文章目录

  • 标准概述
    • 定义
    • 分类
    • 编号
  • 信息安全相关标准
  • 等保相关标准及体系
    • 第一层
    • 第二层
    • 第三层

标准概述

  标准的存在不仅对于我国,而对于全世界都是非常必要的,例如:度量单位、生产加工、国际贸易都离不开标准。标准界中一般都是谁做得好,谁话事,想要达到别人的标准也不容易,例如你到国外读研究生,别人不承认你所修的本科学分,说明你所在学校没有达到国际标准,如果是985的高校,那么可能就没有这个问题。

定义

  国际标准化组织(ISO)和国际电工委员会(IEC)在《Standardization and related activities-General vocabulary》(最新版不知道啥年份,目前看到04年的:ISO/IEC GUIDE 2:2004,中文叫标准与相关活动的通用词汇)3.2节中给出的定义是:
  Document, established by consensus and approved by a recognized body, that provides, for common and repeated use, rules, guidelines or characteristics for activities or their results, aimed at the achievement of the optimum degree of order in a given context.
  NOTE. Standards should be based on the consolidated results of science, technology and experience, and aimed at the promotion of optimum community benefits.
  没看懂没关系,GB/T 20000.1-2014 《标准化工作指南 第1部分:标准化和相关活动的通用术语》(该标准貌似2020要修订)中也给出了标准对应的定义:
  通过标准化活动,按照规定的程序经协商一致制定,为各种活动或其结果提供规则、指南或特性,供共同使用和重复使用的文件。
注1:标准宜以科学、技术和经验的综合成果为基础。
注2:规定的程序指制定标准的机构颁布的标准制定程序。
注3:诸如国际标准、区域标准、国家标准等,由于它们可以公开获得以及必要时通过修正或修订保持与最新技术水平同步,因此它们被视为构成了公认的技术规则。其他层次上通过的标准,诸如专业协(学)会标准、企业标准等,在地域上可影响几个国家。
  理解【标准】的定义对于理解信息安全及等保标准体系很有帮助,因为信息安全及等保标准也是【标准】,也是根据【标准】框架来进行制定的。

分类

  标准的分类对于理解信息安全及等保标准体系很有帮助,后面的信息安全及等保标准体系也可以按这个分类思路。

  1. 按标准的实施范围的分法:国家标准、行业标准、地方标准和团体标准、企业标准。至于每一类标准由哪个部门制定和审批,哪个部门备案就不展开了。另外还有“国家标准化指导性技术文件”,作为对四类标准的补充。此类标准在编号上表示为“GB/Z"。
  2. 按标准的约束性质的分法:强制性标准、推荐性标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准。(貌似现在也有些地方标准也有强制标准)
    强制性标准,必须符合,没得商量(这类标准一般和广大人民生命财产利益、国家安全、环境等相关)。其他类的产品,国家鼓励采用推荐性标准。
    强制性标准又可以分为:全文强制和条文强制,这和后面的信息安全及等保标准关系不大,不展开。
  3. 按标准的地位来分:基础标准、一般标准。
  4. 按标准化对象来分:技术标准、管理标准和工作标准。这三类标准又可以细分,例如,技术标准可以进一步分为:基础性技术标准,产品标准,工艺标准,检测和试验方法标准,设备标准,原材料、半成品、外购件标准,安全、卫生、环境保护标准,标识标准等。这里不需要了解得太细。

编号

  了解标准的编号可以使我们快速的对应到标准的分类,当然由于标准有国内和国际的(当然还有区域[如欧盟]和行业大佬[如诺基亚、IBM]制定的标准,这里就不细分了),所以编号也分为国内标准编号和国际标准编号,不过二者都大概遵循以下结构:
标准代号+专业类号(optional)+顺序号+年份标准代号+专业类号(optional)+顺序号+年份标准代号+专业类号(optional)+顺序号+年份

  1. 标准代号基本就是缩写或者使用中文的拼音首字母,举些栗子:
    ISO:国际标准化组织International Standard Organization
    IEC:国际电工委员会International Electrotechnical Commission
    GB:国家强制标准
    JR:金融行业标准
    GA:公共安全行业标准
    GD:广电行业标准
    MH:民航行业标准
    YD:邮电行业标准
    当然也有例外:
    QJ:航天行业标准,很久以前,航天属于【七级】部
    SJ:电子行业标准,电子工业部的前身是第【四机】械工业部
    DB:地方标准,地方标准由大写汉语拼音DB加上省、自治区、直辖市行政区划代码的前面两位数字组成,【详细代码见《中华人民共和国行政区划代码》:北京市(110000 BJ)、天津市(120000 TJ)河北省(130000 HE)…】,例如:DB11-XXXX代表北京市标准
    Q:企业标准,企业标准的代号由汉字大写拼音字母Q加斜线再加企业代号(通常是三位,汉语拼音或阿拉伯数字或两者兼用)组成,技术标准加“/J”,管理标准加“/G”,工作标准加“/Z”
  2. 专业类号(optional),一般是斜杠加单个字母组成:
    /T:推荐标准
    /Z:工作标准,在GB后面/Z代指导性技术文件
    /J:技术标准
    /G:管理标准

