当前位置:文档之家 › 国外信息安全测评认证体系简介

国外信息安全测评认证体系简介

  • 格式:doc
  • 大小:161.50 KB
  • 文档页数:22

下载文档原格式

  / 22

合集下载

27001认证流程和时间

27001认证流程和时间

27001认证流程和时间(实用版)目录1.27001 认证的简介2.27001 认证的流程3.27001 认证的时间4.27001 认证的重要性正文【27001 认证的简介】27001 认证,全称 ISO/IEC 27001 认证,是一种国际通用的信息安全管理体系标准。

这个认证主要针对企业和组织,帮助他们建立、实施、维护和持续改进信息安全管理体系,以确保其信息资产得到有效保护。

通过 27001 认证的企业,可以证明其信息安全管理水平达到了国际标准,有助于提高客户和合作伙伴的信任。

【27001 认证的流程】27001 认证的流程可以分为以下几个阶段:1.准备工作:企业需要了解 27001 认证的要求和标准,确定认证的范围,并建立起信息安全管理体系的基本框架。

2.体系建设:根据 27001 标准,企业需要建立完整的信息安全政策、目标、程序和指南,形成一个完整的信息安全管理体系。

3.内部审核:企业在完成体系建设后,需要进行内部审核,以确保体系的符合性和有效性。

4.认证申请:企业需要向认证机构提交认证申请,认证机构会根据27001 标准对企业的信息安全管理体系进行审核。

5.认证审核:认证机构会派遣审核员对企业的信息安全管理体系进行现场审核,以确认其符合 27001 标准。

6.认证颁发:如果企业的信息安全管理体系通过了审核,认证机构将颁发 27001 认证证书。

【27001 认证的时间】27001 认证的时间主要取决于企业的具体情况和认证机构的工作进度。

一般来说,从开始准备到认证完成,可能需要几个月的时间。

具体的时间安排如下:1.准备工作:1-2 个月2.体系建设:2-3 个月3.内部审核:1-2 周4.认证申请:1 周5.认证审核:1-2 天6.认证颁发:1 周【27001 认证的重要性】27001 认证的重要性主要体现在以下几个方面:1.提升企业形象:通过 27001 认证,企业可以证明其信息安全管理水平达到了国际标准,有助于提升企业形象和品牌价值。

美国信息安全评估与认证的组织、管理、技术体系

美国信息安全评估与认证的组织、管理、技术体系
机构 、通 用 准 则测 试 实 验 室 和 申 请 者在 内的 主要 参 加 方 的地 位 和
8 , 月 内容 包 括 申请 者 定 义 , 请 申 者 指南 总 体 介 绍 ;信 息 安 全 评 估
与 认证 评估 过 程 ;认证 机 构 提 供 认 证 服务 的 内容 ;申请 者 提 供 评 估 与认证 各个 阶段 的指 导等 《 证 维 持 程 序 》 布 于2 0 认 发 02 年 l月 , 2 内容包 括 认 证 体 系概 述 ; 认 证维 持 程 序 描 述 ;认 证 维 持 活 动 涉及 的各 个角 色和职 责等 。
息技 术 安全 技 术 信 息技 术 安
全性 评 估 准 则 》 英 文 缩 写 为C ( C,
信 息 安 全评 估 结 果 的正 确 性 与 标
准 的一致 性 )认 证过 程 结 论 阶段 ; 的活 动 ; 证 记 录 的 内容 ( 些认 认 这 证 记 录 是 认 证 员 按 照 C E S 量 C V 质
要 负 责 “ 用信 息技 术 产 品 ” 商 的安 全性 认证 。除 此之外 , 国还有 两 美 类 信 息 安 全认 证 活 动 ,即 美 国 国 家安 全 局 负 责 的 “ 府 用 信息 技 政
术 产 品 ” 的 安 全 性 认 证 与 美 国 国
估 实 验 室 、 fG r 实 验 室 、A C I o ad n S I 的通 用 准则 测试 实 验室 、 e h e I ked  ̄
美 国信 息 安 全 认 证 机 构 是 从 事 信息 安 全技 术 评 价与 认 证 管 理
的政 府 机 构 性 质 的 认 证 机 构 , 主
C A T 司 的C F 实 验 室 、 O C 公 A E 计算

