信息安全国家标准目录

(2017版)全国信息安全标准化技术委员会秘书处2018年2月2一、基础标准1、术语概念序号标准编号标准名称对应国际标准发布日期实施日期范围1.
GB/T25069-2010信息安全技术术语2010-09-022011-02-01本标准界定了与信息安全技术领域相关的概念的术语和定义,并明确了这些条目之间的关系.
本标准适用于信息安全技术概念的理解,其他信息安全技术标准的制定以及信息安全技术的国内外交流.
2、框架模型序号标准编号标准名称对应国际标准发布日期实施日期范围2.
GB/Z29830.
1-2013信息技术安全技术信息技术安全保障框架第1部分:综述和框架ISO/IECTR15443-1:20052013-11-122014-02-01本部分的意图是,以一种能使递增地获得交付件安全功能确信度的方式,按照一般生存周期模型,介绍交付件的安全保障方法、联系及其分类.
通过标识各种不同保障途径和保障阶段的框架,概述了一些所需要的基本概念和术语,以便理解并应用其中所涉及的保障方法.
3.
GB/Z29830.
2-2013信息技术安全技术信息技术安全保障框架第2部分:保障方法ISO/IECTR15443-2:20052013-11-122014-02-01本指导性技术文件的第2部分收集了一些保障方法,其中还包括一些对整体ICT安全具有作用但不是专对ICT安全的保障方法.
第2部分概括了这些方法的目标,描述了它们的特征以及引用文件和标准等.
34.
GB/Z29830.
3-2013信息技术安全技术信息技术安全保障框架第3部分:保障方法分析ISO/IECTR15443-3:20072013-11-122014-02-01本部分的意图是,为保障机构选择合适类型的ICT(信息通信技术)保障方法提供指导,并为特定环境铺设分析特定保障方法的框架.
本部分可使用户把特定保障需求和/或典型保障情况与一些可用的保障方法所提供的一般性表现特征相匹配.
本部分的指导适用于具有安全需求的ICT产品和ICT系统的开发、实现及运行.
5.
GB/T31502-2015信息安全技术电子支付系统安全保护框架2015-05-152016-01-01本标准在给出电子支付系统模型的基础上,为公共类电子支付系统的信息安全提供了一个公共框架,主要包括安全问题定义、安全目的、安全功能需求和安全保障需求.
本标准适用于安全构建、运行公共类电子支付系统.
6.
GB/T32927-2016信息安全技术移动智能终端安全架构2016-08-292017-03-01本标准提出了移动智能终端的安全架构,描述了移动智能终端的安全需求.
本标准适用于移动智能终端涉及的设计、开发、测试和评估.
4二、技术和机制标准1、密码算法和技术序号标准编号标准名称对应国际标准发布日期实施日期范围7.
GB/T17901.
1-1999信息技术安全技术密钥管理第1部分:框架ISO/IEC11770-1:19961999-11-112000-05-01本标准:1)确定密钥管理的目标;2)描述作为密钥管理机制基础的一般模型;3)定义对GB/T17901所有部分通用的密钥管理基本概念;4)定义密钥管理服务;5)确定密钥管理机制的特性;6)规定对密钥材料在其生存期内进行管理的需求;7)描述对密钥材料在其生存期内进行管理的框架.
本框架定义了与任何特定密码算法的使用无关的密钥管理一般模型,但是某些密钥分发机制可能与特定的算法特性(如非对称算法的特性)有关.
8.
GB/T17964-2008信息安全技术分组密码算法的工作模式ISO/IEC10116:19972008-6-262008-11-01本标准描述了分组密码算法的其中工作模式,以便规范分组密码的使用.
9.
GB/T18238.
1-2000信息技术安全技术散列函数第1部分:概述ISO/IEC10118-1:19942000-10-172001-08-01本部分规定了散列函数,它可用于提供鉴别、完整性和抗抵赖服务.
本部分包含GB/T18238各个部分所共用的定义、符号、缩略语和要求.
10.
GB/T18238.
2-2002信息技术安全技术散列函数第2部分:采用n位块密码的散列函数ISO/IEC10118-2:20002002-07-182002-12-01本部分规定了采用n位块密码算法的散列函数,这些函数适合于已实现这样一个算法的环境.
本部分规定了四种散列函数.
第一种提供了长度小于或者等于n的散列代码,其中n是采用算法的块长度.
第二种提供了长度小于或者等于2n的散列代码.
第三种提供了长度等于2n的散列代码.
第四种提供了长度等于3n的散列代码.
本部分规定的全部四种散列函数符合ISO/IEC10118-1中规定的通用模型.
511.
GB/T18238.
