浅谈网络安全国际标准化-王新杰-v1.9-20200407

1 公历2020年4月10日，农历庚子年三月十八自我介绍王新杰 13701275907 wangxinjie@powertime.cn • 北京时代新威信息技术有限公司总经理 • 网络安全等级保护高级测评师 • 全国信息安全标准化技术委员会（TC260）委员 • 国际标准化组织ISO/IEC JTC1/SC27专家成员 • 亚洲信息安全论坛RAISE Forum成员微信 2 钉钉公历2020年4月10日，农历庚子年三月十八课程目标 3 ① 理解“标准”对网络安全工作的作用 ② 了解网络安全国际标准化基础知识 ③ 知道如何参与网络安全国际标准化工作 ④ 掌握我国网络安全标准化的程序 ⑤ 通过考试，取得证书公历2020年4月10日，农历庚子年三月十八课程内容壹、网络安全标准的用途贰、网络安全国际标准化基础叁、如何参与网络安全国际标准化工作肆、我国网络安全标准化工作伍、考试和颁发证书 4 公历2020年4月10日，农历庚子年三月十八壹、网络安全标准的用途从大家熟悉的“N95”说起…… 5 公历2020年4月10日，农历庚子年三月十八  N95是美国呼吸护具“认证标准”中的“过滤效率”要求 NIOSH - National Institute for Occupational Safety and Health 美国国家职业安全卫生研究所美国呼吸护具标准：42 CFR Part 84 Respiratory Protective Devices 1995.07.10执行 N – Not resistant to oil，表示不耐油，适合非油性颗粒物 95 – 过滤效率95% 检测方法：200mg载荷，物理直径0.075µm±0.020µm非油性颗粒，过滤效率不低于95%。 6 公历2020年4月10日，农历庚子年三月十八  KN95是中国呼吸护具标准中的“过滤效率”要求 GB 2626-2019 呼吸防护 7 自吸过滤式防颗粒物呼吸器公历2020年4月10日，农历庚子年三月十八  GB17859 计算机信息系统安全保护等级划分准则￮本标准规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。￮目前我国实施网络安全等级保护，要求即源于这个标准。 8 GB 17859-1999计算机信息系统安全保护等级划分准则（参考资料1-1）公历2020年4月10日，农历庚子年三月十八  标准的用途之一：规定要求，通常用于认证或检测 ISO/IEC导则Part2-标准结构和编写的原则与规则-2018第8版（参考资料1）- 3.3 Provisions ￮提出供遵循的客观的、可检验的条件要求。￮如果声明符合或满足本标准的要求，则不允许有任何偏差。￮描述这些条件要求使用的动词形式为shall（应）和shall not （禁止）。 9 公历2020年4月10日，农历庚子年三月十八  用于认证或检测的常见网络安全标准序号标准编号标准名称认证或检测 27000（ISMS）认证 1 ISO/IEC 27001:2013 信息技术 - 安全技术 - 信息安全管理体系要求 2 ISO/IEC 27006:2015 信息安全管理体系审核认证机构的要求 3 ISO/IEC 15408-2:2008 IT安全评估准则 - 第2部分安全功能组件 4 ISO/IEC 15408-3:2008 IT安全评估准则 - 第3部分安全保障组件 5 ISO/IEC 19896-3:2018 信息安全测试和评价人员能力要求第2部分：ISO/IEC 15408评价人员的知识、技能和有效性要求人员认证 6 GB/T 22239-2019 信息安全技术 - 网络安全等级保护基本要求等保测评 7 GB/T 20281-2015 信息安全技术 - 防火墙安全技术要求和测试评价方法产品销售许可检测 10 CC认证（EAL1-7）公历2020年4月10日，农历庚子年三月十八  标准的用途之二：提供指南，通常作为用户参考 ISO/IEC导则Part2-标准结构和编写的原则与规则-2018第8版（参考资料1） - 3.3 Provisions ￮提供建议的、可能的选择或被认为适合的行动方针。￮但不一定提及或排除其它可选项。￮描述建议使用的动词形式为 should（宜）和should not （不宜）。 