信息安全评估标准简介

信息安全评估标准简介

信息安全产品评估标准综述全国信息安全标准化技术委员会安全评估标准组崔书昆信息安全产品,广义地是指具备安全功能(保密性、完整性、可用性、可鉴别性与不可否认性)的信息通信技术(ICT)产品,狭义地是指具备上述功能的专用信息通信技术产品。

这些产品可能是硬件、固件和软件,也可能是软、固、硬件的结合。

一、国外信息安全产品评估标准的发展以美国为首的西方发达国家和前苏联及其盟国,早在20世纪50年代即着手开发用于政府和军队的信息安全产品。

到20世纪末,美国信息安全产品产值已达500亿美元。

随着产品研发,有关信息安全产品评估标准的制定也相应地开展起来。

(一)国外信息安全产品评估标准的演变国际上信息安全产品检测评估标准的发展大体上经历了三个阶段:1.本土化阶段1983年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。

在1990年前后,英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(CTCPEC)等。

在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(FC),但由于其不完备性,未能推开。

2.多国化阶段由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全产品评估标准被提了出来。

1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(ITSEC),并在事实上成为欧盟各国使用的共同评估标准。

这为多国共同制定信息安全标准开了先河。

为了紧紧把握信息安全产品技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、法、德、荷、加五国国防信息安全机构,加上美国国防部国家安全局(NSA)和美国商务部国家标准与技术局(NIST))共同制定一个供欧美各国通用的信息安全评估标准。

信息安全管理认证体系

信息安全管理认证体系

信息安全管理认证体系信息安全管理认证体系(Information Security Management System,ISMS)指的是一种建立在信息安全管理原理和国际标准之上的信息安全管理体系。

ISMS的目的是确保组织的信息安全得到充分保障,并通过合理的安全管理实践对组织及其利益相关者产生积极影响。

ISMS是一个事先计划好的、有目的的体系,旨在为组织提供一种规范的方法来管理其信息安全。

ISMS可以帮助组织识别其面临的信息安全风险、确定关键的信息资产并确保它们的安全以及保护组织的声誉和信誉。

ISMS的核心是建立一套标准的管理流程来管理信息的保密性、完整性和可用性。

这也是ISMS所附带的承诺和责任的核心部分,包括实施合适的安全控制措施、定期进行安全评估和审核以及持续改进信息安全管理实践。

ISMS适用范围广泛,可以适用于任何类型的组织,无论是大型企业、中小型企业或个人,ISMS都可以为其提供有效的信息安全保护。

ISMS的实施必须遵守国际标准和技术规范,其中包括ISO/IEC 27001标准。

该标准是ISMS的国际标准,定义了ISMS的要求,并为组织提供了一种可遵循的框架来建立、实施、监视、维护和改进其信息安全管理。

ISMS的优点主要集中在以下三个方面:1. 保障信息安全ISMS的实施可以帮助组织保护其重要信息资产,确保信息不会被未经授权的访问、修改或破坏。

2. 提高组织的效率和竞争力ISMS可以帮助组织使用安全控制措施来优化其业务流程并提高效率,从而提高其竞争力。

3. 遵从法规和规范ISMS可确保组织遵守国际和国内法规、规范和标准,并提高组织的声誉和信誉度。

最终,ISMS的实施要求组织确立信息安全政策,开展安全培训并持续改进信息安全管理实践。

ISMS是一个成熟的信息管理方法,是一个成功的组织实现信息安全的关键。

PKI体系

PKI体系

PKI体系公钥基础设施PKI技术与应用发展公钥基础设施PKI技术与应用发展一、概述PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。

简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。

公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。

这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。

目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。

PKI似乎可以解决绝大多数网络安全问题,并初步形成了一套完整的解决方案,它是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。

该体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。

作为一种技术体系,PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。

但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。

PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和,是一个宏观体系,其本身就体现了强大的国家实力。

PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。

公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。

PKI是20世纪80年代由美国学者提出来了的概念,实际上,授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。

