Présentation du système standard Equal Guarantee 2.0 Sécurité de l'information et Garantie égale

Aperçu standard

  L'existence de normes est absolument nécessaire non seulement pour notre pays, mais aussi pour le monde entier. Par exemple, l'unité de mesure, de production et de transformation, et le commerce international sont indissociables des normes. D'une manière générale, il n'est pas facile pour quiconque dans le domaine standard de bien faire et pour quiconque parle. Il n'est pas facile d'atteindre les normes des autres. Par exemple, si vous vous rendez dans un pays étranger pour étudier pour des étudiants diplômés, d'autres ne reconnaissent pas vos crédits de premier cycle, ce qui indique que votre école ne répond pas aux normes internationales. , S'il s'agit de 985 collèges et universités, il se peut qu'il n'y ait pas ce problème.

définition

  L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) dans le "Normalisation et activités connexes - Vocabulaire général" (la dernière version ne sait pas en quelle année, jusqu'à présent je vois 04: ISO / CEI GUIDE 2: 2004, chinois appelé Norme et Vocabulaire général des activités connexes) La définition donnée à la section 3.2 est:
  Document, établi par consensus et approuvé par un organisme reconnu, qui fournit, pour un usage courant et répété, des règles, des lignes directrices ou des caractéristiques des activités ou de leurs réalisation du degré d'ordre optimal dans un contexte donné.
  REMARQUE. Les normes devraient être fondées sur les résultats consolidés de la science, de la technologie et de l'expérience, et viser à promouvoir les avantages optimaux pour la communauté.
  Peu importe si vous ne comprenez pas, GB / T 20000.1-2014 Les «Directives pour la normalisation Partie 1: Terminologie générale de la normalisation et des activités connexes» (la norme semble être révisée en 2020) donne également la définition correspondante de la norme: à
  travers des activités de normalisation, conformément aux procédures prescrites, elle est formulée par consensus. Les activités ou leurs résultats fournissent des règles, des directives ou des fonctionnalités pour une utilisation courante et une réutilisation des documents.
Note 1: La norme doit être basée sur les résultats complets de la science, de la technologie et de l'expérience.
Note 2: La procédure prescrite fait référence à la procédure d'établissement de normes promulguée par l'organisation qui établit la norme.
Note 3: Telles que les normes internationales, les normes régionales, les normes nationales, etc., parce qu'elles peuvent être mises à la disposition du public et, si nécessaire, par amendement ou révision pour suivre le dernier niveau technologique, elles sont considérées comme une règle technique reconnue. Les normes adoptées à d'autres niveaux, telles que les normes des associations professionnelles (apprentissage), les normes d'entreprise, etc., peuvent affecter géographiquement plusieurs pays.
  Comprendre la définition de [norme] est très utile pour comprendre le système de normes de sécurité de l'information et d'assurance équivalente, car la sécurité de l'information et les normes d'assurance équivalentes sont également des [normes] et sont également formulées conformément au cadre des [normes].

classification

  La classification des normes est très utile pour comprendre le système de normes de sécurité de l'information et de garantie d'égalité Les systèmes de normes de sécurité de l'information et de garantie d'égalité suivants peuvent également être classés selon cette idée.

1. Selon le champ d'application de la norme: normes nationales, normes de l'industrie, normes locales et normes de groupe, normes d'entreprise. Quant à savoir quel département formule et approuve chaque type de norme, quel département ne commence pas le dépôt. Il existe également des "Documents techniques d'orientation nationaux sur la normalisation" en complément des quatre types de normes. Ces normes sont représentées par "GB / Z" sur le numéro de série.
2. Classification selon le caractère restrictif des normes: normes obligatoires et normes recommandées. Les normes nationales sont divisées en normes obligatoires et normes recommandées, tandis que les normes industrielles et les normes locales sont des normes recommandées. (Il semble que certaines normes locales aient également des normes obligatoires.)
   Les normes obligatoires doivent être respectées sans négociation (ces normes sont généralement liées à la vie et aux intérêts patrimoniaux de la population, à la sécurité nationale, à l'environnement, etc.). Pour les autres types de produits, l'État encourage l'utilisation des normes recommandées.
   Les normes obligatoires peuvent être divisées en: texte intégral obligatoire et provisoire obligatoire, qui n'ont pas grand-chose à voir avec les normes de sécurité de l'information et de garantie équivalentes suivantes et ne seront pas étendues.
3. Selon le statut des normes: normes de base, normes générales.
4. Selon les objets de normalisation: normes techniques, normes de gestion et normes de travail. Ces trois types de normes peuvent être subdivisées. Par exemple, les normes techniques peuvent être subdivisées en: normes techniques de base, normes de produits, normes de processus, normes de méthodes d'essai et d'essai, normes d'équipement, matières premières, produits semi-finis, normes de pièces achetées, normes de sécurité et d'hygiène , Normes de protection de l'environnement, normes de marquage, etc. Il n'est pas nécessaire d'être trop détaillé ici.