3-2002信息技术安全技术散列函数第3部分:专用散列函数ISO/IEC10118-3:20042002-07-182002-12-01本部分规定了专用散列函数,即专门设计的散列函数.
本标准的散列函数基于循环函数的迭代使用.
本标部分规定了三种不同的循环函数,从而产生了不同的专用散列函数.
第一种和第三种提供了长度达160位的散列码,第二提供了长度达128位的散列码.
12.
GB/T25056-2010信息安全技术证书认证系统密码及其相关安全技术规范2010-09-022011-02-01本标准规定了为公众服务的数字证书认证系统的设计、建设、检测、运行及管理规范.
本标准为实现数字证书认证系统的互联互通和交叉认证提供统一的依据,指导第三方证书认证机构的数字证书认证系统的建设和检测评估,规范数字证书认证系统中密码及相关安全技术的应用.
本标准适用于第三方证书认证机构的数字证书认证系统的设计、建设、检测、运行及管理.
非第三方证书认证机构的数字证书认证系统的设计、建设、检测、运行及管理,可参照本标准.

13.
GB/T29829-2013信息安全技术可信计算密码支撑平台功能与接口规范2013-11-122014-02-01本标准描述可信计算密码支撑平台功能原理与要求,并详细定义了可信计算密码支撑平台的密码算法、密钥管理、证书管理、密码协议、密码服务等应用接口规范.
本标准适用于可信计算密码支撑平台相关产品的研制、生产、测评与应用开发.
14.
GB/T31503-2015信息安全技术电子文档加密与签名消息语法2015-05-152016-01-01本标准规定了电子文档加密与签名消息语法,此语法可用于对任意消息内容进行数字签名、摘要、鉴别或加密.
本标准适用于电子商务和电子政务中电子文档加密与签名消息的产生、处理以及验证.
15.
GB/T32905-2016信息安全技术SM3密码杂凑算法2016-08-292017-03-01本标准规定了SM3密码杂凑算法的计算方法和计算步骤,并给出了运算示例.
本标准适用于商用密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求.
16.
GB/T32907-2016信息安全技术SM4分组密码算法2016-08-292107-03-01本标准规定了SM4分组密码算法的算法结构和算法描述,并给出了运算示例.
本标准适用于商用密码产品中分组密码算法的实现、检测和应用.
17.
GB/T32915-2016信息安全技术二元序列随机性检测方法2016-08-292017-03-01本标准规定了商用密码应用中的随机性检测指标和检测方法.
本标准适用于对随机数发生器产生的二元序列的随机性检测.
618.
GB/T32918.
1-2016信息安全技术SM2椭圆曲线公钥密码算法第1部分:总则2016-08-292107-03-01本部分给出了SM2椭圆曲线公钥密码算法涉及的必要数学基础知识与相关密码技术,以帮助实现其它各部分所规定的密码机制.
本部分适用于基域为素域和二元扩域的椭圆曲线公钥密码算法的设计、开发、使用.
19.
GB/T32918.
2-2016信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法2016-08-292107-03-01本部分规定了SM2椭圆曲线公钥密码算法的数字签名算法,包括数字签名生成算法和验证算法,并给出了数字签名与验证示例及其相应的流程.
本部分适用于商用密码应用中的数字签名和验证,可满足多种密码应用中的身份鉴别和数据完整性、真实性的安全需求.
20.
GB/T32918.
3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分:密钥交换协议2016-08-292107-03-01本部分规定了SM2椭圆曲线公钥密码算法的密钥交换协议,并给出了密钥交换与验证示例及其相应的流程.
本部分适用于商用密码应用中的密钥交换,可满足通信双方经过两次或可选三次信息传递过程,计算获取一个由双方共同决定的共享秘密密钥(会话密钥).
21.
GB/T32918.
4-2016信息安全技术SM2椭圆曲线公钥密码算法第4部分:公钥加密算法2016-08-292107-03-01本部分规定了SM2椭圆曲线公钥密码算法的公钥加密算法,并给出了消息加解密示例和相应的流程.
本部分适用于商用密码应用中的消息加解密,消息发送者可以利用接收者的公钥对消息进行加密,接收者用对应的私钥进行解密,获取消息.
22.
GB/T32918.
5-2017信息安全技术SM2椭圆曲线公钥密码算法第5部分:参数定义2017-05-122017-12-01本部分规定了SM2椭圆曲线公钥密码算法的曲线参数,并给出了数字签名与验证、密钥交换与验证、消息加解密示例.
23.
GB/T32922-2016信息安全技术IPSecVPN安全接入基本要求与实施指南2016-08-292017-03-01本标准明确了采用IPSecVPN技术实现安全接入的场景,提出了IPSecVPN安全接入应用过程中有关网关、客户端以及安全管理等方面的要求,同时给出了IPSecVPN安全接入的实施过程指导.