信息安全测评认证体系介绍1

信息安全测评认证体系介绍1

国外信息安全测评认证体系
美国由国家安全局与国家标准局联合实施国家信息安全 美国由国家安全局与国家标准局联合实施国家信息安全 认证,英国、德国、法国、澳大利亚、加拿大、荷兰等 认证,英国、德国、法国、澳大利亚、加拿大、荷兰等 国家也由国家安全部门或情报主管机构主管信息安全认 证工作。先后建立起国家信息安全测评认证体系 证工作。 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国 家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安 日本 等亚洲国家纷纷仿效 家和日本、韩国等亚洲国家纷纷仿效, 全测评认证工作 国外的信息安全测评认证体系由:1)一个测评认证管 国外的信息安全测评认证体系由: 理协调组织、2)一个测评认证实体、和3)多个技术检 理协调组织、 一个测评认证实体、 测机构组成
测评认证中心的建设过程(1)
1997年初,国务院信息化工作领导小组批 年初,
准筹建“中国互联网络安全产品测评认证 准筹建“ 中心”。 中心”
1998年7月, 该中心正式运行。 该中心正式运行。
测评认证中心的建设过程(2)
1998年10月,国家质量技术监督局授 国家质量技术监督局授
权成立“中国国家信息安全测评认证中 权成立“ 心”。 国家质量技术监督局组建跨部委的国 国家质量技术监督局组建跨部委的国 家信息安全测评认证管理委员会。 家信息安全测评认证管理委员会。 1999年2月9日,中国国家信息安全测 评认证中心正式运行。 评认证中心正式运行。
简介和一般介绍,以及保护轮廓(PP) 规范和安全目标(ST)规范 第二部分:安全功能需求 第三部分:安全保障需求
国际信息安全测评认证情况比较
信息安全测评认证发展历程 测评标准及测评方法 认证证书 授权测评机构

CISP-1-信息安全测评认证概述

cnitsec
测评认证中心的建设过程 Nhomakorabea1997年初,国务院信息化工作领导小组委托筹建

“中国互联网络安全产品测评认证中心” 1998年7月, 该中心挂牌运行 1998年10月,国家质量技术监督局授权成立“中 国国家信息安全测评认证中心”
1999年2月9日,该中心挂牌运行 2001年5月,中编办根据党中央、国务院有关领
cnitsec
信息安全测评认证体系模式
信息安全认证管理委员会 认证机构 Lab认可机构 CB认可机构
信息技术安全认证中心
认 可
授权
认证
信息技术安全测试实验室
证书
信息技术安全测试实验室
信息技术安全测试实验室 信息技术安全测试实验室
cnitsec
美国(NIAP)
负责管理和运行美国的信息安全测评认证体系
行业性授权测评机构
1、计算机测评中心:由信产部(15所)2000年列编设立 2、广电测评中心:由广电部2000年列编设立 3、银行、证券、电信等行业,2001年起开始测评认证 cnitsec
二、信息安全测评认证标准
1 、通用准则CC(GB/T 18336 idt ISO/IEC 15408) 2、信息系统安全保障通用评估准则 3、其他标准
机密性 隐蔽信息 无条件 机密性 强制性 机密性 目标重用
范围 CC-0 到 CC-3 CD-0 到 CD-4 CM-0 到 CM-4 CR-0 到 CR-4
cnitsec
标准名称 TCSEC 绿皮书
功能级别
保证级别
D,C1,C2,B1,B2,B3,A1 F1~F10 Q1~Q8 L1~L66 F1~F10 E0~E7
国际上安全测评标准的发展

iso27001信息安全管理体系认证标准

iso27001信息安全管理体系认证标准ISO 27001信息安全管理体系认证标准ISO 27001是国际标准化组织(ISO)制定的信息安全管理体系(ISMS)认证标准。

