国际信息安全技术标准发展(英文版)

国内外信息安全标准姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。

因此，世界各国越来越重视信息安全产品认证标准的制修订工作。

国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。

CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。

国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。

1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。

用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。

CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。

CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。

I n f o r m a t i o n t e c h n o l o g y-S e c u r i t y t e c h n i q u e s-Information security management systems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国际标准 ISO/IEC 27001-2022 2022信息安全、网络安全和隐私保护-信息安全管理体系-要求Information security, cybersecurity and privacyprotection — Information security management systems— Requirements编译樊山国际标准ISO/IEC 27001信息安全、网络安全和隐私保护-信息安全管理体系-要求Information security, cybersecurity and privacy protection — Information security management systems — Requirements本文档仅适用于学习交流，不得用于任何商业用途翻译：樊山（鹰眼翻译社区）第三版2022-10目录前言 (4)介绍 (5)0.1概述 (5)0.2与其他管理体系标准的兼容性 (5)1范围 (6)2规范性引用文件 (6)3术语和定义 (6)4组织背景 (7)4.1了解组织及其背景 (7)4.2了解相关方的需求和期望 (7)4.3确定信息安全管理系统的范围 (7)4.4信息安全管理系统 (8)5领导力 (8)5.1领导力和承诺 (8)5.2政策 (8)5.3组织角色、职责和权限 (9)6规划 (9)6.1应对风险和机遇的行动 (9)6.1.1 一般原则 (9)6.1.2 信息安全风险评估 (10)6.1.3 信息安全风险处理 (11)6.2信息安全目标及其实现计划 (12)6.3变更计划 (12)7支持 (13)7.1资源 (13)7.2能力 (13)7.3意识 (13)7.4沟通 (13)7.5文件化的信息 (14)7.5.1 一般原则 (14)7.5.2 创建和更新 (14)7.5.3 文件化信息的控制 (14)8操作 (15)8.1运营规划和控制 (15)8.2信息安全风险评估 (16)8.3信息安全风险处理 (16)9绩效评估 (16)9.1监测、测量、分析和评价 (16)9.2内部审计 (17)9.2.1一般原则 (17)9.2.2内部审计计划 (17)9.3管理评审 (17)9.3.1一般原则 (17)9.3.2管理评审输入 (18)9.3.3管理评审结果 (18)10改进 (19)10.1持续改进 (19)10.2不符合和纠正措施 (19)附录A（规范性附录）信息安全控制参考 (21)参考文献 (31)前言ISO（国际标准化组织）和IEC（国际电工委员会）构成了全球标准化的专门体系。

123456789101112131415161718192021Information technology- Security techniques22-Information security management systems-Requirements 2324信息技术-安全技术-信息安全管理体系-要求25Foreword26前言272829ISO (the International Organization for Standardization) and IEC 30(the International Electro technical Commission) form the 31specialized system for worldwide standardization. National bodies 32that are members of ISO or IEC participate in the development of 33International Standards through technical committees established by 34the respective organization to deal with particular fields of 35technical activity. ISO and IEC technical committees collaborate 36in fields of mutual interest. Other international organizations, 37governmental and non-governmental, in liaison with ISO and IEC, also 38take part in the work. In the field of information technology, ISO 39and IEC have established a joint technical committee, ISO/IEC JTC 1.40ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专41门体制的国际组织。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

ITU-T是国际电信联盟电信标准化部门，致力于制定全球通信和信息技术的国际标准。

2023年8月份和9月份，ITU-T发布了一系列标准，涉及到通信技术、网络安全、互联网服务等多个领域。

下面将就ITU-T 2023年8月份和9月份发布的标准进行详细介绍。

一、ITU-T 2023年8月份发布的标准1. 通信技术标准ITU-T在8月份发布了针对5G通信技术的标准，包括5G网络架构、接口规范、频谱利用等方面的标准化内容。

这些标准的发布将进一步推动5G技术的全球应用和发展，并为各国和地区提供统一的技术规范，促进5G产业的健康发展。

2. 网络安全标准针对网络安全领域，ITU-T发布了一系列网络安全标准，包括身份验证、加密通信、网络攻击防范等方面的标准化内容。

这些标准的发布将有助于加强全球通信网络的安全性，提升网络安全保障水平，保护用户隐私和信息安全。

3. 互联网服务标准ITU-T还发布了针对互联网服务的标准，包括互联网数据传输、互联网协议、互联网接入等方面的标准化内容。

这些标准的发布将有助于优化互联网服务质量，提升互联网传输效率，满足用户对高速、稳定互联网服务的需求。

二、ITU-T 2023年9月份发布的标准1. 人工智能标准ITU-T发布了一系列关于人工智能的标准，涉及到人工智能算法、人工智能应用、人工智能伦理等方面的标准化内容。