本标准适用于采用IPSecVPN技术开展安全接入应用的机构,指导其进行基于IPSecVPN技术开展安全接入平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管理,也适用于设备厂商参考其进行产品的设计和开发.
724.
GB/T33133.
1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述2016-10-132017-05-01本部分给出了祖冲之序列密码算法的一般结构,基于该结构可实现本标准其它各部分所规定的密码机制.
本部分适用于祖冲之序列密码算法相关产品的研制、检测和使用,可应用于涉及非国家秘密范畴的商业应用领域.
25.
GB/T33560-2017信息安全技术密码应用标识规范2017-05-122017-12-01本标准定义了密码应用中所使用的标识,用于规范算法标识、密钥标识、设备标识、数据标识、协议标识、角色标识等的表示和使用.
商用密码领域中的对象标识符(OID)的定义见附录A.
本标准适用于指导密码设备、密码系统的研制和使用过程中,对标识进行规范化的使用,也可用于指导其他相关标准或协议的编制中对标识的使用.
本标准仅适用于PKI体系.
26.
GB/T35275-2017信息安全技术SM2密码算法加密签名消息语法规范2017-12-292018-07-01本标准定义了使用SM2密码算法的加密签名消息语法.
本标准适用于使用SM2密码算法进行加密和签名操作时对操作结果的标准化封装.
27.
GB/T35276-2017信息安全技术SM2密码算法使用规范2017-12-292018-07-01本标准定义了SM2密码算法的使用方法,以及密钥、加密与签名等的数据格式.
本标准适用于SM2密码算法的使用,以及支持SM2密码算法的设备和系统的研发和检测.
2、授权序号标准编号标准名称对应国际标准发布日期实施日期范围28.
GB/T25062-2010信息安全技术鉴别与授权基于角色的访问控制模型与管理规范2010-09-022011-02-01本标准规定了基于角色的访问控制(RBAC)模型、RBAC系统和管理功能规范.
本标准适用于信息系统中RBAC子系统的设计与实现,相关系统的测试和产品采购亦可参照使用.
829.
GB/T29242-2012信息安全技术鉴别与授权安全断言标记语言2013-12-312014-07-15本标准给出了XACML策略语言的一种扩展,使其可以支持对地理信息访问权限约束的申明和执行.
本标准定义了访问规则中几何数据类型必须依赖的几何模型,不同几何数据类型的编码语言,几何体之间拓扑关系的测试函数,几何函数.
本标准适用于地理信息服务场景中,地理信息保护和访问控制的定义与实施.
30.
GB/T30280-2013信息安全技术鉴别与授权地理空间可扩展访问控制置标语言2012-12-312013-06-01本标准定义了一系列遵从XML编码格式的关于安全断言的语法、语义规范、系统实体间传递和处理SAML断言的协议集合和SAML系统管理相关的处理规则.
本标准适用于在互联网跨安全域应用场景中,身份鉴别,认证与授权服务的开发、测试、评估和采购.
31.
GB/T30281-2013信息安全技术鉴别与授权可扩展访问控制标记语言2013-12-312014-07-15本标准规定了可扩展访问控制标记语言(XACML)的数据流模型、语言模型和语法.
本标准适用于大规模分布式应用中资源统一访问控制策略语言的编写与分析.
32.
GB/T31501-2015信息安全技术鉴别与授权授权应用程序判定接口规范2015-05-152016-01-01本标准定义了访问控制服务为授权应用提供的授权判定编程应用接口,并定义了与判定接口相关的数据结构和C语言形式的接口.
本标准适用于访问控制服务中授权判定接口的设计和实现.
3、鉴别序号标准编号标准名称对应国际标准发布日期实施日期范围33.
GB/T15843.
1-2017信息技术安全技术实体鉴别第1部分:总则ISO/IEC9798-1:20102017-12-292018-07-01本标准详细指明了实体鉴别机制中的鉴别模型和一般性约束要求,并基于此验证实体身份真实性,待鉴别的实体通过展示某个私密信息来证明身份.
实体鉴别机制确定了如何进行实体间的信息交换,以及实体与可信第三方的信息交换.
实体鉴别机制的细节和鉴别交换的内容不属于本部分标准内容,在GB/T15843的其他部分中规定.
934.
GB/T15843.
2-2017信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制ISO/IEC9798-2:20082017-12-292018-07-01本部分规定了采用对称加密算法的实体鉴别机制.