它为组织提供了建立、实施和持续改进信息安全管理体系的框架,旨在确保组织的信息资产得到适当的保护。

该认证标准为组织提供了适用于各种类型和规模组织的标准,无论其是小型、中型还是大型企业,都可以通过实施ISO 27001认证,来保护其信息资产和确保连续性。

以下是针对ISO 27001信息安全管理体系认证标准的一些关键要点。

1. 概述和背景ISO 27001标准主要基于风险管理方法,旨在建立一个信息安全管理体系,帮助组织识别、评估和控制信息安全风险。

该标准旨在通过确保合规性和信息安全的持续性,为组织提供一个系统化和可持续的方法。

2. 实施ISMS的要求ISO 27001要求组织按照特定的步骤来实施信息安全管理体系。

这些步骤包括制定政策和目标、进行信息资产评估、执行风险管理活动、设计和实施信息安全控制措施,以及建立一个持续改进的框架。

对于每个步骤,组织需要进行适当的记录和证明以满足认证要求。

3. 管理体系文件ISO 27001要求组织建立一系列文件和记录来支持信息安全管理体系。

这些文件包括信息安全政策、风险评估和控制措施、培训记录、内部审核和管理审查报告等。

这些文件的编制和维护确保了ISMS的有效性和持续改进。

4. 风险管理方法ISO 27001强调风险管理的重要性,要求组织通过一系列步骤来识别、评估和处理信息安全风险。

这包括确定风险的来源和影响、分析风险的可能性和严重性,然后制定相应的风险处理计划。

该标准鼓励组织根据其特定业务需求来管理风险,并确保风险管理的结果得到适当地记录和监控。

5. 内部审核和管理审查ISO 27001要求组织进行内部审核和管理审查来确保ISMS的有效性和合规性。

内部审核是对ISMS的整体性能进行定期评估的过程,而管理审查则是管理层对ISMS的绩效进行定期评估和决策的过程。

iso27001认证申请流程

iso27001认证申请流程摘要:1.ISO27001 认证简介2.ISO27001 认证申请流程2.1 建立体系框架2.2 体系运行记录2.3 递交审核申请2.4 评估费用和审核时间2.5 预审2.6 正式审核正文:一、ISO27001 认证简介ISO27001 是信息安全管理体系的国际标准,其主要目的是确保组织在信息安全方面的完整性、可用性、保密性和可靠性。

通过实施ISO27001 标准,可以帮助组织建立一套有效的信息安全管理体系,提高信息安全意识,减少安全风险,并增强客户和合作伙伴的信心。

二、ISO27001 认证申请流程1.建立体系框架在申请ISO27001 认证之前,首先需要按照ISO27001 标准要求建立一个信息安全管理体系框架。

这个框架应该包括组织的信息安全政策、目标、范围、风险评估、控制措施等内容。

2.体系运行记录在体系框架建立完成后,需要进行至少三个月的体系运行。

在这段时间内,组织需要按照体系要求进行信息安全管理,并记录相关的运行数据和活动。

3.递交审核申请体系运行记录满三个月后,组织可以向ISO27001 认证机构递交审核申请。

在递交申请时,需要提供体系框架文件、运行记录、政策、目标、范围等资料。

4.评估费用和审核时间认证机构收到申请后,会对申请进行评估,确定审核费用和审核时间。

认证机构会根据组织的规模、业务范围等因素来确定审核时间和费用。

5.预审在正式审核之前,认证机构会进行一次预审。

预审的目的是了解组织的信息安全管理体系的运行情况,帮助组织发现潜在的问题和改进的机会。

预审后,认证机构会提供一份预审报告,让组织了解需要改进的地方。

6.正式审核预审通过后,认证机构会安排正式审核。

审核员会到组织现场,对信息安全管理体系进行详细的审核。

审核完成后,认证机构会根据审核结果出具认证证书。

总之,ISO27001 认证申请流程包括建立体系框架、体系运行记录、递交审核申请、评估费用和审核时间、预审和正式审核等环节。

ISO 27001认证简介SGS

BUSINESS SECURITYCUSTOMER SATISFACTIONFURTHER EXCELLENCETRUST共创卓越,至臻无限如何从长远角度确保您的信息安全?SGS 专业的ISO 27001信息安全管理体系审核、认证及培训服务INFORMATION SECURITY为确保运营流畅和数据安全,组织必须持续地对重要信息系统及重要业务信息进行管理。

