信息技術安全性評估通用準則

　　“沒有規矩，不成方圓”，這句話在信息系統風險評估領域也是適用的，沒有標準指導下的風險評估是沒有任何意義的。通過依據某個標準的風險評估或者得到該標準的評估認證，不但可為信息系統提供可靠的安全服務，而且可以樹立單位的信息安全形象，提高單位的綜合競爭力。從美國國防部1985 年發布著名的可信計算機系統評估準則(TCSEC)起，世界各國根據自己的研究進展和實際情況，相繼發布了一系列有關安全評估的準則和標準，如美國的TCSEC;英、法、德、荷等國20 世紀90 年代初發布的信息技術安全評估準則(ITSEC);加拿大1993 年發布的可信計算機產品評價準則(CTCPEC);美國1993 年制定的信息技術安全聯邦標準(FC);由6 國7 方(加拿大、法國、德國、荷蘭、英國、美國NIST 及美國NSA)于20 世紀90 年代中期提出的信息技術安全性評估通用準則(CC);由英國標準協會(BSI)制定的信息安全管理標準BS779(ISO17799)以及最近得到ISO 認可的SSE-CMM(ISO/IEC21827:2002)等。我國根據具體情況，也加快了對信息安全標準化的步伐和力度，相繼頒布了如《計算機信息系統安全保護等級劃分準則》(GB17859)[6]、《信息技術安全性評估準則》(GB/T18336)以及針對不同技術領域其他的一些安全標準。下面一起來看小編分享的信息技術安全性評估通用準則吧。

　　CC 標準

　　信息技術安全評估公共標準CCITSE(common criteria of information technical securityevaluation)，簡稱CC(ISO/IEC15408-1)，是美國、加拿大及歐洲4 國(共6 國7 個組織)經協商同意，于1993 年6 月起草的，是國際標準化組織統一現有多種準則的結果，是目前最全面的評估準則。

　　CC 源于TCSEC，但已經完全改進了TCSEC。CC 的主要思想和框架都取自ITSEC(歐)和FC(美)，它由三部分內容組成：

　　1)介紹以及一般模型;

　　2)安全功能需求(技術上的要求);

　　3)安全認證需求(非技術要求和對開發過程、工程過程的要求)。

　　CC 與早期的評估準則相比，主要具有4 大特征：

　　1)CC 符合PDR 模型;

　　2)CC 評估準則是面向整個信息產品生存期的;

　　3)CC 評估準則不僅考慮了保密性，而且還考慮了完整性和可用性多方面的安全特性;

　　4)CC 評估準則有與之配套的安全評估方法CEM(commonevaluation methodology)。

　　BS7799(ISO/IEC17799)

　　BS7799 標準是由英國標準協會(BSI)制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括兩部分：BS7799-1:1999《信息安全管理實施細則》;

　　BS7799-2:2002《信息安全管理體系規范》，其中BS7799-1:1999 于2000 年12 月通過國際標準化組織(ISO)認可，正式成為國際標準，即ISO/IEC17799:2000。

　　BS7799-1:1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則，BS7799-2:2002 以BS7799-1:1999 為指南，詳細說明按照PDCA 模型建立、實施及文件化信息安全管理體系(ISMS)的要求。

　　ISO/IEC 21827:2002(SSE-CMM)

　　信息安全工程能力成熟度模型(system security engineering capability maturity model)，是關于信息安全建設工程實施方面的標準。

　　SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個安全工程過程應有的特征，這些特征是完善的安全工程的根本保證。SSE-CMM 模型通常以下述三種方式來應用：“過程改善”— —可以使一個安全工程組織對其安全工程能力的級別有一個認識，于是可設計出改善的安全工程過程，這樣就可以提高他們的安全工程能力;“能力評估” — —使一個客戶組織可以了解其提供商的安全工程過程能力;“保證” — —通過聲明提供一個成熟過程所應具有的各種依據，使得產品、系統、服務更具可信性。

　　我國國家標準《計算機信息系統安全保護等級劃分準則》

　　我國國家標準《計算機信息系統安全保護等級劃分準則》(GB17859)于1999 年9 月正式批準發布，該準則將計算機信息系統安全分為5 級：用戶自主保護級、系統審核保護級、安全標記保護級、結構化保護級和訪問驗證保護級。

　　標準評述

　　綜合以上幾種標準，我們在這里簡單地進行一下標準的比較和評價。

　　BS7799 是側重于管理理念的最好體現，同BS 7799 相比，信息技術安全性評估準則(CC)和美國國防部可信計算機評估準則(TCSEC)等更側重于對系統和產品的技術指標的評估，在安全管理要求的全面性和完整性方面不如BS 7799;在對信息系統日常安全管理方面，BS7799 的地位是其他標準無法取代的，BS7799 涵蓋了安全管理所應涉及的方方面面，全面而不失可操作性，提供了一個可持續提高的信息安全管理環境,但在安全技術方面不如CC 分析的系統、透徹。

　　SSE-CMM 是系統安全工程領域里成熟的方法體系，在理論研究和實際應用方面具有舉足輕重的作用，SSE-CMM 模型適用于所有從事某種形式安全工程的組織，而不必考慮產品的生命周期、組織的規模、領域及特殊性。它已經成為西方發達國家政府、軍隊和要害部門組織和實施安全工程的通用方法，我們國家也已準備將SSE-CMM 作為安全產品和信息系統安全性檢測、評估和認證的標準之一。

　　我國的標準體系基本上是采取等同、等效的方式借鑒國外的標準,如GB/T 18336 等同于ISO/IEC 15408。

【信息技術安全性評估通用準則】相關文章：

八條準則教你如何評估“創業機會”04-21

安全性報告03-06

自評估報告（通用20篇）12-23

心理評估報告（通用18篇）10-13

安全評估報告（通用20篇）05-19

(通用)安全評估報告2篇09-03

面試必知的準則09-25

教學督導評估報告（通用22篇）12-30

面談提問的三大準則07-13

實用的簡歷制作準則08-06