其中有四种是两个实体间无可信第三方参与的鉴别机制,这四种机制中有两种是由一个实体针对另一个实体的单向鉴别,另两种是两个实体相互鉴别.
其余的机制都要求有一个可信第三方参与,以便建立公共的秘密密钥,实现相互或单向的实体鉴别.
本部分中规定的机制采用诸如时间戳、序号或随机数等时变参数,防止先前有效的鉴别信息以后又被接受或者被多次接受.
35.
GB/T15843.
3-2016信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制ISO/IEC9798-3:1998/AMD.
1:20102016-04-252016-11-01本部分规定了采用数字签名技术的实体鉴别机制.
有两种鉴别机制是单个实体的鉴别(单向鉴别),其余的是两个实体的相互鉴别机制.
本部分中规定的机制采用诸如时间戳、序号或随机数等时变参数,防止先前有效的鉴别信息以后又被接受或者被多次接受.
如果采用时间戳或序号,则单向鉴别只需一次传递,而相互鉴别则需两次传递.
如果采用使用随机数的激励-响应方法,单向鉴别需两次传递,相互鉴别则需三次或四次传递(依赖于所采用的机制).
36.
GB/T15843.
4-2008信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制ISO/IEC9798-4:19992008-06-092008-11-01本部分定义了采用密码校验函数的实体鉴别机制,分为单向鉴别和相互鉴别两种.
其中单向鉴别按照消息传递的次数,又分为一次传递鉴别和两次传递鉴别;相互鉴别根据消息传递的次数,分为两次传递鉴别和三次传递鉴别.
1037.
GB/T15843.
5-2005信息技术安全技术实体鉴别第5部分:使用零知识技术的机制ISO/IEC9798-5:19992005-04-192005-10-01GB/T15843本部分详细说明了三种使用零知识技术的实体鉴别机制.
第一种机制称为基于身份的机制.
可信的认可机构为每一个声称者提供私有认可信息,该私有认可信息是作为声称者的标识数据和认可机构的私有密钥的函数计算出来的.
第二种机制称为基于使用离散对数的基于证书的机制.
每一个声称者都拥有一对用于此机制的公开密钥和私有密钥对.
每一个声称者身份的验证者必须拥有该声称者公开验证密钥的可信拷贝;其获取的方法已经超出了本标准的范围,但是它可以通过由可信第三方签名的证书的分发来获得.
第三种机制称为基于使用非对称加密系统的基于证书的机制.
每一个声称者都拥有一对用于非对称加密系统的公开密钥和私有密钥对.
每一个声称者身份的验证者必须拥有该声称者公开验证密钥的可信拷贝;其获取的方法已经超出了本标准的范围,但是可以通过由可信第三方签名的证书的分发来获得.
38.
GB/T15852.
1-2008信息技术安全技术消息鉴别码第1部分:采用分组密码的机制ISO/IEC9797-1:19992008-07-022008-12-01本部分规定了一种使用密钥和n比特块密码算法计算m比特码校验值的方法.
本部分适用于任何安全体系结构、进程或应用的安全服务.
39.
GB/T15852.
2-2012信息技术安全技术消息鉴别码第2部分:采用专用杂凑函数的机制ISO/IEC9797-2:20022012-12-312013-06-01GB/T15852的本部分规定了三种采用专用杂凑函数的消息鉴别码算法.
这些消息鉴别码算法可用作数据完整性检验,检验数据是否被非授权地改变.
同样这些消息鉴别码算法也可用作消息鉴别,保证消息源的合法性.
数据完整性和消息鉴别的强度依赖于密钥的长度及其保密性、杂凑函数的算法强度及其输出长度、消息鉴别码的长度和具体的消息鉴别码算法.
本部分适用于任何安全体系结构、进程或应用的安全服务.
1140.
GB/T20979-2007信息安全技术虹膜识别系统技术要求2007-06-182007-11-01本标准规定了使用虹膜识别技术进行身份鉴别的虹膜识别系统的功能与性能要素,并依据GB17859-1999安全保护等级划分的思想,提出了虹膜识别系统对应的三个等级的技术要求.
本标准适用于按信息安全等级保护的要求所进行的虹膜识别系统的设计与实现,对虹膜识别系统的测试、管理也可参照使用.
41.
GB/T28455-2012信息安全技术引入可信第三方的实体鉴别及接入架构规范2012-06-292012-10-01本标准规定了引入可信第三方的实体鉴别及接入架构的一般方法.
