2.3.1 信息安全标准的基本概念
信息系统安全问题是整个IT行业普遍关注的问题,经过业界多年探索和经验积累形成的信息安全标准,是商业银行开展信息系统研发风险管控工作的另一重要依据。
1.标准的定义和基本概念
标准是为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用和重复使用的一种规范性文件。在《中华人民共和国标准化法条文解释》中,标准的含义是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则或依据。
标准按约束力可分为国际标准和国家标准。国际标准是由国际标准化组织或国际标准组织通过并公开发布的标准;国家标准是由国家标准机构通过并公开发布的标准。
在我国,对于国际标准的采标形式可分为以下几种:
1)等同采用IDT(identical)。
2)修改采用MOD(modified)。
3)非等效采用NEQ(not equivalent)。
根据《中华人民共和国标准化法》(1988年)等法律法规规定,中国的标准分为国家标准、行业标准、地方标准和企业标准四级。
1)国家标准:对需要在全国范围内统一的技术要求(含标准样品的制作)。标准形式为GB/T XXXX.X-XXXX、GB XXXX-XXXX。
2)行业标准:没有国家标准,需要在全国某个行业范围内统一的技术要求。标准形式为GA、SJ等。
3)地方标准:没有国家标准、行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。标准形式为DBXX/T XXX-XXXX,DBXX/XXX-XXXX。
4)企业标准:对企业范围内需要统一的技术要求、管理要求和工作要求。标准形式为QXXX-XXX-XXXX。
2.信息安全标准的分类
关于信息安全标准的分类,目前我国比较通用的分类方法有以下三种:
(1)按标准发生作用的范围和审批标准级别来分 分为国家标准、行业标准、地方标准、企业标准四类。例如,由信安标委送审报批并由国家标准化管理委员会发布的是信息安全国家标准,由工信部等部门直接发布的则是信息安全部门或行业标准[19]。
(2)按标准的约束性来分 分为强制性标准和推荐性标准两类。强制性标准是保障人体健康,人身、财产安全的国家标准或行业标准和法律及行政法规规定强制执行的标准,其他标准是推荐性标准。《中华人民共和国标准化法》规定:强制性标准,必须执行,不符合强制性标准的产品,禁止生产、销售和进口;推荐性标准,国家鼓励企业自行采用。例如,GB 17859—1999《计算机信息系统安全保护等级划分准则》就属于强制性标准,计算机信息系统必须按照该标准进行安全保护等级划分,而GB/T 22239—2008《信息系统安全等级保护基本要求》则属于推荐性标准[19]。
(3)按标准在标准系统中的地位和作用来分 分为基础标准和一般标准两类。基础标准是指一定范围内作为其他标准的基础并普遍使用的标准,具有广泛的指导意义,例如,GB17859—1999《计算机信息系统安全保护等级划分准则》由于在我国信息安全等级保护工作中的基础性作用,应视为基础标准[19]。
(4)按标准的用途来分 安全基础类标准、安全技术类标准、安全管理类标准、安全工程类标准。安全基础类标准是信息安全标准体系的基础部分,为其他标准提供支持和服务,例如,信息安全术语标准GB/T 5271.8—1993《数据处理词汇08部分:控制、完整性和安全性》;安全技术类标准是针对物理、网络、系统、应用、数据等各个逻辑层面技术以及专项安全技术的标准,例如,GB/T 20271—2006《信息安全技术信息系统通用安全技术要求》;安全管理类标准是围绕信息安全管理过程中所涉及的架构、要求、制度和流程等各方面的标准,例如,GB/T 22240—2008《信息系统安全等级保护定级指南》;安全工程类标准主要是用于规范信息安全工程实施、信息安全产品制售等方面的标准,例如:GB/T 18018—1999《路由器安全技术要求》等[19]。