信息系统安全技术方案信息系统安全技术方案信息系统安全管理机构及制度信息系统安全管理机构及制度信息系统安全工程过程信息系统安全工程过程信息系统安全审计与评估信息系统安全审计与评估提交的五类文档:提交的五类文档:证后监督证后监督