ISO 27001信息安全管理体系助您凭借强大的信息安全手段从竞争中脱颖而出。

ISO 27001标准基于保密性、完整性和实用性三大原则,内容覆盖以下方面:• 信息安全方针• 信息安全组织• 人力资源安全• 资产管理• 访问控制• 加密• 物理和环境安全• 操作安全 • 通信安全 • 系统的获取、开发和维护• 供应关系• 信息安全事件管理• 信息安全方面的业务持续管理• 符合性ISO 27001认证带来的益处大多数组织的运行都无法脱离系统的信息安全管理。

信息在质量、数量、分发的任何环节出现偏差都可能使您的业务面临风险。

ISO 27001信息安全管理体系(ISMS )标准专注于每一个关键风险以识别组织可能面临的危险。

ISO 27001认证提升组织的信誉度,展示数据和系统的完整性,并证明组织对信息安全的承诺。

同时,它也能影响组织文化,赢得重视信息安全的客户的青睐,提高员工道德水平,加强工作区域的保密性。

08/13/S S C _I S O 27001©S G S -C S T C –2013–A l l r i g h t s r e s e r v e d - S G S i s a r e g i s t e r e d t r a d e m a r k o f S G S G r o u p M a n a g e m e n t S AISO 27001证流程图定期进行监督访问评估及认证ISO 27001的认证流程• 步骤1 – SGS 根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,审核即可开始。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

国外信息安全测评认证体系简介1、信息安全度量基准1、1 信息安全测评认证标准的发展在信息技术方面美国一直处于领导地位,在有关信息安全测评认证方面美国也是发源地。

早在70年代美国就开展信息安全测评认证标准研究,并于1985年由美国国防部正式公布了可信计算机系统评估准则(TCSEC)即桔皮书,也就是大家公认的第一个计算机信息系统评估标准。

在随后的十年里,不同的国家都开始主动开发建立在TCSEC基础上的评估准则,这些准则更灵活、更适应了IT技术的发展。

可信计算机系统评估准则(TCSEC)开始主要是作为军用标准,后来延伸至民用。

其安全级别从高到低分为A、B、C、D四类,级下再分A1、B1、B2、B3、C1、C2、D等7级。

欧洲的信息技术安全性评估准则(ITSEC)1.2版于1991年由欧洲委员会在结合法国、德国、荷兰和英国的开发成果后公开发表。

ITSEC作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。

它以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。

加拿大计算机产品评估准则(CTCPEC)1.0版于1989年公布,专为政府需求而设计,1993年公布了3.0版。

作为ITSEC和TCSEC的结合,将安全分为功能性要求和保证性要求两部分。

美国信息技术安全联邦准则(FC)草案1.0版也在1993年公开发表,它是结合北美和欧洲有关评估准则概念的另一种标准。

在此标准中引入了“保护轮廓(PP)”这一重要概念,每个轮廓都包括功能部分、开发保证部分和评测部分。

其分级方式与TCSEC不同,充分吸取了ITSEC、CTCPEC中的优点,主要供美国政府用,民用和商用。

由于全球IT市场的发展,需要标准化的信息安全评估结果在一定程度上可以互相认可,以减少各国在此方面的一些不必要开支,从而推动全球信息化的发展。

国际标准化组织(ISO)从1990年开始着手编写通用的国际标准评估准则。

该任务首先分派给了第1联合技术委员会(JTC1)的第27分委员会(SC27)的第3工作小组(WG3)。

最初,由于大量的工作和多方协商的强烈需要,WG3的进展缓慢。

在1993年6月,由与CTCPEC、FC、TCSEC和ITSEC有关的六个国家中七个相关政府组织集中了他们的成果,并联合行动将各自独立的准则集合成一系列单一的、能被广泛接受的IT安全准则。

