八、信息安全标准化知识

    1、信息安全管理体系标准BS7799

    BS7799标准是英国标准协会（British Standards Institution，BSI）制定信息安全管理体系标准。它包括两部分，其第一部分《信息安全管理实施指南》于2001年2月被国际标准化组织（ISO）采纳为国际标准ISO/IEC17799，并于2005年6月15日发布了最新版本。我国也于2004年完成该标准的转化工作。第二部分BS7799—2《信息安全管理体系规范和应用指南》是一个认证标准，描述了信息安全管理体系各个方面需要达到的一些要求，可以一次为标准对机构的信息安全管理体系进行考核和认证。

    ISO/IEC17799的目的是“为信息安全管理提供建议，旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信”。

2、技术与工程标准

    信息安全产品和系统安全性测评标准，是信息安全标准体系中非常重要的一个分支，经历了一系列的重要标准，其中，信息安全产品通用测评标准ISO/IEC15408—1999《信息技术、安全技术、信息技术安全性评估准则》（简称CC）相当于最后的集大成者，是目前国际上最通行的信息技术产品及系统安全性评估准则。

    CC标准的核心思想有两点：一是信息安全技术提供的安全功能本身和对信息安全技术的保证承诺之间独立；二是安全工程的思想，即通过对信息安全产品的开发、评价、使用全各个的各个环节实施安全工程来确保产品的安全性。

    2001年参照国际标准ISO/IEC15408，制定了国家标准GB/T18336《信息技术安全性评估准则》，作为评估信息技术产品与信息安全特性的基础准则。