随着信息化时代的到来,各行各业不可避免的受到网络安全问题的威胁。各国政府高度重视网络安全评估工作,出台一系列的政策法规,用以指导网络安全评估工作的规划、分析和实施。网络安全评估作为政府保障国家安全、社会稳定的抓手之一,在企业网络隐患识别、安全保障等方面起到至关重要的作用。本文从国内外标准和国内政策指引两方面介绍了网络安全评估标准及相关政策。
1.国外相关网络安全评估相关标准
欧美一些信息技术先进的国家在网络安全评估体系方面已经率先开展了研究工作。现在通用的国际标准及国内相关标准都是参考借鉴了一下相关标准制定:
BS 7799《信息安全管理实施细则》
BS 7799以风险管理思想为基础,旨在指导机构建立系统化、程序化、文件化的信息安全管理体系(ISMS)。BS 7799分为两个部分,第一部分是信息安全管理使用规则,通过国际化标准机构认可后,成为ISO 17799《信息安全管理体系实施细则》;第二部分是信息安全管理体系要求,通过国际化标准机构认可后,成为ISO 27001《信息安全管理体系》。
NIST(National Institute of Standards and Technolegy美国国家标准及技术研究所)SP 800-30 《信息技术系统风险管理指南》
NIST SP 800-30 提出了风险评估的方法论和一般原则,并在信息安全风险评估领域得到了较好的应用。NIST SP 800-30中定义的风险评估流程与ISO/IEC 13335是一致的,但更立足于信息技术系统,从基础设施的薄弱点分析可能存在的风险。
CC(The Common Criteria for Information Technology security Evaluation)《信息技术安全评价通用准则》
美国、加拿大及欧洲四国协商共同起草了信息技术安全评估公共标准,简称CC。CC标准一方面可以支持产品中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。经国际化标准机构引用,形成国际标准ISO/IEC 15408《信息技术 安全技术 信息技术安全性评价准则》。
2.国内相关网络安全评估相关标准
GB/T 18336-2001《信息技术安全性评估准则》
GB/T 19716-2005《信息安全管理使用规则》
GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
GB/T 19715-2005《信息技术安全管理指南》
GB/T 20984-2007《信息安全风险评估规范》
GB/T 22239-2019《网络安全等级保护基本要求》
GB/T 22240-2019《网络安全等级保护定级指南》
GB/T 22258-2019《网络安全等级保护实施指南》
GB/T 22270-2019《网络安全等级保护安全设计技术要求》
GB/T 28448-2019《网络安全等级保护测评要求》
GB/T 28449-2018《网络安全等级保护测评过程指南》
3.国内政策指引
网络与信息安全是网络发展和信息化进程的产物,随着信息技术不断融入社会生产、生活、社会运转、政府管理等各个方面,网络与信息系统在经济稳定运行、社会有序运转中越来越发挥无可替代的作用,我国政府高度重视网络空间的安全保障,制定了多项政策及法律法规,用于指导相关企业提高网络安全意识,提升网络安全技术能力水平。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)提出了信息安全保障体系建设的总体思路和要求,部署了等级保护、风险评估、预警通报、应急再被、测评认证、信任体系建设等十大任务,明确“要重视信息安全风险评估工作。
《关于开展信息安全风险评估工作的意见》(国信办〔2006〕5号)中提出,要重视和加强对信息安全风险评估工作的组织领导,完善相应的评估制度,形成预防为主、持续改进的信息安全风险评估机制。
《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
《网络安全审查办法》指出,电信、广播电视、能源、金融、公路水路运输、铁路、民航等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照要求考虑申报网络安全审查。
《关于促进网络安全产业发展的指导意见(征求意见稿)》中提出,支持专业机构和企业开展网络安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务,规范漏洞扫描、披露等活动。
