网络信息一系列推进安全保护的决定和管理发展的规范、指南、导则等的合称。安全保护的决定标准是保障安全保护的决定的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范和依据。信息安全标准是信息化建设的保证,关系到国家安全及经济利益,成为保护国家利益、促进产业发展的重要手段。

信息安全标准可以从四个维度进行划分:①按标准发生作用的范围和审批标准来分,可以分为国际标准、国家标准、地方标准、企业标准等四类。②按信息安全标准的约束性来分,可以分为强制性标准和推荐性标准两类。《中华人民共和国标准化法》规定:“强制性标准,必须执行。不符合强制性标准的产品,禁止生产、销售和进口。推荐性标准,国家鼓励企业自行采用。”③按标准在整个信息安全标准系统中的地位作用来分,可以分为基础标准和一般标准。基础标准是指一定范围内作为其他标准的基础并普遍使用的标准,具有广泛的指导意义。例如《计算机信息系统安全保护等级划分准则》(GB17859-1999)就是基础标准;一般标准是指基础标准以外的其他标准。④按标准的性质来分,可以分为技术标准、管理标准和工作标准。技术标准是对标准化领域中需要协调统一的技术事项所制定的标准;管理标准是对标准化领域中需要协调统一的管理事项所制定的标准;工作标准是对工作的责任、权利、范围、质量要求、程序、效果、检查方法、考核办法所制定的标准。

信息安全标准的体系框架可以分为五个部分:①基础标准。信息安全基础标准是整个信息安全标准体系的基础部分,并向其他的技术标准提供所需的服务支持,基础标准内容包括信息安全术语、信息安全体系结构、信息安全框架、信息安全模型、安全技术等五个方面。②物理安全标准。其内容包括物理环境和保障、安全产品、介质安全等三个方面。③系统和网络标准。其内容包括硬件应用平台安全、软件应用平台安全、网络安全、安全协议、安全信息交换语法规则机接口、业务应用平台等七个方面。④应用和工程标准。其内容包括安全工程和服务、人员资质、行业应用等三个方面。⑤管理标准。其内容包括管理基础、系统管理、测评认证等三个方面。

国际上制定信息安全标准的组织主要有国际标准化组织( International Organization for Standardization,ISO)、国际电工委员会( International Electrotechnical Commission,IEC)、国际互联网工程任务组( The internet Engineering task force,IETF)等。世界各国也都建立有自己的信息安全标准组织,如美国的美国国家标准学会( American National standards institute，ANSI)和美国国家标准与技术研究院( National Institute of standards and Technology,NIST)、英国的英国标准协会( British Standards Institute,BSI)等。中国制定信息安全标准的组织主要有中国信息安全标准化技术委员会( China Information Security standardization Technical Committee, CISTC)和中国通信标准化协会( China communications standards association,CCSA）

更多内容您可前往信创致远http://www.dengbao110.com/查看。