【星海随笔】信息安全相关标准

重要的国际信息安全标准>

国际标准化组织（ISO）
该组织成立于1947年2月23日，总部位于瑞士日内瓦‌

国际电工委员会（IEC）
成立于1906年，最初总部设在英国伦敦，但后来于1948年迁至瑞士日内瓦‌‌

ISO是一个非政府性的国际组织，致力于在全球范围内促进标准化工作的发展，以便于国际物资交流和互助，并扩大在文化、科学、技术和经济方面的合作。其主要活动包括制定ISO标准、协调世界范围内的标准化工作、报道国际标准化的交流情况，以及与其他国际组织进行合作‌
ISO与联合国及其下属的多个组织保持密切联系，包括欧洲经济委员会（ECE）、联合国粮食及农业组织（FAO）、国际劳工组织（ILO）、联合国教科文组织（UNESCO）等。它是联合国经济和社会理事会的综合性咨询机构，同时也是WTO技术贸易壁垒委员会（WTO/TBT委员会）的观察员‌

《信息技术安全性评估通用准则》(Common Criteria, CC) 是一个国际标准(ISO/IEC 15408)

由美国政府同加拿大及欧共体共同起草单一的通用准则（CC标准）并将其推到国际标准。
用于评估信息技术产品和系统的安全性。提供了一整套安全性需求和评估方法。
确保信息技术产品和系统的安全性达到预期的标准。
ISO/IEC 15408实际上是CC标准在国际标准化组织里的称呼，最新版本是ISO/IEC 18045；2022。
CC标准是第一个信息技术安全评价国际标注

《信息技术系统风险管理指南》(NIST SP 800-30)

《信息技术系统风险管理指南》(NIST SP 800-30) 是由美国国家标准与技术研究院(NIST)发布的指导文档，旨在帮助组织识别、评估和管理信息技术系统中的风险。本指南为制定有效的风险管理项目提供了基础信息，包括评估和削减IT系统风险所需的定义与实务指导。NIST SP 800-30提出了风险评估的方法论和一般原则，并在信息安全风险评估领域得到了较好的应用。该指南适用于所有类型和规模的组织，可以帮助它们更有效地保护信息系统和数据安全。

《系统安全工程能力成熟度模型》

SSE-CMM(Systems Security Engineering Capability Maturity Model, 系统安全工程能力成熟模型) 是一种用于评估和改进组织系统安全工程实践的框架。它基于成熟度模型的概念，通过评估一个组织在系统安全工程方面的过程和能力，帮助识别改进的领域。SSE-CMM与其他安全标准 (如 ISO/IEC 15408、NIST SP 800-30) 相辅相成，提供全面的安全工程和风险管理指导。

ISO/IEC 27000 系列标准

ISO/IEC 27000 系统标准是信息安全管理体系 (ISMS) 的国际标准，旨在帮助组织保护信息资产。该系列标准提供了从建立、实施、维护到持续改进信息安全管理系统的全面框架，适用于所有类型和规模的组织。ISO/IEC 27000 系列标准是目前国际标准化组织、大部分欧洲国家，以及日本、韩国、新加坡等亚洲国家或地区在信息安全管理标准领域的重点研究对象。我国的组多信息安全部门和企业、安全管理和服务咨询企业、管理体系认证机构等也在密切关注该系列标准的进展。

《信息安全管理体系要求》 27001
《信息安全管理体系实用规则》 27002
《信息安全管理体系实施指南》 27003
《信息安全管理度量》 27004
《信息安全风险管理》 27005

OCTAVE

Operationally Critical Threat，Asset，and Vulnerability Evaluation，可操作的关键威胁、资产和薄弱点评估）是由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心开发的用以定义一种系统的、组织范围内的评估信息安全风险的方法。
OCTAVE 是一种帮助组织全面理解和管理信息安全风险的方法论，其重点在于整合管理和技术措施，以确保组织的关键操作能够储蓄、安全地运行。
OCTAVE使组织通过技术和组织两方面的手段清理关键的资产、威胁和薄弱点。该方法分为3个阶段、8个过程。3个阶段分别是【建立企业范围内的安全需要、识别基础设施薄弱点、决定安全风险管理策略】。建立企业范围内的安全需求包括【识别企业知识、识别操作层的知识、识别员工知识、建立安全需求】4个过程。
识别基础设施的薄弱点包括标识关键组件、评估选定的组件两个过程。决定安全风险管理策略包括实施多维的风险分析、开发保护战略。
OCTAVE要求从与系统相关的各方面进行调查，包括领导、中层、一般员工，从而获得对资产与威胁的认识程度。

---

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）
《信息安全技术 个人信息安全规范》（GB/T 35273-2020）

国家安全等级保护

《信息安全技术 网络安全等级保护基本要求》 （GB/T 22239-2019）
不同等级的信息系统需要满足的安全要求，是我国网络安全等级保护工作的基础。

《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）
等级保护对象实施网络安全等级保护工作的过程。

数据安全

《信息安全技术 个人信息安全规范》 （GB/T 35273-2020）
规定了个人信息处理活动中的安全要求，包括个人信息的收集、存储、使用、传输、披露等环节。

《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）
为数据安全管理能力的评价提供了一个模型，帮助组织评估和改进其数据安全管理能力。

信息系统安全管理

《信息技术 安全技术 信息安全管理体系 要求》（GB/T 22080-2016,等同于 ISO/IEC 27001: 2013）
为建立、实施、维护和持续改进 ISMS 提供了要求。

《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
规定了信息系统安全评估的通用指标和方法，适用于信息系统的安全评估工作

密码技术于应用

《信息安全技术 SM2 椭圆曲线公钥密码算法》(GB/T 32918)
规定了SM2椭圆曲线公钥密码算法的技术规范。

《信息安全技术SM3密码杂凑算法》(GB/T 32905–2016）
规定了SM3密码杂凑算法的技术规范。

行业标准

《金融数据安全 数据安全分级指南》(JR/T 0197-2020)
由中国人民银行发布，针对金融行业的数据安全分类和分级提出具体要求。

云计算安全

《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
提供了云计算服务安全的基本要求和实施指南

物联网安全

《信息安全技术 物联网数据传输安全技术要求》(GB/T 37025-2018)
规定了物联网系统的安全技术要求，涵盖设备安全、通信安全、平台安全等方面。

智能设备安全

《信息安全技术 智能家居通用安全规范》(GB/T 41387-2020)
针对智能家居系统的安全技术要求，涵盖系统架构、设备互连、数据传输等方面。