信安标准-测评标准-6.pptx

信息安全标准与法律法规
测评标准
重庆邮电大学法学院
黄永洪
**********
flood_linux@
信息安全标准体系
基础标准
安全术语
体系结构模型框架
保密技术
密码技术
技术与机制标准
标识与鉴别
授权与访问控制
实体管理技术
物理安全
管理标准
管理基础
管理要素
管理支撑技术
工程与服务
测评标准
测评基础
产品测评
系统测评
信息安全标准体系
1
2
3
测评基础
产品测评
系统测评
测评标准
2
3
产品测评
系统测评
测评标准
1
测评基础
计算机信息系统安全保护等级划分准则(2001)
GB 17859-1999
本标准规定了计算机信息系统安全保护能力的五个等级,即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
本标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
信息技术安全技术信息技术安全性评估准则第1 部分:简介和一般模型(2008)
本部分定义了两种结构以表述IT安全功能和保证要求。其中,保护轮廓(PP)允许创建一些普遍的可重复使用的安全要求集合。PP可被目标用户用于规范和识别满足其需求的铲平及其IT安全特性。安全目标(ST)用于阐述安全要求和详细说明被评估产品或系统的安全功能,这些产品通常称为评估对象(TOE)。ST被评估者用来作为在GB/T 18336 指导下进行评估活动的基础。
信息技术安全技术信息技术安全性评估准则第2 部分:安全功能要求
(2008)
本部分等同采用国际标准ISO/IEC15408-2:2005《信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求》。
信息技术安全技术信息技术安全性评估准则第3 部分:安全保证要求
(2008)
本部分等同采用国际标准ISO/IEC15408-3:2005《信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求》。
信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型
(2006)
本部分给出了信息系统安全保障的基本概念和模型,并建立了信息系统安全保障框架。本部分适用于从事信息系统安全保障工作的所有相关方,包括设计开发者、工程实施者、评估者、认证认可者等。本部分不适用于一下方面:a)人员技能和能力的评估,但对人员安全的要求在管理保障中体现;b)系统评估方法学;c)密码算法固有质量的评价。
信息安全技术信息系统安全保障评估框架第2部分:技术保障(2008)
本部分建立了信息系统安全技术保障的框架,确立了组织机构内的启动、实施、维护、评估和改进信息安全技术体系的指南和通用原则。GB/T 20274的本部分的定义说明了信息系统安全技术体系建设和评估中反映组织机构信息安全的技术体系架构能力级,以及组织机构信息系统安全的技术要求。GB/T 20274的本部分适用于启动、实施、维护、评估和改进信息安全技术体系的组织机构和涉及信息系统安全技术工作的所有用户、开发人员和评估人员。