  有了这些知识,我们再来看标准就更加明白,例如:
GB/Z 30525-2014 《科技平台标准化工作指南》,属于国家标准化指导性技术文件,2014年发布。
GD/J 037-2011 《广播电视播出相关信息系统等级保护定级指南》,属于国家广播电影电视总局科技司技术标准,2011年发布。
GB 17859-1999《计算机信息系统安全保护等级划分准则》,属于国际强制性标准,1999年发布。

信息安全相关标准

  我国的信息安全相关标准以及标准化工作由全国信息安全标准化技术委员进行管理,目前已出台了很多信息安全保护方面的标准,包括GB、GB/T、GA、GA/T等,本来想着要列出来,但是发现已经有目录了:信息安全国家标准目录(2018 版)
  这些标准当然是涵盖了等保相关标准的,下面把标准的分类列出来:
一、基础标准
1、术语概念
2、框架模型
二、技术与机制标准
1、密码算法和技术
2、安全标识
3、鉴别与授权
4、可信计算
5、生物特征识别
6、身份管理
三、安全管理标准
1、ISMS
2、风险管理
3、运维管理
4、事件管理
四、安全测评标准
1、测评准则
2、测评方法
五、产品与服务标准
1、组件
2、安全产品
3、IT产品
4、网络关键设备
5、网络安全专用产品
6、网络服务
六、网络与系统标准
1、信息系统(等保相关标准基本在这里,这个文档是18年的,所以新等保标准没更新进来)
2、办公系统
3、通信网络
4、工业控制系统
七、数据安全标准
1、个人信息
八、组织管理标准
1、机构
2、人员
3、监管
4、供应链
九、新技术新应用安全标准
1、云计算
2、大数据
3、物联网
4、移动互联网
5、关键信息基础设施
5.1 信息共享
5.2 监测预警
5.3 事件应急

等保相关标准及体系

  有了上面的知识作为铺垫,下面来看看等保2.0标准三层体系结构

第一层

  第一层体现了标准体系的层次和标准级别:国家标准、行业标准和企业标准。
  依据《中华人民共和国标准化法》,推荐性国家标准、行业标准、地方标准、团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求。同时,国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准。

第二层

  按照规范对象和作用的不同将标准体系分解为基础、网络和产品三大类。

  这里的基础类标准其实应该包含两个:
GB 17859-1999《计算机信息系统 安全保护等级划分准则》
GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

第三层

  第三层就是:(网络类标准+产品类标准)的展开。网络类标准进一步按照等级保护工作流程展开,构成序列关系,而产品类标准按照功能分类依次展开。

  网络类标准列表:
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(这个其实可以算基础类标准)
GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》
GB/T 36958-2018《信息安全技术 网络安全等级保护安全管理中心技术要求》
GB/T 36959-2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》
GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》
  上面提到这些的标准有序列关系,实际上是指这些标准应用在等保过程有先后顺序:

等保过程 相关等保2.0标准 作用
定级 GB/T 22240-2020和相应的行业或企业标准 划分定级对象和确定安全保护等级
安全建设 GB/T 22239-2019、GB/T 25070-2019和相应的行业或企业标准 规划设计和建设工作,科学合理的选择和部署必要的安全措施
等级测评 GB/T 28448-2019、GB/T 28449-2018和相应的行业或企业标准 规范和指导等级测评工作


  产品类标准列表:
GB/T 20272-2019 《信息安全技术 操作系统安全技术要求》
GB/T 20008-2005 《信息安全技术 操作系统安全评估准则》
GB/T 20273-2019 《信息安全技术 数据库管理系统安全技术要求》
GB/T 20278-2013 《信息安全技术 网络脆弱性扫描产品安全技术要求》
GB/T 21050-2019 《信息安全技术 网络交换机安全技术要求》
  还有很多,基本都和信息安全产品(软硬都有)相关,不一一列举。

参考文献:

  1. ISO/IEC GUIDE 2:2004
  2. GB/T 20000.1-2014 《标准化工作指南 第1部分:标准化和相关活动的通用术语》
  3. 中华人民共和国主席令第七十八号《中华人民共和国标准化法(2017修订)》
  4. 陈忠文.《信息安全标准与法律法规》第二版.武汉大学出版社
  5. 中级等保测评师教材

等保2.0 信息安全及等保标准体系概述相关推荐

  1. 等保2.0:这些等保测评要求,你都知道吗?