包括:a)引入可信第三方的实体鉴别及接入架构的框架;b)引入可信第三方的实体鉴别及接入架构的基本原理;c)定义引入可信第三方的实体鉴别及接入架构的不同级别以及相应收发数据时的端口的行为;d)定义引入可信第三方的实体鉴别及接入架构的参与实体间的消息交互协议;e)定义使用消息交互协议完成引入可信第三方的实体鉴别及接入架构的过程;f)规定协议交互消息中的数据编码;g)建立引入可信第三方的实体鉴别及接入架构管理的需求,识别管理对象,定义管理操作;h)描述远程管理者利用简单网络管理协议(SNMP)所能进行的管理操作;i)描述符合本文件的设备应满足的需求,见附录A.
本标准适用于无线网络访问控制、有线网络访问控制和IP网络访问控制系统等.
42.
GB/T34953.
1-2017信息技术安全技术匿名实体鉴别第1部分:总则ISO/IEC20009-1:20132017-11-012018-05-01本部分规定了用于证实一个实体的合法性的匿名实体鉴别机制的模型、需求和约束条件.
4、验证与证明序号标准编号标准名称对应国际标准发布日期实施日期范围1243.
GB/T15851-1995信息技术安全技术带消息恢复的数字签名方案ISO/IEC9796:19911995-12-131996-08-01本标准规定了对有限长消息使用公开密钥体制的带消息恢复的数字签名方案.
这种数字签名方案包含下列两个进程:—签名进程,它使用秘密签名密钥和签名函数来对消息签名;—验证进程,它使用公开验证密钥和验证函数来验证签名,同时恢复出消息.
签名进程中,必要时,欲签名的消息需填充和扩展,然后加上与消息本身有关的人为的冗余,对消息中是否存在自然的冗余不作假定这人为的冗余将由验证进程揭示出来,把这人为的冗余去掉便恢复出消息.
本标准不规定密钥产生进程、签名函数和验证函数.
附录A(提示的附录)给出了一个公开密钥体制的例子,包含密钥产生、签名函数和验证函数.
附录B(提示的附录)通过例子来说明这些操作的各步.
这个方案中的若干参数与安全性有关:本标准不规定为要达到给定的安全性水平而对这些参数应取什么值.
然而以这祥一种方式规定,即在本标准使用中,如果这些参数中有的必须要改变时,使所作的改变最小.
44.
GB/T17902.
1-1999信息技术安全技术带附录的数字签名第1部分:概述ISO/IEC14888-1:19981999-11-012000-05-01本部分描述了带附录的数字签名的基本原则和要求以及该系列标准通用的定义和符号.
它适用于带附录的数字签名方案.
本标准适用于提供实体鉴别、数据原发鉴别、数据完整性和抗抵赖的方案.
本部分所规定的机制是基于非对称密码技术,所有非对称数字签名机制都涉及密钥对产生、密钥签名和验证密钥三个基本操作(进程).
标准给出了数字签名机制的一般模型,并对三个进程进行了详细规定,其中,密钥产生进程由产生域参数与产生签名密钥和验证密钥组成;对签名进程规定了数据项和验证过程,这些验证过程包括产生预签名、准备消息、计算证据、计算签名;对验证进程规定了数据项和验证过程,这些验证过程包括准备消息、检索证据、计算验证函数、验证证据;还规定了带两部分签名的随机化机制.
1345.
GB/T17902.
2-2005信息技术安全技术带附录的数字签名第2部分:基于身份的机制ISO/IEC14888-2:19992005-04-192005-10-01本部分规定了任意长度消息的带附录的基于身份的数字签名机制的签名和验证过程的总的结构和基本过程.
46.
GB/T17902.
3-2005信息技术安全技术带附录的数字签名第3部分:基于证书的机制ISO/IEC14888-3:19982005-04-192005-10-01本部分规定了带附录的基于证书的数字签名机制.
本部分提供了:1)基于证书的签名机制的一般描述,其安全性是基于所用交换群上的离散对数问题的困难性.
2)基于证书的签名机制的一般描述,其安全机制是基于因子分解的困难性.
3)使用任意长度消息的基于证书机制的带附录的各种常规数字签名机制.
47.
GB/T17903.
1-2008信息技术安全技术抗抵赖第1部分:概述ISO/IEC13888-1:20042008-06-262008-11-01本部分描述了基于密码技术提供证据的抗抵赖机制的一种模型,并且描述了如何使用对称或非对称密码技术生成密码校验值并以此形成证据.
48.
GB/T17903.
2-2008信息技术安全技术抗抵赖第2部分:使用对称技术的机制ISO/IEC13888-2:19982008-06-262008-11-01本部分描述了可用于抗抵赖服务的通用结构,以及能用来提供原发抗抵赖(NRO)、交付抗抵赖(NRD)、提交抗抵赖(NRS)和传输抗抵赖(NRT)等有关的特殊通信机制.
