Directorio de artículos
Resumen estándar
La existencia de estándares no solo es necesaria para nuestro país, sino también para todo el mundo, por ejemplo, la unidad de medida, la producción y el procesamiento y el comercio internacional son todos inseparables de los estándares. En general, no es fácil para nadie en el campo estándar hacerlo bien y quien habla. No es fácil cumplir con los estándares de los demás. Por ejemplo, si vas a un país extranjero a estudiar para estudiantes de posgrado, otros no reconocen tus créditos de pregrado, lo que significa que tu escuela no cumple con los estándares internacionales. Si se trata de 985 colegios y universidades, entonces puede que no exista este problema.
definición
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en la "Normalización y actividades relacionadas-Vocabulario general" (la última edición no sé en qué año, hasta ahora veo 04: ISO / IEC GUIDE 2: 2004, chino llamado Estándar y Vocabulario general de actividades relacionadas) La definición que se da en el apartado 3.2 es:
Documento, establecido por consenso y aprobado por un organismo reconocido, que prevé, para uso común y repetido, reglas, pautas o características para las actividades o sus resultados, dirigidas a la logro del grado óptimo de orden en un contexto dado.
NOTA. Los estándares deben basarse en los resultados consolidados de la ciencia, la tecnología y la experiencia, y estar orientados a la promoción de beneficios óptimos para la comunidad.
No importa si no los comprende, GB / T 20000.1-2014 Las "Directrices para la normalización Parte 1: Terminología general para la normalización y actividades relacionadas" (la norma parece ser revisada en 2020) también da la definición correspondiente de la norma: a
través de actividades de normalización, de acuerdo con los procedimientos prescritos, se formula por consenso. Las actividades o sus resultados proporcionan reglas, pautas o características para documentos de uso común y reutilización.
Nota 1: El estándar debe basarse en los resultados integrales de la ciencia, la tecnología y la experiencia.
Nota 2: El procedimiento prescrito se refiere al procedimiento de establecimiento de estándares promulgado por la organización que establece el estándar.
Nota 3: Tales como estándares internacionales, estándares regionales, estándares nacionales, etc., porque pueden estar disponibles públicamente y si es necesario, pueden ser revisados o revisados para mantenerse al día con el último nivel tecnológico, por lo que se considera que constituyen reglas técnicas reconocidas. Los estándares aprobados en otros niveles, como los estándares de asociaciones profesionales (aprendizaje), estándares corporativos, etc., pueden afectar a varios países geográficamente.
Comprender la definición de [estándar] es muy útil para comprender el sistema estándar de seguridad de la información y garantía igualitaria, porque la seguridad de la información y los estándares de garantía igual son también [estándares] y también están formulados de acuerdo con el marco de [estándares].
clasificación
La clasificación de estándares es muy útil para comprender el sistema estándar de seguridad de la información y garantía igual.Los siguientes sistemas estándar de seguridad e igualdad de garantía también se pueden clasificar de acuerdo con esta idea.
- Según el alcance de implementación del estándar: estándares nacionales, estándares de la industria, estándares locales y estándares de grupo, estándares corporativos. En cuanto a qué departamento formula y aprueba cada tipo de norma, qué departamento no comienza a presentar. También hay "Documentos técnicos rectores de normalización nacional" como complemento de los cuatro tipos de normas. Dichos estándares se representan como "GB / Z" en el número de serie.
- Clasificación según el carácter restrictivo de las normas: normas obligatorias y normas recomendadas. Los estándares nacionales se dividen en estándares obligatorios y estándares recomendados, mientras que los estándares de la industria y los estándares locales son estándares recomendados. (Parece que algunas normas locales también tienen normas obligatorias ahora). Las
normas obligatorias deben cumplirse y no hay negociación (estas normas generalmente están relacionadas con la vida y los intereses de propiedad de las personas, la seguridad nacional, el medio ambiente, etc.). Para otros tipos de productos, el estado fomenta el uso de estándares recomendados.
Los estándares obligatorios se pueden dividir en: obligatorio de texto completo y obligatorio provisional, que tienen poco que ver con los siguientes estándares de seguridad de la información y garantías equivalentes y no se ampliarán. - Según el estado de las normas: normas básicas, normas generales.
- Según objetos de estandarización: normas técnicas, normas de gestión y normas de trabajo. Estos tres tipos de normas se pueden subdividir. Por ejemplo, las normas técnicas se pueden dividir en: normas técnicas básicas, normas de productos, normas de proceso, normas de ensayo y métodos de prueba, normas de equipos, materias primas, productos semiacabados, normas de piezas compradas, seguridad e higiene. , Normas de protección medioambiental, normas de marcado, etc. No hay necesidad de ser demasiado detallado aquí.