11 公历2020年4月10日，农历庚子年三月十八  用于指南或参考的常见网络安全标准序号标准编号标准名称指南或参考建设和实施ISMS指南 1 ISO/IEC 27003:2017 信息技术 - 安全技术 -信息安全管理体系指南 2 ISO/IEC 27005:2018 信息安全风险管理信息安全风险评估和风险管理参考 3 ISO/IEC 21827:2008 系统安全工程能力成熟模型 SSE-CMM，系统安全工程方法指南 4 ISO/IEC 21878:2018 虚拟化服务器设计和实现的安全指南虚拟服务器安全指南 5 GB/T 25058-2019 信息安全技术-网络安全等级保护实施指南等级保护实施指南 6 GB/T 37973-2019 信息安全技术-大数据安全管理指南大数据安全指南 7 GB/T 36626-2018 信息安全技术-信息系统安全运维管理指南安全运维指南 12 公历2020年4月10日，农历庚子年三月十八  标准的用途之三：阐述原理，通常提供相关知识 ISO/IEC导则Part2-标准结构和编写的原则与规则-2018第8版（参考资料1） - 3.3 Provisions ￮提供信息。￮通常包括概述、基础、术语、框架等。￮描述建议使用的动词形式为 may（可）和may not（不可），Can（能）和Can not （不能）。 13 公历2020年4月10日，农历庚子年三月十八  阐述原理、提供知识的常见网络安全标准序号标准编号标准名称原理和知识 1 ISO/IEC 27000:2018 信息技术 - 安全技术 - 信息安全管理 ISMS原理和词汇体系概述和词汇 2 ISO/IEC 15408-1:2008 IT安全评估准则 - 第4部分引言和一 IT安全评估原理和知识般模型 3 ISO/IEC 11770-1:2010 密钥管理第1部分：框架密钥管理原理和知识 4 ISO/IEC 29101-1:2018 隐私体系结构框架隐私保护原理和知识 5 GB/T 25066-2010 信息安全技术 - 信息安全产品类别与代码信息安全产品分类知识 6 GB/T 25069-2010 信息安全技术 - 术语网络安全术语 7 GB/T 37972-2019 信息安全技术 - 云计算服务运行监管框架云计算服务监管 14 公历2020年4月10日，农历庚子年三月十八  标准“黑话” 要求程度 indicates a possibility or a capability. can 能 indicates a permission may可 indicates a recommendation indicates a requirement should 宜 ISO/IEC导则Part2-标准结构和编写的原则与规则-2018第8版（参考资料1-2）- 7 15 shall 应术语语气公历2020年4月10日，农历庚子年三月十八  课堂练习 – 哪些标准可以帮到您？您正在开展的工作能帮助您的标准 ① 您是甲方信息安全经理，正计划开展年度信息安全风险评估工作。 a) ISO/IEC 27001:2013 ② 您是乙方厂商的网络安全产品经理，正计划把您的产品申请CC EAL3认证。 b) ISO/IEC 27003:2017 ③ 您是高级等保测评师，正在准备一份3级系统测评报告。 c) ISO/IEC 21827:2008 ④ 您是ISMS审核员，正在执行一阶段审核中的文件评审。 d) ISO/IEC 27005:2018 ⑤ 您是IT审计师，正在执行一个银行的信息科技风险审计项目。 e) GB/T 20281-2015 ⑥ 您是甲方IT运维负责人，正在建立单位自己的系统安全运维流程。 f) ISO/IEC 15408-2:2008 ⑦ 您是乙方网络安全高级咨询顾问，正在帮助客户建设ISMS，目标是通过认证。 g) GB/T 36626-2018 ⑧ 您是乙方厂商防火墙产品经理，正在申领安全产品销售许可证。 h) GB/T 22239-2019 ⑨ 您是甲方网络安全合规经理，正在制定 2020年度合规计划（无云计算服务）。 16 i) ISO/IEC 29101-1:2018 公历2020年4月10日，农历庚子年三月十八  小结一：标准的那些用途要求方法规范指南 ① 要求、规范词汇原理 – Requirement/Specification 应该怎么做 ② 指南、方法 – Guideline/Methodology 建议怎么做 ③ 词汇、原理 – Vocabulary/Fundamentals 提供术语和基础知识 17 公历2020年4月10日，农历庚子年三月十八  小结二：标准对人类社会的作用 “标准是人类文明进步的成果。从中国古代的‘车同轨、书同文’，到现代工业规模化生产，都是标准化的生动实践。伴随着经济全球化深入发展，标准化在便利经贸往来、支撑产业发展、促进科技进步、规范社会治理中的作用日益凸显。标准已成为世界‘通用语言’。世界需要标准协同发展，标准促进世界互联互通。” 18 公历2020年4月10日，农历庚子年三月十八课程内容壹、网络安全标准的用途贰、网络安全国际标准化基础叁、如何参与网络安全国际标准化工作肆、我国网络安全标准化工作伍、考试和颁发证书 19 公历2020年4月10日，农历庚子年三月十八贰、网络安全国际标准化基础  国际标准化组织