Equal Guarantee 2.0 Segurança da informação e Visão geral do sistema padrão de garantia igual

Others 2020-10-25 06:03:36 views: null

Artigo Diretório

Visão geral padrão

  A existência de normas é necessária não só para o nosso país, mas também para o mundo inteiro, por exemplo, a unidade de medida, a produção e o processamento e o comércio internacional são indissociáveis ​​das normas. De um modo geral, não é fácil para ninguém na área padrão se sair bem e para quem fala. Não é fácil alcançar os padrões de outras pessoas. Por exemplo, se você vai para um país estrangeiro estudar para alunos de pós-graduação, outras pessoas não reconhecem seus créditos de graduação, o que significa que sua escola não atende aos padrões internacionais. , Se forem 985 universidades, então pode não haver esse problema.

definição

  A International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC) no "Normalização e atividades relacionadas - Vocabulário geral" (a versão mais recente não sabe em que ano, até agora vejo 04: ISO / IEC GUIDE 2: 2004, chinês chamado Padrão e Vocabulário geral de atividades relacionadas) A definição dada na seção 3.2 é:
  Documento, estabelecido por consenso e aprovado por órgão reconhecido, que prevê, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, destinadas ao obtenção do grau ideal de ordem em um determinado contexto.
  OBSERVAÇÃO. Os padrões devem ser baseados nos resultados consolidados da ciência, tecnologia e experiência, e devem ter como objetivo a promoção de benefícios ótimos para a comunidade.
  Não importa se você não entende, GB / T 20000.1-2014 As "Diretrizes para Padronização Parte 1: Terminologia Geral para Padronização e Atividades Relacionadas" (a norma parece ter sido revisada em 2020) também dá a definição correspondente da norma:
  por meio de atividades de padronização, de acordo com os procedimentos prescritos, ela é formulada por consenso. Um documento que fornece regras, diretrizes ou características para atividades ou seus resultados para uso comum e reutilização.
Nota 1: O padrão deve ser baseado nos resultados abrangentes da ciência, tecnologia e experiência.
Nota 2: O procedimento prescrito refere-se ao procedimento de definição de padrões promulgado pela organização que define o padrão.
Nota 3: Tais como normas internacionais, normas regionais, normas nacionais, etc., porque podem estar disponíveis publicamente e, se necessário, por meio de emendas ou revisões para manter o nível tecnológico mais recente, são consideradas uma regra técnica reconhecida. Padrões aprovados em outros níveis, como padrões de associação profissional (aprendizagem), padrões corporativos, etc., podem afetar vários países geograficamente.
  Compreender a definição de [padrão] é muito útil para entender o sistema de padrão de segurança da informação e garantia equivalente, porque os padrões de segurança da informação e garantia equivalente também são [padrões] e também são formulados de acordo com a estrutura de [padrões].

classificação

  A classificação de padrões é muito útil para entender o sistema de padrões de segurança da informação e garantia de igualdade.Os seguintes sistemas de padrões de segurança da informação e garantia de igualdade também podem ser classificados de acordo com esta idéia.