Numeración
Conocer el número del estándar nos permite corresponder rápidamente a la clasificación del estándar. Por supuesto, dado que los estándares son nacionales e internacionales (por supuesto, también hay estándares establecidos por líderes regionales [como la UE] y de la industria [como Nokia, IBM]. El número se divide en número estándar nacional y número estándar internacional, pero ambos probablemente siguen la siguiente estructura:
código estándar + número de clase profesional (opcional) + número de secuencia + código estándar de año + número de clase profesional (opcional) + Número de secuencia + añoEstándar cuasi- generación No.+Número especial de clase empresarial ( O P T I O n- A L )+Evitar número de secuencia+En parte
- Los códigos estándar son básicamente abreviaturas o usan iniciales pinyin en chino, por ejemplo:
ISO: Organización Internacional de Estándares
IEC: Comisión Electrotécnica Internacional
GB: Estándar Nacional Obligatorio
JR: Estándar de la Industria Financiera
GA: Estándar de la Industria de Seguridad Pública
GD : Estándar de la industria de radio y televisión
MH: Estándar de la industria de la aviación civil
YD: Estándar de la industria de correos y telecomunicaciones Por
supuesto, hay excepciones:
QJ: Estándar de la industria aeroespacial, hace mucho tiempo, la industria aeroespacial pertenecía al [7mo nivel] Ministerio
SJ: Estándar de la industria electrónica, el predecesor del Ministerio de Industria Electrónica fue la [cuarta máquina] 】 Ministerio de Industria de Maquinaria
DB: estándar local, el estándar local se compone de la DB Hanyu Pinyin en mayúsculas más los dos primeros dígitos del código de división administrativa de la provincia, región autónoma y municipio directamente bajo el Gobierno Central. [Para obtener el código detallado, consulte el "Código de división administrativa de la República Popular de China": Beijing (110000 BJ), ciudad de Tianjin (120000 TJ), provincia de Hebei (130000 HE) ...], por ejemplo: DB11-XXXX son las siglas de Beijing Standard
Q: Enterprise Standard. El nombre en clave del estándar empresarial es la letra Q de Pinyin en mayúscula china, más una barra oblicua y el código de empresa. Suele estar compuesto por tres dígitos, pinyin chino o números arábigos o ambos), los estándares técnicos agregan "/ J", los estándares de gestión agregan "/ G", los estándares de trabajo agregan "/ Z" - Número de clase profesional (opcional), generalmente compuesto por una barra y una sola letra:
/ T: estándar recomendado
/ Z: estándar de trabajo, detrás del documento técnico instructivo de generación GB / Z
/ J: estándar técnico
/ G: estándar de gestión
Con este conocimiento, podemos ver los estándares para ser más claros, por ejemplo:
GB / Z 30525-2014 "Pautas de estandarización de la plataforma de ciencia y tecnología", que es un documento técnico rector de estandarización nacional, publicado en 2014.
GD / J 037-2011 "Guidelines for the Rating of Level Protection of Information Systems Related to Radio and Television Broadcasting", que pertenece a las normas técnicas del Departamento de Ciencia y Tecnología de la Administración Estatal de Radio, Cine y Televisión, y se publicó en 2011.
GB 17859-1999 "Directrices para la clasificación de niveles de protección de seguridad de sistemas de información informática", una norma internacional obligatoria, se publicó en 1999.
Estándares relacionados con la seguridad de la información
Los estándares relacionados con la seguridad de la información de China y el trabajo de estandarización son administrados por el Comité Técnico de Normalización de la Seguridad de la Información Nacional . En la actualidad, se han emitido muchos estándares de protección de la seguridad de la información, incluidos GB, GB / T, GA, GA / T, etc., que quería enumerar. Salió, pero descubrió que ya existe un catálogo: Catálogo de estándares nacionales de seguridad de la información (edición 2018).
Estos estándares ciertamente cubren los estándares relevantes para las garantías. La clasificación de los estándares se enumera a continuación:
1. Estándares básicos
1. Concepto de terminología
2. Modelo de marco
2. Normas de tecnología y mecanismo
1. Tecnología y algoritmos criptográficos
2. Identificación de seguridad
3. Autenticación y autorización
4. Computación confiable
5. Identificación biométrica
6. Gestión de identidad
3. Norma de gestión de seguridad
1. SGSI
2. Gestión de riesgos
3. Operación Gestión de mantenimiento
4. Gestión de eventos
4. Normas de evaluación de seguridad
1. Criterios de evaluación
2. Métodos de evaluación
5. Normas de productos y servicios
1. Componentes
2. Productos de seguridad
3. Productos de TI
4. Equipos críticos de
red 5. Productos especiales de seguridad de
red 6. Red Servicio
VI. Estándares de red y sistema
1. Sistema de información (Los estándares relevantes de la garantía están básicamente aquí, este documento tiene 18 años, por lo que los nuevos estándares de garantía no han sido actualizados)
2. Sistema de oficina
3. Red de comunicación
4. Sistema de control industrial
7. Estándar de seguridad de datos
1. Información personal
8. Estándar de gestión de la organización
1. Institución
2. Personal
3. Supervisión
4. Cadena de suministro
9. Nueva tecnología y estándar de seguridad de aplicaciones
1. Computación en la nube
2. Big data
3. Internet de las cosas
4, Internet móvil
5, Infraestructura de información crítica
5.1 Intercambio de información
5.2 Monitoreo y alerta temprana
5.3 Respuesta a incidentes
Normas y sistemas relacionados con la igualdad de garantía
Con el conocimiento anterior como presagio, echemos un vistazo a la estructura del sistema de tres niveles del estándar Dengbao 2.0
nivel uno
La primera capa refleja el nivel y el nivel estándar del sistema estándar: estándares nacionales, estándares de la industria y estándares corporativos.