其目的是解决原标准中出现的概念和技术上的差异,并把结果作为对国际标准的贡献提交给了ISO。

并于1996年颁布了1.0版,1998年颁布了2.0版,1999年12月ISO正式将CC2.0作为国际标准——ISO 15408发布。

在CC中充分突出“保护轮廓”,将评估过程分为“功能”和“保证”两部分。

此通用准则是目前最全面的信息技术安全评估准则。

下图就清楚描述了到目前为止信息技术安全评测标准的发展史。

1、2 信息安全性度量标准信息技术安全性评估通用准则,通常简称通用准则(CC),是评估信息技术产品和系统安全特性的基础准则。

通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的人理解,更多人信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认可的目的。

此标准是现阶段最完善的信息技术安全性评估标准,我国也将采用这一标准对产品、系统和系统方案进行测试、评估和认可。

通用准则内容分三部分,其中第1部分“简介和一般模型”,第2部分“安全功能要求”,第3部分“安全保证要求”。

在保证要求部分分以下7个评估保证级:(1) 评估保证级别1(EAL1)——功能测试(2) 评估保证级别2(EAL2)——结构测试(3) 评估保证级别3(EAL3)——功能测试与校验(4) 评估保证级别4(EAL4)——系统地设计、测试和评审(5) 评估保证级别5(EAL5)——半形式化设计和测试(6) 评估保证级别6(EAL6)——半形式化验证的设计和测试(7) 评估保证级别7(EAL7)——形式化验证的设计和测试通用准则评估保证级与常见的几种安全测评标准的对应关系见下表。

1、3 国际互认早在1995年,CC项目组成立了CC国际互认工作组,此工作组于1997年制订了过度性CC互认协定,并在同年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定。

1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。

当时由于依照了CC1.0版,因此互认的范围限于评估保证级1—3。

1999年10月澳大利亚和新西兰的DSD加入了CC互认协定。

此时互认范围发展为评估保证级1—4,但证书发放机构限于政府机构。

在今年,又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊等国加入了此互认协定,日本、韩国、以色列等也正在积极准备加入此协定。

目前的证书发放机构也不再限于政府机构,非政府的认证机构也可以加入此协定,但必须有政府机构参与或授权。

2、国家信息安全测评认证体系2、1 组织结构从目前已建立了基于CC的信息安全测评认证体系的有关国家来看,每个国家都具有自己的国家信息安全测评认证体系,并且基本上都专门成立了信息安全测评认证机构,由认证机构管理通过了实验室认可的多个CC评估/测试实验室,认证机构一般受国家安全或情报部门和国家标准化部门控制。

归纳起来,常见的组织结构图如下:在这样的组织结构中,认证机构在国家安全主管部门的监管和国家技术监督主管部门的认可/授权下,负责对安全产品的安全性实施评估和认证,并颁发认证证书。

认证机构作为公正的第三方,它的存在对于规范信息安全市场,强化产品的生产者和使用者的安全意识都将起到积极的作用。

为利用社会上的资源和技术力量,一些商业机构的试验室,可以申请成为授权的CC 评估/测试实验室,在认证机构的监督管理下,对安全产品进行检测或对信息系统进行评估,并将结果提交认证中机构。

2、2 信息安全测评认证体系国际上,目前基于CC 的信息安全测评认证体系一般具有如下形式:2、3 各国测评认证体系A 、美国美国于1997年由国家标准技术研究所和国家安全局共同组建了国家信息保证伙伴(NIAP ),专门负责基于CC 信息安全测试和评估,研究并开发相关的测ISO/IEC 导则25要求认可消费者群体:本国政府、本国非政府 外国政府、外国非政府 信息安全有关组织实验室认可机构评估结果方案需求技术监督技术支持CC测试实验室评估发起者IT 产品或保护轮廓评认证方法和技术。

在国家安全局中对NIAP具体管理由专门管理涉密信息系统的信息系统安全办公室负责。

有关美国信息安全的测评认证组织架构图示如下:CC评估认证方案是各个引入CC进行信息安全测评认证的国家,具体如何依据CC开展信息安全评估和认证工作的规划,也是国际互认协定的一个重要内容。