其他抗抵赖服务可用第8章所描述的通用结构组成,以满足安全策略的要求.
49.
GB/T17903.
3-2008信息技术安全技术抗抵赖第3部分:采用非对称技术的机制ISO/IEC13888-3:19982008-07-022008-12-01本部分规定了使用非对称技术提供与通信有关的特殊抗抵赖服务的机制.
抗抵赖机制可以提供以下四种抗抵赖服务:a)原发抗抵赖;b)交付抗抵赖;c)提交抗抵赖;d)传输抗抵赖.
抗抵赖机制涉及专用于每种抗抵赖服务的抗抵赖权标交换.
抗抵赖权标由数字签名和附加数据组成.
抗抵赖权标可做为抗抵赖信息予以存储,发生争议是由争议双方顺序使用.
1450.
GB/T19713-2005信息技术安全技术公钥基础设施在线证书状态协议IETFRFC25602005-04-192005-10-01本标准规定了一种无需请求证书撤销列表(CRL)即可查询数字证书状态的机制(即在线证书状态协议--OCSP).
该机制可代替CRL或作为周期性检查CRL的一种补充方式,以便及时获得证书撤销状态的有关信息.
本标准主要描述了以下内容:a)具体描述了在线证书状态协议的请求形式;b)具体描述了在线证书状态协议的响应形式;c)分析了处理在线证书状态协议响应时可能出现的各种异常情况;d)说明了在线证书状态协议基于超文本传输协议(HTTP)的应用方式;e)提供了采用抽象语法记法1(ASN.
1)描述的在线证书状态协议.
51.
GB/T19714-2005信息技术安全技术公钥基础设施证书管理协议IETFRFC25102005-04-092005-10-01本标准描述了公钥基础设施(PKI)中的证书管理协议,定义了与证书产生和管理相关的各方面所需要的协议消息,这些消息主要包括申请证书、撤销证书、密钥更新、密钥恢复、交叉认证等.
本标准主要适用于在安全或不安全环境中实施PKI组件并实施管理,可作为PKI运营机构、PKI组件开发者的参考指南.
52.
GB/T20518-2006信息安全技术公钥基础设施数字证书格式2006-08-302007-02-01本标准规定了中国数字证书的基本结构,并对数字证书中的各数据项内容进行了描述;规定了一些标准的证书扩展域,并对每个扩展域的结构进行了定义,特别是增加了一些专门面向国内应用的扩充项.
本标准详细规定了数字证书的各种格式,包括基本证书域的数据结构、TBSCertificate及其数据结构、各种证书扩展域及其数据结构;数字证书可支持的密码算法.
标准以附录的形式给出了各种证书的结构、证书的结构实例、数字证书编码举例,以及算法举例.
本标准适用于国内数字证书认证机构、数字证书认证系统的开发商以及基于数字证书的安全应用开发商.
本标准主要根据IETF(互联网工程任务组)RFC2459文件,并结合我国情况制定的.
1553.
GB/T20520-2006信息安全技术公钥基础设施时间戳规范2006-08-302007-02-01本标准规定了时间戳系统部件的组成、时间戳的管理、时间戳的格式和时间戳系统安全管理等方面的要求.
本标准还详细规定了时间戳的产生和颁发,包括时间戳申请和颁发的方式和过程、产生方法;时间戳管理包括时间戳的保存、备份、检索、删除和销毁、查看和验证;时间戳的格式包括对时间戳机构的要求、密钥标识、时间的表示格式、申请和响应消息格式等;时间戳系统的安全包括物理安全和软件安全.
本标准适用于时间戳系统的设计和实现,时间戳系统的测试和采购亦可参考使用.
54.
GB/T21053-2007信息安全技术公钥基础设施PKI系统安全等级保护技术要求2007-08-232008-01-01本标准参照GB17859-1999《计算机信息系统安全保护等级划分准则》的五个安全保护等级的划分,对PKI系统安全保护进行等级划分,规定了不同等级PKI系统所需要满足的评估内容.
本标准详细规定了PKI系统第一、二、三、四、五级的安全保护技术要求,包括上述各级的物理安全、角色与责任、访问控制、标识与鉴别、数据输入输出、密钥管理、轮廓管理、证书管理、配置管理、分发和操作、开发、指导性文档、生命周期支持、测试,以及审计、备份与恢复、脆弱性评定.
标准以附录的形式给出了PKI系统安全要素各个要求级别的划分.
本标准适用于PKI的安全保护等级的评估,对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用.
1655.
GB/T21054-2007信息安全技术公钥基础设施PKI系统安全等级保护评估准则2007-08-232008-01-01本标准依据GB/T21054-2007《信息安全技术公钥基础设施PKI系统安全等级保护评估准则》的五个安全保护等级的划分,规定了不同等级PKI系统所需要安全技术要求.
