信息安全标准
可分为信息安全管理系统、技术与工程类标准
信息安全管理体系:
1、BS7799-1 《信息安全管理实施规则》,提供一套信息安全最佳管理组成的实施规则,可作为企业信息安全管理体系建设参考
2、BS7799-2 《信息安全管理体系规则》规定了信息安全管理系统各方面的达标指标
技术与工程标准
《可信计算机系统评估准则》(TCSEC),俗称“橘皮书”,向制造商提供一直制造标准,同时为用户提供一种验证标准。
《信息技术安全评估准则》(CC),我国依据CC制定了GB/T18336《信息技术安全性评估准则》
CC适用于硬件,固件,和软件实现的信息技术安全措施,包含三个部分:
1、简介和一般模型
2、安全功能要求
3、安全保证要求
信息系统安全工程能力成熟模型(SSE-CMM),确定一个评价安全工程实施的综合框架,提供了度量与改善安全工程的方法。我国安全评测中心评审机构信息安全服务资质的依据就是SSE-CMM