2.3.2 信息安全标准化概述

2025年09月26日

版权

2.3.2 信息安全标准化概述

根据GB/T 20000.1—2002的定义，标准化是为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动。标准化为科学管理奠定了基础，是科研、生产、使用三者之间的桥梁，为组织现代化生产创造了前提条件，在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力方面具有重大作用。大量的环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。

用标准的对象、内容和级别三要素分别作为坐标轴所构成的空间叫标准的三维空间。如果将标准等级的提高、领域的扩大和内容的不断充实看作是一个发展的过程，则标准的三维空间便成为标准化的三维空间，如图2-3所示。

图2-3 标准化的三维空间

标准化自20世纪初开始至今已经经历了一个多世纪的发展。1947年，国际标准化组织（ISO）成立，在其影响下，世界各国相继建立了标准化研究机构。我国标准化自新中国成立至今，大致经历了从政府主导到行业需求，从强制执行到推荐适用，从分散标准到标准体系的过程^[17]。

1.国际主要信息安全标准化组织

工业革命后，标准化在工业发达国家迅速发展。1901年，世界上第一个国家标准化组织——英国工程标准委员会成立。目前，全世界150多个国家和地区中已经有100多个建立了国家标准化组织。在这些标准化组织中，与信息安全相关的组织主要有：

（1）国际标准化组织ISO ISO是知名度最高、影响范围最广的标准化组织。自1946年成立以来已经发布了12000多个标准。由ISO制定的信息安全标准主要有《信息安全管理体系要求》（ISO/IEC 27001）、《信息技术安全性评估准则》（ISO/IEC 15408）等。这些标准在开展信息安全管理和安全评估方面得到了广泛应用。

（2）国际电工委员会IEC 是世界上成立最早的国际标准化机构，在信息安全标准化方面，除了与ISO联合成立了JTC1分委员会外，还在电信、电子系统、信息技术等方面成立委员会（如TC56可靠性、TC74IT设备安全和功效等），并制定了相关标准，如信息技术设备安全（IEC 60950）等。

（3）国际电信联盟ITU 是标准化国际电信的一个国际性机构，1947年成为联合国的一个办事机构，其下属的SG17组主要负责研究通信系统安全标准。由ITU制定的信息安全标准主要有目录访问协议（X.500）、数字证书标准（X.509）等。这些标准在构建公钥基础设施（PKI）方面得到了广泛应用。

（4）国际电气和电子工程师学会IEEE 是一个国际性的电子技术与信息科学工程师协会，是世界上最大的专业技术组织之一。IEEE的标准在工业界有极大的影响，其制定的信息安全标准主要有局域网安全性规范（IEEE802.10）、无线局域网安全（IEEE802.11i）等。

（5）美国国家标准协会ANSI 是一个非营利性的民间标准化组织，负责协调美国国家标准的制定，其下设两个小组负责金融安全标准的制定工作，已与美国标准委员会共同制定了汇兑的安全标准9个，同时也在进行金融卡交易、密码服务消息，以及实现商业交易安全等方面的工作。

（6）美国国家标准技术研究所NIST 负责为美国政府的信息保密、安全及相关技术措施制定性价比高的技术和管理标准，并与国防部联合进行信息产品的一致性测试。SP800系列特别出版物是NIST发布在计算机安全等领域的相关报告，涵盖了密码技术、入侵检测、电子邮件安全、安全评估等各方面，已成为安全界普遍认同和参考的安全准则和最佳实践^[17]。

2.我国标准化组织

（1）国家标准化管理委员会SAC 国务院授权同意管理全国标准化工作的主管机构。国务院有关行政主管部门和有关行业协会也设有标准化管理机构。各省、自治区、直辖市及市、县质量技术监督局统一管理本辖内的标准化工作。国家标准化管理委员会对省、自治区、直辖市质量技术监督局的标准化工作实施业务层面的领导，其职能还包括管理全国标准化信息工作^[19]。

（2）全国信息安全标准化技术委员会国家标准化管理委员会直属标委会，是我国在信息安全专业领域内，从事标准化工作的技术组织，主要负责全国信息安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化工作，对口国际标准化组织ISO/IEC JTC1 SC27，秘书处设在中国电子技术标准化研究所。信安标委成立以来，在工信部、公安部、安全部门、国家保密局、科技部等各部门的指导和支持下，已完成国家标准近70项^[19]。

（3）其他信息安全相关标准化技术委员会。

1）全国信息技术标准化技术委员会。负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作，是目前国内最大的标准化技术委员会。

2）全国金融标准化技术委员会。是经国家标准化管理委员会授权，在金融领域内从事全国性标准化工作的技术组织，负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会的归口管理工作。国家标准化管理委员会委托中国人民银行对金标委进行领导和管理。金标委是负责银行、证券、保险、印钞造币等金融业务标准化工作的技术组织^[17]。

3.我国信息安全相关标准简介

自2002年信息安全标准化委员会成立以来，一直致力于研究建立我国信息安全标准体系。经过多年的研究和积累，我国信息安全标准体系已初步建成，截至2013年年底，正式发布的国家标准数为139项^[20]。

我国信息安全标准体系将信息安全标准划分为7大类，如图2-4所示。

图2-4 我国信息安全标准体系总体框架[20]

（1）基础标准主要为信息安全标准的制定提供通用的语言和抽象系统框架，例如《信息安全技术—术语》（GB/T 25069—2010）。

（2）技术与机制标准主要包括标识、鉴别、授权、电子签名、实体管理、物理安全技术等方面标准。例如《信息安全技术公钥基础设施数字证书格式》（GB/T 20518—2006）。

（3）管理标准主要应用于组织层面，规范组织的信息安全制度，规范治理机制和治理结构，保证信息安全战略与组织业务目标一致。如《计算机信息系统安全保护等级划分准则》（GB 17859—1999）。

（4）测评标准指导和规范了产品开发和评估，并可作为测评机构开展测评工作的依据。如《信息安全技术操作系统安全评估准则》（GB/T 20008—2005）。

（5）商用密码标准应用于商用密码的整个生命周期，包括商用密码研制、生产、使用与管理的全过程，以及在这个完整过程中涉及的术语、协议、管理、安全评估等所有组成要素。

（6）保密标准从技术和管理两方面涵盖了保密防范和保密检查工作所需，既包括传统保密工作所需的标准（如保密会议的安全要求、涉密信息消除和介质销毁、电子文件保密管理等），也包括了信息化和高技术发展条件下保密工作所需要的标准（如涉密信息系统技术要求和测评、信息安全保密产品技术要求和测试方法、涉密信息系统管理等）。