De acuerdo con la Ley de Normalización de la República Popular de China, los requisitos técnicos de los estándares nacionales recomendados, estándares de la industria, estándares locales, estándares de grupo y estándares corporativos no deben ser inferiores a los requisitos técnicos relevantes de los estándares nacionales obligatorios. Al mismo tiempo, el estado alienta a las organizaciones sociales y empresas a formular estándares de grupo y estándares empresariales que sean más altos que los requisitos técnicos relevantes de los estándares recomendados.
Segunda planta
El sistema estándar se divide en tres categorías: base, red y productos de acuerdo con los diferentes objetivos y funciones del estándar.
Los estándares básicos aquí deberían incluir dos:
GB 17859-1999 "Pautas de clasificación de grado de protección de seguridad del sistema de información informática"
GB / T 22239-2019 "Requisitos básicos de protección de grado de seguridad de red de tecnología de seguridad de la información"
El tercer piso
La tercera capa es la expansión de (estándares de red + estándares de producto). Los estándares de la red se desarrollan aún más de acuerdo con el flujo de trabajo de protección jerárquica para formar una relación de secuencia, mientras que los estándares del producto se desarrollan en orden de acuerdo con la clasificación funcional.
Lista de estándares de red:
GB / T 22240-2020 "Directrices para la clasificación de la tecnología de seguridad de la información Protección del nivel de seguridad de la red"
GB / T 22239-2019 "Requisitos básicos para la protección del nivel de seguridad de la red de la tecnología de seguridad de la información" (esto en realidad puede considerarse como un estándar básico)
GB / T 25070-2019 "Tecnología de seguridad de la información Nivel de seguridad de red Requisitos técnicos de diseño de seguridad de protección"
GB / T 28448-2019 "Requisitos de evaluación de protección de nivel de seguridad de red de tecnología de seguridad"
GB / T 28449-2018 " Requisitos de evaluación de protección de nivel de seguridad de red de tecnología de seguridad de la información " Pautas de proceso "
GB / T 25058-2019" Tecnología de seguridad de la información Nivel de seguridad de la red Pautas de implementación de protección "
GB / T 36958-2018" Tecnología de seguridad de la información Nivel de seguridad de la red Protección Requisitos técnicos del centro de gestión de seguridad "
GB / T 36959-2018" Tecnología de seguridad de la información Requisitos de capacidad y especificaciones de evaluación de la agencia de evaluación de protección
graduada de seguridad de red " GB / T 36627-2018" Pautas técnicas de evaluación y prueba de protección graduada de seguridad de red de tecnología de seguridad de la información "Los
estándares mencionados anteriormente tienen una relación secuencial , lo que en realidad significa que estos estándares se aplican El proceso de garantía tiene una secuencia:
| Proceso de isogarantía | Estándar relacionado de igual garantía 2.0 | efecto |
|---|---|---|
| Clasificación | GB / T 22240-2020 y estándares industriales o empresariales correspondientes | Divida los objetos de clasificación y determine el nivel de protección de seguridad |
| Construcción segura | GB / T 22239-2019, GB / T 25070-2019 y los estándares industriales o empresariales correspondientes | Planificación, diseño y trabajos de construcción, selección científica y razonable y despliegue de las medidas de seguridad necesarias. |
| Evaluación de calificaciones | GB / T 28448-2019, GB / T 28449-2018 y los estándares industriales o empresariales correspondientes | Estandarizar y orientar el trabajo de evaluación de nivel |
Lista de estándares de producto:
GB / T 20272-2019 "Requisitos técnicos de seguridad del sistema operativo de tecnología de seguridad de la información"
GB / T 20008-2005 "Pautas de evaluación de seguridad del sistema operativo de tecnología de seguridad de la información"
GB / T 20273-2019 "Sistema de gestión de base de datos de tecnología de seguridad de la información" Requisitos técnicos de seguridad "
GB / T 20278-2013" Tecnología de seguridad de la información Escaneo de vulnerabilidades de red Requisitos técnicos de seguridad del producto "
GB / T 21050-2019" Tecnología de seguridad de la información Requisitos técnicos de seguridad del conmutador de red "
Hay muchos más, básicamente los mismos que los productos de seguridad de la información ( Tanto el suave como el duro) están relacionados, por no mencionarlos todos.
referencias:
- GUÍA ISO / IEC 2: 2004
- GB / T 20000.1-2014 "Directrices para la estandarización, parte 1: Términos generales para la estandarización y actividades relacionadas"
- Orden del Presidente de la República Popular de China Nº 78 "Ley de Normalización de la República Popular de China (Revisión de 2017)"
- Chen Zhongwen. "Normas, leyes y reglamentos de seguridad de la información", segunda edición, Wuhan University Press
- Libros de texto para probadores de seguros intermedios