本标准详细规定了PKI系统第一、二、三、四、五级的安全评阅内容,包括上述各级的物理安全、角色与责任、访问控制、标识与鉴别、数据输入输出、密钥管理、轮廓管理、证书管理,以及审计、备份与恢复.
标准以附录的形式给出了PKI系统安全要素各个要求级别的划分.
本标准适用于PKI系统的设计和实现,对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用.
56.
GB/T25061-2010信息安全技术公钥基础设施XML数字签名语法与处理规范2010-09-022011-02-01本标准规定了创建和表示XML数字签名的语法和处理规则.
XML数字签名为任何类型的数据提供了完整性、消息鉴别和签名者鉴别服务.
本标准适用于制作和处理XML数字签名的应用程序、系统或服务.
57.
GB/T25064-2010信息安全技术公钥基础设施电子签名格式规范2010-09-022011-02-01本标准针对基于公钥密码学生成的数字签名类型的电子签名,定义了电子签名与验证的主要参与方、电子签名的类型、验证和仲裁要求.
本标准还规范了电子签名和数据格式,包括基本数据格式、验证数据格式、签名策略格式等.
本标准适用于电子签名产品的设计和实现,同时相关产品的测试、评估和采购亦可参照使用.
58.
GB/T25065-2010信息安全技术公钥基础设施签名生成应用程序的安全要求2010-09-022011-02-01本标准规定了产生可靠电子签名的签名生成应用程序(SAC)的安全要求,内容包括:定义一种签名生成环境的模型和签名生成应用程序的功能模型;规定适用于功能模型中所有功能模块的总体要求;规定签名生成应用程序中每个功能模块的安全要求,除了SSCD.
1759.
GB/T26855-2011信息安全技术公钥基础设施证书策略与认证业务声明框架2011-07-292011-11-01本标准定义了证书策略(CP)和认证业务声明(CPS)的概念,解释二者之间的区别,并规定了CP和CPS应共同遵守的文档标题框架,包括在标题中所应包含的信息类型.
本标准提出的框架一般假设使用GB/T16264.
8-2005证书格式,但并不意味着此框架仅限于使用这种证书格式,也可用于其他格式的证书.
本标准适用于CP和CPS的撰写和比较.
本标准所给出的框架应作为一个灵活的工具来使用,用以指明在特定的CP或CPS中所应考虑的主题,而不是作为生成CP或CPS的固定公式.
本标准不适用于通用安全策略的定义,如组织安全策略、系统安全策略或数据标记策略.
60.
GB/T29243-2012信息安全技术数字证书代理认证路径构造和代理验证规范2012-12-312013-06-01本标准规定了数字证书代理认证路径构造和代理验证两种服务的概念和协议要求,以及满足协议要求的代理服务协议.
本标准适用于PKI系统运营机构的代理认证路径构造和代理验证服务的实现和应用.
61.
GB/T29767-2013信息安全技术公钥基础设施桥CA体系证书分级规范2013-04-282014-05-01本标准规定了桥CA体系证书安全等级划分.
本标准适用于桥CA体系证书策略的设计与实现.
桥CA系统的研制、开放、测试和产品采购也可参照使用.
62.
GB/T30272-2013信息安全技术公钥基础设施标准一致性测试评价指南2013-12-312014-07-15本标准规定了公钥基础设施相关组件的测试评价指南,涉及CA、RA、终端实体、证书资料库、时间戳子系统、特定权限管理子系统、在线证书状态查询子系统.
本标准适用于按照国家标准:GB/T19713-2005、GB/T19714-2005、GB/T19771-2005、GB/T20518-2006、GB/T20519-2006和GB/T20520-2006,进行研制开发的产品类公钥基础设施相关组件的测试和评价.
63.
GB/T30275-2013信息安全技术鉴别与授权认证中间件框架与接口规范2013-12-312014-07-15本标准规范了认证中间件体系框架、组件、功能及通用接口,并给出了认证中间件的工作流程.
本标准适用于认证中间件及其组件的开发,并可指导对该类系统的检测及相关应用的开发.
1864.
GB/T31508-2015信息安全技术公钥基础设施数字证书策略分类分级规范2015-05-152016-01-01本标准通过分类分级的方式,规范了用于商业交易、设备和公众服务领域的电子认证服务中的8种数字证书策略.
本标准适用于我国电子商务和公众服务中所涉及的数字证书.
65.
GB/T32213-2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范2015-12-102016-08-01本标准定义了基于非对称密码技术实现远程口令鉴别与密钥建立的数学定义和协议构造.