  1. Classificação de acordo com o escopo de implementação dos padrões: padrões nacionais, padrões da indústria, padrões locais e padrões de grupo e padrões corporativos. Quanto a qual departamento formula e aprova cada tipo de norma, qual departamento não inicia o arquivamento. Além disso, existem "Documentos Técnicos Orientadores da Normalização Nacional" como um suplemento aos quatro tipos de normas. Esses padrões são representados como "GB / Z" no número de série.
  2. Classificação de acordo com a natureza restritiva das normas: normas obrigatórias e normas recomendadas. Os padrões nacionais são divididos em padrões obrigatórios e padrões recomendados, enquanto os padrões da indústria e padrões locais são padrões recomendados. (Parece que alguns padrões locais também têm padrões obrigatórios.)
    Os padrões obrigatórios devem ser cumpridos sem negociação (tais padrões geralmente estão relacionados à vida e aos interesses de propriedade das pessoas, segurança nacional, meio ambiente, etc.). Para outros tipos de produtos, o estado incentiva o uso de padrões recomendados.
    As normas obrigatórias podem ser subdivididas em: texto completo obrigatório e provisório obrigatório, que pouco têm a ver com as seguintes normas de segurança da informação e garantia equivalente e não serão expandidas.
  3. De acordo com o status dos padrões: padrões básicos, padrões gerais.
  4. De acordo com os objetos de padronização: padrões técnicos, padrões de gestão e padrões de trabalho. Esses três tipos de padrões podem ser subdivididos. Por exemplo, os padrões técnicos podem ser divididos em: padrões técnicos básicos, padrões de produto, padrões de processo, padrões de teste e método de teste, padrões de equipamentos, matérias-primas, produtos semiacabados, padrões de peças adquiridas, segurança e higiene , Padrões de proteção ambiental, padrões de marcação, etc. Não há necessidade de ser muito detalhado aqui.

Numeração

  Saber o número do padrão nos permite corresponder rapidamente à classificação do padrão. Claro, uma vez que os padrões são domésticos e internacionais (é claro, também existem padrões estabelecidos por líderes regionais [como a UE] e da indústria [como Nokia, IBM]. O número é dividido em número padrão doméstico e número padrão internacional, mas ambos provavelmente seguem a seguinte estrutura:
código padrão + número da classe profissional (opcional) + número de sequência + código padrão do ano + número da classe profissional (opcional) + Número da sequência + anoNº de quase- geração padrão+Especial negócio classe número ( S P T I O N Uma L )+Número de sequência Shun+Em parte

  1. Os códigos padrão são basicamente abreviações ou usam iniciais pinyin chinesas, por exemplo:
    ISO: International Standard Organization
    IEC: International Electrotechnical Commission
    GB: National Obrigatory Standard
    JR: Financial Industry Standard
    GA: Public Safety Industry Standard
    GD : Padrões da indústria de rádio e televisão
    MH: Padrões da indústria de aviação civil
    YD: Padrões da indústria de correios e telecomunicações
    Claro que há exceções:
    QJ: Padrões da indústria aeroespacial, há muito tempo, a aeroespacial pertencia ao [7º nível] Ministério
    SJ: Padrões da indústria de eletrônicos, o predecessor do Ministério da Indústria Eletrônica era [quarta máquina] 】
    DB do Ministério da Indústria de Maquinário : Padrão local, o padrão local é composto pela letra maiúscula Hanyu Pinyin DB mais os dois primeiros dígitos do código da divisão administrativa da província, região autônoma e município diretamente sob o Governo Central. [Para o código detalhado, consulte o "Código da Divisão Administrativa da República Popular da China": Pequim (110000 BJ), Cidade de Tianjin (120000 TJ) Província de Hebei (130000 HE) ...], por exemplo: DB11-XXXX significa Beijing Standard
    Q: Enterprise Standard. O codinome do Enterprise Standard é a letra Q da capital chinesa Pinyin mais uma barra e o código da empresa ( Geralmente é composto de três dígitos, pinyin chinês ou algarismos arábicos ou ambos), padrões técnicos adicionam "/ J", padrões de gerenciamento adicionam "/ G" e padrões de trabalho adicionam "/ Z"
  2. Número da classe profissional (opcional), geralmente composto por uma barra e uma única letra:
    / T: padrão recomendado
    / Z: padrão de trabalho, atrás do documento técnico instrutivo da geração GB / Z
    / J: padrão técnico
    / G: padrão de gerenciamento

  Com esse conhecimento, veremos os padrões para ser mais claro, por exemplo:
GB / Z 30525-2014 "Guia de Trabalho de Padronização de Plataforma de Ciência e Tecnologia", que pertence ao documento técnico de orientação de padronização nacional, lançado em 2014.
GD / J 037-2011 "Diretrizes para a Classificação do Nível de Proteção dos Sistemas de Informação Relacionados à Radiodifusão e Televisão", que pertence às normas técnicas do Departamento de Ciência e Tecnologia da Administração Estatal de Rádio, Cinema e Televisão, e foi lançado em 2011.
GB 17859-1999 "Diretrizes para a Classificação de Níveis de Proteção de Segurança de Sistemas de Informação de Computador", um padrão internacional obrigatório, foi publicado em 1999.