    等保2.0:这些等保测评要求,你都知道吗? 等级保护工作流程是怎样的? 等级保护测评有哪些技术类型?具体指标如何? 等保基本要求的三种技术类型(S/A/G) 贯彻落实等级保护2.0是关键基础设施运营单 ...

  2. 你说的等保3.0,是不是等保三级测评

    不懂等级保护的朋友,也许很容易出现这样的错误.不少首次咨询等保测评服务的朋友,很容易这样说,你好,我想做等保3.0,您这里可以帮忙吗?一听这哥们这样说话,我就知道他是不清楚信息安全等级保护或者网络安全 ...

  3. 等保2.0.第九章.等保2.0基础知识

    文章目录 等保2.0基本概况 基本概念回顾 等保对象演变 等保标准变化 等保2.0通用要求解读 等级保护1.0和2.0对比 控制点对比 要求项对比 总结对比 详细控制点对比 物理安全/物理和环境安全 ...

  4. 等保2.0标准_信息安全技术标准与等保2.0

    1. 等保2.0 等保2.0相关的<信息安全技术网络安全等级保护基本要求>.<信息安全技术网络安全等级保护测评要求>.<信息安全技术网络安全等级保护安全设计技术要求> ...

  5. 关于等保2.0,这些是你应该知道的

    ▼更多精彩推荐,请关注我们▼ 等保2.0,一个全新的网络安全时代的开始! 2019年5月13日,网络安全等级保护制度2.0(以下简称等保2.0)标准正式发布,并将于2019年12月1日开始实施. 等保 ...

  6. 网络安全等级保护制度2.0(简称“等保2.0”)学习笔记

    文章目录 一.等保背景 二.为什么要颁布实施等保2.0? 三.等保2.0相比等保1.0有哪些不变? 四.等保2.0相比等保1.0有哪些区别? 五.网络安全等级保护2.0的要求及所需设备的清单 5.1 ...

  7. 几维安全等保2.0要点解析及落地实施技术攻略

    2018年6月27日,公安部正式发布<网络安全等级保护条例(征求意见稿)>,标志着<网络安全法>所确立的网络安全等级保护制度有了具体的实施依据与有力抓手,标志着等级保护正式迈入 ...

  8. 等保2.0 | 两分钟读懂等保标准新变化

    2017年10月15-19日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开,16日上午WG5工作组191个成员单位中121家单位的231位专家参加了工作会议,深信服作为成员单位之一派代 ...

  9. 阿里云积极落实等级保护制度,政务云全国首个通过等保2.0合规评测

    2019独角兽企业重金招聘Python工程师标准>>> 5月16日,阿里云"电子政务云平台系统"正式通过网络安全等级保护三级测评.这是等保2.0正式国家标准GB/ ...

最新文章

  1. 第十七届智能车竞赛英飞凌专题培训 ——英飞凌无刷电机驱动专题
  2. Habitica 4.85.5 发布,习惯游戏养成应用
  3. 脚本编程语言python语言-python语言是脚本语言吗
  4. 打印数组算法:堆栈与深度优先搜索(迷宫问题)
  5. 「日常训练」Alternative Thinking(Codeforces Round #334 Div.2 C)
  6. 约瑟夫环问题(vector模拟过程)
  7. ie浏览器ip代理怎么设置
  8. Hive篇--搭建Hive集群
  9. 奔跑吧火柴人c语言开发_小学数学智力题:这两个火柴棍趣味题,你能做出来吗?...
  10. 如何让隐藏在大数据背后的价值发挥出来?
  11. LeetCode 152. 乘积最大子序列(动态规划)
  12. Oracle 同音字查询,汉字的演变过程100字,汉字的演变图片
  13. 微信小程序登录 php后台
  14. C# IMEI15位转换成8位密码
  15. 耗时86小时的「百变小樱」最强数据可视化作品!| 译文
  16. lumion拍摄视频基础
  17. 提升营业额的正确方法
  18. android wifi 获取 getBssiD
  19. #在NetBeans IDE完成项目1.学生姓名显示器V22.物品价格展示器3.昵称生成器4.货币转换器5.字符数计算器6.素数计算器7.圆面积周长计算器8.年龄计算器9.表白神器V210.阶乘计算器
  20. python---打包exe文件运行自动化

热门文章

  1. 三亚自由行攻略(自己穷游总结)
  2. PL / SQL在线编译器–在线运行Oracle PL / SQL程序
  3. 2021年全球与中国飞机螺旋桨系统行业市场规模现状及企业市场份额分析
  4. 实验室风淋系统洁净风淋室
  5. 深层学习:心智如何超越经验1.1 混乱的时钟
  6. 运营商移动联通电信网络制式及频段
  7. 深度学习-skimage.transform报错的玄学问题
  8. 请出中本聪,迎接新世界(6-10)
  9. Java基础------第一个项目
  10. Mac安装 画图工具pydotplus