全国信安标委秘书处 上官晓丽国家信息安全等级保护安全建设工程师培训二○一五年十一月一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准（ standard ）”定义：为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。

理解：1）制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。

2）标准是共同使用和重复使用的一种规范性文件。

3）制定标准的对象是“活动或其结果”。

4）标准产生的基础是“科学、技术和经验的综合成果”。

5）标准需经过有关方面协商一致。

6）标准需经“公认机构”的批准。

基本概念——“标准化（ standardization ）”定义：为了在既定范围内获得最佳秩序，促进共同效益，对现实问题或潜在问题确立共同使用和重复使用的条款，编制、发布和应用文件的活动。

注1：标准化活动确立的条款，可形成标准化文件，包括标准和其他标准化文件。

注2：标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性，促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪（一）中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

（二）2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求：“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，“要加强信息安全标准化工作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准衔接的中国特色的信息安全标准体系。

要重视信息安全标准的贯彻实施，充分发挥其基础性、规范性作用”。

与27号文件相关的如66号等文件中进一步提出，信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。

标准制定中要体现该原则。

（三）中华人民共和国国务院2012年6月28日发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（即国务院23号文件）中再次强调“落实信息安全等级保护制度，开展相应等级的安全建设和管理”，“加快法规制度和标准建设”，“中央财政加大投入,重点支持信息安全战略研究和标准制定....等重要基础性工作。

”（四）2013年3月在《中华人民共和国国民经济和社会发展十二五规划纲要》中要求：健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系。

（五）2015年2月11日李克强主持召开的国务院常务会议指出：在涉及公众利益的健康、安全、环保等领域建立统一的强制性国家标准，逐步缩减推荐性标准，推动向公益性标准过渡。

......提高标准国际化水平。

◆我国信息安全标准化工作最早可追溯到20世纪80年代。

回顾我国二十多年的信息安全标准化发展经历，可以简单分为两个阶段。

◆第一个阶段是从最开始到2002年，这期间信息安全还没有引起人们的高度重视，标准化工作都是由各部门和行业根据行业业务需求分别制定，没有统筹规划和统一管理，各部门相互之间缺少沟通和交流。

◆第二个阶段是2002年以后，我国成立全国信息安全标准化技术委员会，全面规划和管理我国信息安全国家标准。

◆我国于1984年7月在信息技术标准化技术委员会之下组建了数据加密标准化分技术委员会，1985年发布了第一个有关信息安全方面的标准；◆1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会。

◆该分技术委员会本着积极采用国际标准的原则，将一批国际信息安全基础技术标准转化成国家标准，为我国信息安全标准化工作奠定了初步基础。

◆在上述分委员会的推动下，公安部、安全部、国家保密局、国家密码管理委员会(现国家密码管理局)和军队有关部门等参与下，制定了一批信息安全的国家或行业标准，为推动我国信息安全技术在各行业的应用和普及发挥了积极作用。

其标准系列编号主要有：GB、GB/T、GJB、BMB、GA、YD等。

2002年4月, 全国信息安全标准化技术委员会（简称信安标委，编号TC260）成立，它是国家标准化管理委员会的直属标委会，其职责是从事全国信息安全标准化工作，统一协调和申报信息安全国家标准年度计划项目，组织国家标准的送审、报批、宣贯等工作。

在国家标准委和工信部的领导下，在公安部、安全部、国家保密局、国家密码管理局、国家认监委和总参等相关部门的指导和大力支持下，根据《国家信息安全“十一五”规划》（以下简称《规划》）要求，我国信息安全标准化沿着采用国际标准与自主研制并重的工作思路，取得了卓有成效的成绩，研究制定了一大批信息安全国家标准，已初步建立了我国信息安全标准体系，有力支持了我国信息安全保障体系建设。

正式发布国家标准:162项正在执行国标计划:169项信息安全等级保护标准化工作发展◆1994年国务院发布147号令即公布《中华人民共和国计算机信息系统安全保护条例》之后。

公安部在国家发改委支持下通过执行国家专项“1110 工程”，开始系统地制定国家信息安全标准，90 年代末形成一批急需的信息安全标准，其中包括信息安全第一个强制性标准---GB17859-1999。

◆近几年，为组织各单位、各部门开展信息安全等级保护工作，公安部根据法律授权，会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作，出台了一系列政策文件，构成了信息安全等级保护政策体系，为指导各地区、各部门开展等级保护工作提供了政策保障。

同时，在国内有关部门、专家、企业的共同努力下，制定了信息安全等级保护工作需要的一系列标准，形成了信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。