Padrões relacionados à segurança da informação

  Os padrões e o trabalho de padronização relacionados à segurança da informação na China são gerenciados pelo Comitê Técnico de Padronização de Segurança da Informação Nacional . No momento, muitos padrões para proteção de segurança da informação foram emitidos, incluindo GB, GB / T, GA, GA / T, etc., que eu gostaria de listar. Saiu, mas constatou que já existe um catálogo: Catálogo Nacional de Normas de Segurança da Informação (Edição 2018).
  Essas normas certamente abrangem as normas relevantes para garantias. A classificação das normas está listada a seguir:
1. Normas Básicas
1. Conceito de Terminologia
2. Modelo de Estrutura
2. Padrões de tecnologia e mecanismo
1. Algoritmo criptográfico e tecnologia
2. Identificação de segurança
3. Autenticação e autorização
4. Computação confiável
5. Identificação biométrica
6. Gerenciamento de identidade
3. Padrão de gerenciamento de segurança
1. SGSI
2. Gerenciamento de risco
3. Operação Gerenciamento de manutenção
4. Gerenciamento de eventos
4. Padrões de avaliação de segurança
1. Critérios de avaliação
2. Métodos de avaliação
5. Padrões de produtos e serviços
1. Componentes
2. Produtos de segurança
3. Produtos de TI
4. Equipamentos críticos de
rede 5. Produtos especiais de segurança de
rede 6. Rede Serviço
VI. Normas de rede e sistema
1. Sistema de informação (As normas de garantia relevantes encontram-se basicamente aqui. Este documento tem 18 anos, pelo que as novas normas de garantia não foram atualizadas)
2. Sistema de escritório
3. Rede de comunicação
4. Sistema de controle industrial
7. Padrão de segurança de dados
1. Informações pessoais
8. Padrão de gerenciamento da organização
1. Instituição
2. Pessoal
3. Supervisão
4. Cadeia de suprimentos
9. Nova tecnologia e padrão de segurança de aplicativos
1. Computação em nuvem
2. Big data
3. Internet of Things
4, Mobile Internet
5, Critical Information Infrastructure
5.1 Compartilhamento de informações
5.2 Monitoramento e alerta inicial
5.3 Resposta a incidentes

Padrões e sistemas relacionados à garantia igual

  Com o conhecimento acima como um prenúncio, vamos dar uma olhada na estrutura do sistema de três camadas do Dengbao 2.0

nível um

  A primeira camada reflete o nível e o nível padrão do sistema padrão: padrões nacionais, padrões da indústria e padrões corporativos.
  De acordo com a Lei de Padronização da República Popular da China, os requisitos técnicos dos padrões nacionais recomendados, padrões da indústria, padrões locais, padrões de grupo e padrões corporativos não devem ser inferiores aos requisitos técnicos relevantes dos padrões nacionais obrigatórios. Ao mesmo tempo, o estado incentiva as organizações sociais e empresas a formular padrões de grupo e padrões empresariais que sejam mais elevados do que os requisitos técnicos relevantes dos padrões recomendados.
Insira a descrição da imagem aqui