Numérotage

  Connaître le numéro de la norme nous permet de correspondre rapidement à la classification de la norme. Bien sûr, puisque les normes sont nationales et internationales (bien sûr, il existe également des normes établies par des leaders régionaux [comme l'UE] et de l'industrie [tels que Nokia, IBM]. Le numéro est divisé en numéro standard national et numéro standard international, mais les deux suivent probablement la structure suivante:
$$Normequasi-generationNo.+Numéro\; declasseaffairesspécial(OPTIOn-AL)+Shunnuméro\; deséquence+Enpartie$$

1. Les codes standard sont essentiellement des abréviations ou utilisent des initiales en pinyin chinois, par exemple:
   ISO: International Standard Organization
   CEI: International Electrotechnical Commission
   GB: National Obligatoire Standard
   JR: Financial Industry Standard
   GA: Public Safety Industry Standard
   GD : Norme de l'industrie de la radio et de la télévision
   MH: Norme de l'industrie de l'aviation civile
   YD: Norme de l'industrie de la poste et des télécommunications
   Il y a bien sûr des exceptions:
   QJ: Norme de l'industrie aérospatiale, il y a longtemps, l'aérospatiale appartenait au [7e niveau] Ministère
   SJ: Norme de l'industrie électronique, le prédécesseur du Ministère de l'industrie électronique était la [quatrième machine] 】 Ministère de l'industrie de la machinerie
   DB: norme locale, la norme locale est composée des majuscules Hanyu Pinyin DB plus les deux premiers chiffres du code de division administrative de la province, de la région autonome et de la municipalité directement sous le gouvernement central. [Pour le code détaillé, voir le "Code de la division administrative de la République populaire de Chine": Beijing (110000 BJ), Tianjin City (120000 TJ) Hebei Province (130000 HE) ...], par exemple: DB11-XXXX signifie Beijing Standard
   Q: Enterprise Standard. Le nom de code de la norme d'entreprise est la lettre majuscule chinoise Pinyin Q plus une barre oblique et le code d'entreprise ( Il est généralement composé de trois chiffres, pinyin chinois ou chiffres arabes ou les deux), les normes techniques ajoutent "/ J", les normes de gestion ajoutent "/ G" et les normes de travail ajoutent "/ Z"
2. Numéro de classe professionnelle (facultatif), généralement composé d'une barre oblique et d'une seule lettre:
   / T: norme recommandée
   / Z: norme de travail, derrière le document technique instructif de la génération GB / Z
   / J: norme technique
   / G: norme de gestion

  Forts de ces connaissances, nous examinerons les normes pour être plus claires, par exemple:
GB / Z 30525-2014 "Science and Technology Platform Standardization Work Guide", qui fait partie du document technique national d'orientation de normalisation, publié en 2014.
GD / J 037-2011 «Guidelines for the Graded Protection of Radio and Television Broadcasting Information Related Systems», qui fait partie des normes techniques du Département des sciences et de la technologie de l'Administration d'État de la radio, du cinéma et de la télévision, et a été publié en 2011.
Le document GB 17859-1999 «Directives pour la classification des niveaux de protection de la sécurité des systèmes informatiques», norme internationale obligatoire, a été publié en 1999.

Normes relatives à la sécurité de l'information

  Les normes et les travaux de normalisation de la sécurité de l'information en Chine sont gérés par le Comité technique national de normalisation de la sécurité de l'information. À l'heure actuelle, de nombreuses normes de protection de la sécurité de l'information ont été publiées, notamment GB, GB / T, GA, GA / T, etc., que je voulais énumérer. il est sorti, mais a constaté qu'il existe déjà un catalogue: . normes catalogue national de sécurité de l' information (2018 Edition)
  Ces normes couvrent certainement les normes pertinentes des garanties La classification des normes est ci - dessous:.
1. normes de base
1. Concept Terminologie
2. Modèle cadre
2. Normes de technologie et de mécanisme
1. Algorithme et technologie cryptographiques
2. Identification de sécurité
3. Authentification et autorisation
4. Calcul de confiance
5. Identification biométrique
6. Gestion de l'identité
3. Norme de gestion de la sécurité
1. SMSI
2. Gestion des risques
3. Fonctionnement Gestion de la maintenance
4. Gestion des événements
4. Normes d'évaluation de la sécurité
1. Critères d'évaluation
2. Méthodes d'évaluation
5. Normes de produits et de services
1. Composants
2. Produits de sécurité
3. Produits informatiques
4. Équipements critiques du
réseau 5. Produits spéciaux de sécurité
réseau 6. Réseau Service
VI. Normes de réseau et de système
1. Système d'information (Les normes pertinentes de la garantie sont essentiellement ici. Ce document a 18 ans, donc les nouvelles normes de garantie n'ont pas été mises à jour)
2. Système de bureau
3. Réseau de communication
4. Système de contrôle industriel
7. Norme de sécurité des données
1. Informations personnelles
8. Norme de gestion de l'organisation
1. Institution
2. Personnel
3. Supervision
4. Chaîne d'approvisionnement
9. Nouvelle technologie et norme de sécurité des applications
1. Cloud computing
2. Big data
3. Internet des objets
4, Internet mobile
5, infrastructure d'information critique
5.1 Partage d'informations
5.2 Surveillance et alerte rapide
5.3 Réponse aux incidents