这些标准的发布将有助于规范人工智能技术的发展和应用，保障人工智能技术的合理和安全使用，促进人工智能的可持续发展。

2. 物联网标准针对物联网领域，ITU-T发布了一系列物联网标准，包括物联网协议、物联网设备互通、物联网数据安全等方面的标准化内容。

这些标准的发布将有助于推动物联网技术的普及和应用，提升物联网设备和服务的互操作性和安全性。

3. 大数据标准ITU-T还发布了针对大数据领域的标准，涉及到大数据存储、大数据分析、大数据隐私保护等方面的标准化内容。

这些标准的发布将有助于规范大数据技术的应用和管理，促进大数据产业的健康发展，保护大数据隐私和安全。

信息安全的国际标准随着互联网的快速发展和信息技术的广泛应用，信息安全问题日益凸显，对于个人、组织和国家都具有重要意义。

为了确保信息系统的安全性，各国纷纷制定了一系列的信息安全国际标准来指导和规范信息安全工作。

本文将介绍一些重要的信息安全国际标准。

ISO/IEC 27001是信息安全管理系统（ISMS）的国际标准。

该标准指导组织建立、实施、运行、监控、维护和改进信息安全管理系统，以保护组织的信息资产。

ISO/IEC 27001包含了一个适用于任何类型和规模组织的通用框架，该框架帮助组织根据其特定的信息安全风险和法规要求来制定安全措施。

ISO/IEC 27002是信息技术安全技术参考，为信息安全管理体系提供了一系列的最佳实践。

该标准涵盖了信息安全管理的各个方面，包括组织安全政策、人员安全、资产管理、访问控制、密码管理、物理和环境安全、通信和运营管理等。

组织可以依据ISO/IEC 27002来制定自己的信息安全管理控制措施，以满足ISO/IEC 27001的要求。

PCI DSS是针对支付卡行业的信息安全标准。

PCI DSS由支付卡行业安全标准理事会（PCI SSC）制定，适用于接受、存储、处理和传输持卡人数据的组织。

该标准要求组织建立和维护安全的支付环境，以保护持卡人数据的机密性和完整性。

符合PCI DSS的组织可以提供更安全的支付服务，增加持卡人的信任度。

GDPR是欧洲的一项针对个人数据保护的法规。

该法规要求组织在处理欧洲公民的个人数据时加强对数据隐私和保护的管理。

GDPR要求组织确保个人数据的合法性、透明性，明确个人数据的处理目的，并采取适当的安全措施来保护个人数据的安全性。

GDPR的实施对于保护公民个人数据的隐私权具有重要意义。

除了以上提到的标准，还有一些其他的信息安全国际标准，如ISO/IEC 20000（信息技术服务管理），ISO/IEC 22301（业务连续性管理系统），ISO/IEC 38500（IT治理）等。

CISS标准1. 介绍1.1 CISS标准的定义CISS（Critical Information Systems Security）标准是一套用于评估和管理关键信息系统安全的标准。

它由国际标准化组织（ISO）制定，旨在帮助组织建立和维护高度安全的信息系统，以保护关键信息资产免受各种威胁和攻击。

1.2 CISS标准的重要性CISS标准的实施对于现代组织来说至关重要。

随着信息技术的快速发展和信息安全威胁的增加，保护关键信息资产已成为组织的首要任务。

CISS标准提供了一套全面的安全措施和管理要求，帮助组织建立健全的信息安全管理体系，确保关键信息资产的机密性、完整性和可用性。

2. CISS标准的内容2.1 安全政策和目标•制定和维护信息安全政策•设定信息安全目标和指标•确保信息安全政策与组织目标一致2.2 组织安全•定义信息安全责任和权限•设立信息安全管理部门•进行安全培训和教育2.3 资产管理•识别和分类关键信息资产•对关键信息资产进行评估和风险管理•确保合理的信息资产保护措施2.4 访问控制•设定访问权限和权限管理•管理用户身份和凭证•监控和审计系统访问2.5 密码管理•设定密码策略和要求•加密关键信息•管理密码的存储和使用2.6 加密技术•使用加密技术保护数据传输和存储•管理加密密钥和证书•实施加密技术的安全控制2.7 通信和网络安全•设定网络安全策略和要求•管理网络配置和访问控制•监控和检测网络安全事件2.8 系统开发和维护•设立安全开发和维护政策•采用安全的开发和维护方法•进行安全测试和评估2.9 安全事件管理•建立安全事件管理流程•监测和检测安全事件•响应和恢复安全事件2.10 业务连续性和灾难恢复•进行业务连续性规划和风险评估•实施灾难恢复策略和措施•定期测试和评估业务连续性计划3. CISS标准的实施步骤3.1 确定实施目标和范围•确定实施CISS标准的目标和期望结果•确定实施范围和相关部门3.2 进行风险评估和管理•识别和评估关键信息资产的风险•制定风险管理计划和措施3.3 制定信息安全政策和流程•制定组织的信息安全政策和流程•确保信息安全政策与CISS标准的要求一致3.4 实施安全控制和技术措施•部署安全控制和技术措施，如访问控制、加密技术和安全设备•确保安全控制和技术措施的有效性和适用性3.5 培训和教育•进行信息安全培训和教育•提高员工的信息安全意识和技能3.6 监控和评估•建立信息安全监控和评估机制•定期检查和评估信息安全控制和流程的有效性4. CISS标准的优势和挑战4.1 优势•提供全面的信息安全管理框架•帮助组织建立健全的信息安全管理体系•保护关键信息资产免受各种威胁和攻击4.2 挑战•实施CISS标准需要投入大量的人力和资源•CISS标准的要求可能与组织的业务需求不一致•CISS标准需要不断更新和适应新的安全威胁和技术发展5. 结论CISS标准是一套用于评估和管理关键信息系统安全的标准，它提供了一套全面的安全措施和管理要求，帮助组织建立和维护高度安全的信息系统。