Segundo andar

  O sistema padrão é dividido em três categorias: base, rede e produtos de acordo com os diferentes objetivos e funções do padrão.
Insira a descrição da imagem aqui
  Os padrões básicos aqui devem incluir dois:
GB 17859-1999 "Diretrizes de classificação do nível de proteção de segurança do sistema de informações de computador"
GB / T 22239-2019 "Tecnologia de segurança da informação Nível de segurança de rede Requisitos básicos de proteção"

o terceiro andar

  A terceira camada é a expansão de (padrões de rede + padrões de produto). Os padrões de rede são desenvolvidos posteriormente de acordo com o fluxo de trabalho de proteção hierárquica para formar uma relação de sequência, enquanto os padrões do produto são desenvolvidos de acordo com a classificação funcional.
Insira a descrição da imagem aqui
  Lista de padrões de rede:
GB / T 22240-2020 "Diretrizes para a Classificação da Tecnologia de Segurança da Informação de Proteção do Nível de Segurança da Rede"
GB / T 22239-2019 "Requisitos Básicos para a Tecnologia de Segurança da Informação da Proteção do Nível de Segurança da Rede" (isso pode ser considerado um padrão básico)
GB / T 25070-2019 "Tecnologia de segurança da informação Nível de segurança de rede de proteção Requisitos técnicos de design"
GB / T 28448-2019 "Tecnologia de segurança da informação Requisitos de avaliação de proteção de nível de segurança de rede"
GB / T 28449-2018 "Tecnologia de segurança da informação Requisitos de avaliação de proteção de nível de segurança de rede " Diretrizes de processo "
GB / T 25058-2019" Diretrizes de implementação de proteção de nível de segurança de rede de tecnologia de segurança de informações "
GB / T 36958-2018" Requisitos técnicos do centro de gerenciamento de
segurança de tecnologia de segurança de informações " GB / T 36959-2018" Tecnologia de segurança de informação Requisitos de capacidade e especificações de avaliação da agência de avaliação de proteção
graduada de segurança de rede " GB / T 36627-2018" Diretrizes técnicas de avaliação e teste de proteção graduada de segurança de rede de segurança de rede "Os
  padrões mencionados acima têm uma relação sequencial , o que na verdade significa que esses padrões são aplicados O processo de garantia tem uma sequência:

Processo isoguarante Padrão de Garantia Equal 2.0 Relacionado efeito
Avaliação GB / T 22240-2020 e padrões industriais ou empresariais correspondentes Divida os objetos de classificação e determine o nível de proteção de segurança
Construção segura GB / T 22239-2019, GB / T 25070-2019 e padrões industriais ou empresariais correspondentes Planejamento, projeto e construção, seleção científica e razoável e implantação das medidas de segurança necessárias
Avaliação de notas GB / T 28448-2019, GB / T 28449-2018 e padrões industriais ou empresariais correspondentes Padronizar e orientar o trabalho de avaliação de nível

Insira a descrição da imagem aqui
  Lista de padrões de produto:
GB / T 20272-2019 "Requisitos técnicos de segurança do sistema operacional de tecnologia de segurança da informação"
GB / T 20008-2005 "Diretrizes de avaliação da segurança do sistema operacional de tecnologia de segurança da informação"
GB / T 20273-2019 "Sistema de gerenciamento de banco de dados de tecnologia de segurança da informação" Requisitos técnicos de segurança "
GB / T 20278-2013" Requisitos técnicos de segurança do produto de digitalização de vulnerabilidade de rede de tecnologia de segurança da informação "
GB / T 21050-2019" Requisitos técnicos de segurança de switch de rede de tecnologia de segurança da informação "
  Existem muitos mais, basicamente o mesmo que produtos de segurança da informação Soft e hard) estão relacionados, para não listá-los todos.

referências:

  1. ISO / IEC GUIA 2: 2004
  2. GB / T 20000.1-2014 "Diretrizes para Padronização Parte 1: Termos Gerais para Padronização e Atividades Relacionadas"
  3. Ordem do Presidente da República Popular da China nº 78 "Lei de Normalização da República Popular da China (Revisão de 2017)"
  4. Chen Zhongwen. "Padrões de Segurança da Informação, Leis e Regulamentos" Segunda Edição. Wuhan University Press
  5. Livros didáticos para testadores de seguros intermediários

Acho que você gosta

Origin blog.csdn.net/oldmao_2001/article/details/108196952
Recomendado
Clasificación
Diario
Más
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(0)

Code World

© 2018 codetd.com