在美国此方案的具体实施由NIAP的认证机构负责,其目的是既可以保证对信息技术产品和系统第三方安全测试,也可以使得整个信息安全测评认证体系置于国家控制范围之内。

NIAP认证机构的正副主任由国家标准技术研究所和国家安全局共同任命,在行政和预算方面认证机构主任向NIAP的主任汇报,在有关评估认证方案的运作方面则向国家标准技术研究所和国家安全局的证书发行机构汇报,证书发行机构有NIST的信息技术实验室和NSA的信息系统安全办公室。

NIAP认证机构的核心技术人员主要是国家标准技术研究所和国家安全局的人员,也有部分招聘来的技术人员。

NIAP 认证机构具有下图所示的一些职能:在美国的测评认证体系中CC 测试实验室一般是由一些商业机构承办,但需要通过国家自愿实验室认可计划(NVLAP )的认可。

在认可CC 测试实验室时除满足导则25的要求以外,还需要满足CC 评估认证方案的一些特殊要求如NIST 手册150和NIST 手册150-20,并要求精通信息安全测试技术和接受NIAP 认证机构的监督。

NIAP 认证机构将对外公布所有通过认可的实验室名单。

美国的测评认证体系结构图如下:接受评估 确认 解释- 观测报告 - 观测决定 -国内解释 - 国外解释证书已认证产品目录 已认可实验室名单 已认可测试方法目录 评估记录 配置管理- CC 评估认证方案文档 - NVLAP 精通测试NVLAPCC 测试实验室 厂家CC 项目合作伙伴IT 产品或保护轮廓B、英国英国的IT安全评估认证体系是1991年由商业工业部(DTI)和通信电子安全小组(CESG)共同建立的,依据的评估认证标准主要是CC及其评估方法和ITSEC及其评估方法。

英国的IT安全评估认证机构(CB)行政上由CESG领导。

CESG作为一个文职机构隶属于政府通讯指挥部(GCHQ),其前身是通讯电子安全局,它负责保证政府和军事通信的安全。

CESG的认证人员负责专业能力、技术目标和商业秘密方面的最高技术标准的开发。

在英国的IT安全评估认证体系,评估体系管委会负责制订国家信息安全评估认证政策,监督认证机构和仲裁诉讼及争议。

它由评估认证体系的高级执行官,认证机构主任,CESG、DTI和国防部(MOD)的高级官员,其他政府部门和工业界的代表组成,其主席由CESG的人员担任。

它直接向内阁会议建议和汇报认证机构的财政和资源状况。

认证机构具体实施IT评估认证体系的运作,由CESG指派高级执行官,其工作人员来至CESG或由CESG招聘,负责监管商业评估机构(CLEF)。

IT安全评估认证是在认证机构的监督下,由商业评估机构(CLEF)来实现。

CLEF是认证机构指定并通过英国国家实验室认可机构(UKAS)认可的一些实验室,其业务受认证机构监督并与CESG签署相关合同。

评估发起者是一些要求评估某一评估对象(产品或系统)的组织或个人,开发者是指生产评估对象的组织,发起者有时就是开发者。

而委托者是指负责一个信息系统安全的组织或个人。

综上所述,英国的IT安全评估认证体系结构图如下:C、加拿大早在1989年加拿大就开始评估IT安全,当时主要依据TCSEC及其评估方法,随着CTCPEC的提出,加拿大逐步建立起了自己的IT安全产品评估和认证体系。

为适应全球信息化发展需要,在参与开发CC的同时,于1998年加拿大政府推出了新的IT安全产品测评认证体系,即加拿大的CC评估和认证体系(CCS)。

CCS的目的是在加拿大国内提供低成本高效率的ITS产品评估,保证评估的质量,逐步提高评估产品的可用性,并改善评估和认证过程的效率和成本代价。

确切地说,CCS是加拿大一种度量IT安全产品和系统可信度的独立的第三方评估和认证服务。

CCS的具体实施由加拿大通信安全研究所(CSE)负责,为此CSE特建立了一个CC认证机构(CB),此认证机构的主要职责有:批准建立CC评估机构(CCEF);对CCEF提供技术支持和指导;监督评估活动的进行;确保认证评估结果的一致性;协调对外关系,如国际上的交流和推动评估结果的互认。