Normes et systèmes liés à la garantie égale

  Avec les connaissances ci-dessus comme préfiguration, jetons un coup d'œil à la structure du système à trois niveaux de la norme Dengbao 2.0

premier niveau

  La première couche reflète le niveau et le niveau standard du système de normes: normes nationales, normes industrielles et normes d'entreprise.
  Selon la loi sur la normalisation de la République populaire de Chine, les exigences techniques des normes nationales recommandées, des normes industrielles, des normes locales, des normes de groupe et des normes d'entreprise ne doivent pas être inférieures aux exigences techniques pertinentes des normes nationales obligatoires. Dans le même temps, l'État encourage les organisations sociales et les entreprises à formuler des normes de groupe et des normes d'entreprise supérieures aux exigences techniques pertinentes des normes recommandées.

Deuxième étage

  Le système standard est divisé en trois catégories: fondation, réseau et produits selon les différents objectifs et fonctions de la norme.

  Les normes de base ici devraient en fait inclure deux:
GB 17859-1999 "Directives de classification du niveau de protection de la sécurité du système informatique"
GB / T 22239-2019 "Exigences de base de la protection du niveau de sécurité du réseau de la technologie de l'information"

Le troisième étage

  La troisième couche est l'extension de (normes de réseau + normes de produits). Les normes de réseau sont développées plus avant conformément au flux de travail de protection de niveau, formant une relation de séquence, tandis que les normes de produit sont développées dans l'ordre selon la classification fonctionnelle.

  Liste des normes de réseau:
GB / T 22240-2020 "Directives pour la classification de la protection du niveau de sécurité du réseau des technologies de la sécurité de l'information"
GB / T 22239-2019 "Exigences de base pour la protection du niveau de sécurité du réseau des technologies de la sécurité de l'information" (cela peut en fait être considéré comme une norme de base)
GB / T 25070-2019 «Exigences techniques de conception de sécurité de protection du niveau de sécurité du réseau de la technologie de l'information»
GB / T 28448-2019 «Exigences d'évaluation de la protection du niveau de sécurité du réseau de la technologie de l'information»
GB / T 28449-2018 « Exigences d' évaluation de la protection du niveau de sécurité du réseau de la technologie de l'information » Directives de processus "
GB / T 25058-2019" Directives de mise en œuvre de la protection du niveau de sécurité du réseau de la technologie de la sécurité de l'information "
GB / T 36958-2018" Technologie de la sécurité de l'information Protection du niveau de sécurité du réseau Exigences techniques du centre de gestion de la sécurité "
GB / T 36959-2018" Technologie de la sécurité de l'information Exigences de capacité et spécifications d'évaluation de l'Agence d'évaluation de la sécurité du réseau "
GB / T 36627-2018" Directives techniques de test et d'évaluation de la protection de sécurité du réseau pour la sécurité de l'information "Les
  normes susmentionnées ont une relation séquentielle , ce qui signifie en fait que ces normes sont appliquées Le processus de garantie a une séquence:

Processus Isoguarantee	Norme Equal Guarantee 2.0 associée	effet
Évaluation	GB / T 22240-2020 et normes industrielles ou d'entreprise correspondantes	Divisez les objets de nivellement et déterminez le niveau de protection de sécurité
Construction sûre	GB / T 22239-2019, GB / T 25070-2019 et normes correspondantes de l'industrie ou de l'entreprise	Travaux de planification, de conception et de construction, sélection scientifique et raisonnable et déploiement des mesures de sécurité nécessaires
Évaluation de la note	GB / T 28448-2019, GB / T 28449-2018 et normes correspondantes de l'industrie ou de l'entreprise	Standardiser et guider le travail d'évaluation de niveau

  Liste des normes de produits:
GB / T 20272-2019 «Exigences techniques de sécurité du système d'exploitation de la technologie de l'information»
GB / T 20008-2005 «Directives d'évaluation de la sécurité du système d'exploitation de la technologie de la sécurité de l'information»
GB / T 20273-2019 «Système de gestion de base de données de la technologie de la sécurité de l'information» Exigences techniques de sécurité "
GB / T 20278-2013" Technologie de sécurité de l'information Analyse des vulnérabilités du réseau Exigences techniques de sécurité du produit "
GB / T 21050-2019" Exigences techniques de sécurité des commutateurs de réseau de technologie de sécurité de l'information "
  Il y en a beaucoup d'autres, essentiellement les mêmes que les produits de sécurité de l'information ( Les deux soft et hard) sont liés, pour ne pas tous les énumérer.

les références:

1. GUIDE ISO / CEI 2: 2004
2. GB / T 20000.1-2014 "Directives pour la normalisation Partie 1: Conditions générales de normalisation et activités connexes"
3. Ordonnance du Président de la République populaire de Chine n ° 78 "Loi de normalisation de la République populaire de Chine (révision de 2017)"
4. Chen Zhongwen. "Normes de sécurité de l'information et lois et règlements" Deuxième édition. Wuhan University Press
5. Manuels pour les testeurs d'assurance intermédiaires