信息安全等级保护标准发挥的作用（一）支撑作用。

信息安全等级保护标准是国家信息安全政策、法律和法规在技术和技术管理领域的体现，发挥着技术支撑作用。

（二）规范作用。

信息安全标准在信息安全等保建设中，起着指标和度量作用，发挥了规范和检验作用。

（三）指导作用。

标准在信息安全等保工作中发挥了统一信息安全术语、概念、框架和路线图的作用。

（四）基础作用。

现有标准既是信息安全工作的基础和里程碑，又是新标准的起点。

（五）培训作用。

标准及其解释本身就是一部信息安全专业的理论及最佳实践的经验总结，也是信息安全的基础教材何为“ 标准体系”▪国家标准GB/T 13016-2009《标准体系表编制原则和要求》明确了标准体系研究的基本概念、编制原则和基本方法▪标准体系是客观存在的标准有机整体，是标准的集合。

标准体系是通过系统的标准化指导行业、机构团体、产品、服务或工程项目等，从而达到整体的最佳效益。

标准体系表用以表达标准体系的构思、设想、整体规划，包括标准体系结构图和明细表，也可通过辅助的矩阵图或板块图等表示。

标准体系表是表达标准体系概念的模型。

▪GB/T 13016-2009规定“标准体系表的编制，应首先明确建立标准体系的目的。

不同的目的，可以编制出不同的标准体系表。

”标准分类▪目前尚无统一的标准分类理论和方法。

各标准组织基本上是根据各自的实践经验和实际需要，划分标准类别（分析），构建标准体系（综合），而且在不断进行调整。

▪国际上来讲，很少谈及标准体系，更多讲的是标准路线图，与体系不同的话，包括了对每项涉及到的标准化的制定时间表，更有计划性。

（一）国际标准化组织的标准分类ISO/IEC JTC1 SC27是国际标准化组织（ISO）和国际电工委员会（IEC）在信息技术领域共同成立的第一联合技术委员会（JTC1）下属的信息安全分技术委员会，专门负责信息与信息通信技术（ICT）安全标准研制工作。

下设5个工作组，见下图。

（二）我国信息安全标准分类我国信息安全有关部门多年来对信息安全标准分类方法进行了持续研究，并从不同角度先后提出了多种分类方法。

如：◆全国信息安全标准化技术委员会编制的《信息安全标准体系》（V1.0）；◆全国信息安全标准化技术委员会秘书处编印《信息安全国家标准目录》V2.0版）◆国家信息安全等级保护工作协调小组办公室组织专家和标准起草单位共同编写的《信息安全等级保护主要标准简要介绍》等等。

《信息安全标准体系》是全国信息安全标准化技术委员会的技术文件，用于指导信息安全标准制定和信息安全标准实施。

2005年，形成《国家信息安全标准体系》v1.02014年，形成《国家信息安全标准体系》v4.0该标准体系v4.0，密切结合全国信息安全标准化技术委员会的组织架构体系和近年来信息安全国家标准研究与制定情况，对现有信息安全国家标准进行了归类和整理而提出的。

该标准体系编制原则：力图体现既能保持与国际接轨，又能体现全国信息安全标准化技术委员会的工作特点；既能反映标准体系的共性，又能体现信息安全标准化的特征。

国家信息安全标准体系▪是由信息安全领域内具有内在联系的标准组成的科学有机整体；▪是编制信息安全标准制、修订计划的重要依据；▪是促进信息安全领域内的标准组成趋向科学合理化的手段；▪是一幅现有、应有和预计制定信息安全标准的蓝图，并随着科学技术的发展不断地完善和更新。

国家信息安全标准体系主要由体系框架和标准明细表两部分组成，为现阶段信息安全标准制、修订提供依据，为信息安全保障体系建设提供支撑.信息安全技术标准从总体上可划分为七大类：▪基础标准▪技术与机制标准▪管理标准▪测评标准▪密码标准▪保密标准▪通信安全标准在每一大类的基础上，可按照标准所涉及的主要内容进行细分。

管理标准基础标准技术与机制标准测评标准信息安全技术标准体系安全术语体系结构模型框架密码技术保密技术标识与鉴别授权与访问控制实体管理物理安全管理基础管理体系管理支撑技术信息安全服务测评基础产品测评系统测评密码基础密码技术密码管理保密技术保密管理2、2009年10月国家信息安全等级保护工作协调小组办公室组织专家和标准起草单位编写的《信息安全等级保护主要标准简要介绍》一文中提出的信息安全等级保护标准分类是：（1）基础类标准（2）应用类标准（ 3）产品类标准（4）其他类标准《信息系统安全等级保护实务》一书介绍等保标准即采用此分类法。

4、本文介绍等级保护标准采用的分类：（1）信息系统安全等级保护基础标准（2）信息系统安全等级保护建设与测评标准（3）信息系统安全等级保护管理标准（4）信息安全产品技术要求与测评标准（5）信息安全等级保护物理安全标准这个分类以信息安全等级保护标准已有分类方法为基础，参考了国内外信息安全标准分类的方案，并结合等级保护标准发展的实际情况。