本标准适用于采用基于口令鉴别与密钥建立技术的鉴别系统的设计和开发.
66.
GB/T35285-2017信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求2017-12-292018-07-01本标准规定了基于数字证书的可靠电子签名生成及验证过程的技术要求,包括电子认证服务提供者、电子签名人身份、电子签名相关数据、签名生成模块、电子签名生成过程与应用程序、电子签名验证过程与应用程序等要求.
本标准适用于基于数字证书的可靠电子签名相关系统、应用的开发,以及相关产品、服务标准的制定.
67.
GB/Z19717-2005基于多用途互联网邮件扩展(MIME)的安全报文交换RF26302005-04-192005-10-01本指导性技术文件阐述了安全发送和接收基于多用途互联网邮件扩展(MIME)数据的基本方法.
该方法基于广泛使用的多用途互联网邮件扩展协议(MIME),向各种Internet报文应用提供鉴别、报文的完整性、抗抵赖性、机密性等多种安全服务.
传统的邮件用户代理使用该方法可以向所发送的报文增加各种加密服务,并能有效处理所收报文中的加密服务.
本指导性技术文件还描述了S/MIME的增强安全服务.
本指导性技术文件不限于电子邮件,它还可以用于任何传输MIME数据的传输机制(如超文本传输协议,HTTP).
该规范利用了MIME面向对象的特点,使得在各种传输系统中能够交换安全报文.
5、标识序号标准编号标准名称对应国际标准发布日期实施日期范围1968.
GB/T35287-2017网站可信标识技术指南网站可信标识技术指南2017-12-292018-07-01本标准规定了用于识别网站真实信息的可信标识体系框架,并对可信标识对象、可信标识对象管理、可信标识对象获取与验证、数据格式与接口等内容进行了规范.
本标准适用于可信标识的管理系统、可信标识验证工具等系统的开发、实现和测评.
6、集成应用与身份管理序号标准编号标准名称对应国际标准发布日期实施日期范围69.
GB/T19771-2005信息技术安全技术公钥基础设施PKI组件最小互操作规范2005-05-252005-12-01本标准支持大规模公钥基础设施(PKI负责发布、撤销和管理用于数字签名及密钥管理的公钥证书)的互操作性.
本标准为不同的PKI开发者所开发的组件产品提供了基本的互操作性参考.
70.
GB/T29241-2012信息安全技术公钥基础设施PKI互操作性评估准则2012-12-312013-06-01本标准综合了影响PKI互操作性的各种因素,完成了分等级的PKI互操作性评估准则,定义了PKI系统和PKI应用的五个互操作能力等级.
本标准同时为PKI系统和PKI应用提供了互操作能力等级评估的依据,适用于需要进行跨域互操作的PKI系统和PKI应用,可用于PKI系统和PKI应用的设计、开发、制造、采购、测试、评估、使用等过程.
71.
GB/T31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范2015-05-152016-01-01本标准定义了数字身份信息服务参考模型、XMLSchema的框架、命名空间、扩展方式以及通用的数字身份信息对象属性类型,还定义了通用的数字身份信息创建、查询、修改和删除的交换信息格式以及处理规则.
本标准适用于数字身份信息服务的开发,并可指导对该类系统的检测及相关应用的开发.
207、可信计算序号标准编号标准名称对应国际标准发布日期实施日期范围72.
GB/T29827-2013信息安全技术可信计算规范可信平台主板功能接口2013-11-122014-02-01本标准规定了可信平台主板的组成结构、信任链构建流程、功能接口.
本标准适用于基于可信平台控制模块的可信平台主板的设计、生产和使用.
73.
GB/T29828-2013信息安全技术可信计算规范可信连接架构2013-11-122014-02-01本标准规定了可信平台主板的组成结构、信任链构建流程、功能接口.
本标准适用于基于可信平台控制模块的可信平台主板的设计、生产和使用.
21三、安全管理标准1、通用管理序号标准编号标准名称对应国际标准发布日期实施日期范围74.
GB/T20269-2006信息安全技术信息系统安全管理要求2006-05-312006-12-01本标准依据GB17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的各个安全等级的管理要求.
75.
GB/T20282-2006信息安全技术信息系统安全工程管理要求2006-05-312006-12-01本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系.
本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求.
本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用.
76.
GB/T22080-2016信息技术安全技术信息安全管理体系要求ISO/IEC27001:20132016-08-292017-03-01本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求.
本标准还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求.
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织.
当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求.
77.
GB/T22081-2016信息技术安全技术信息安全控制实践指南ISO/IEC27002:20132016-08-292017-03-01本标准为组织的信息安全标准和信息安全管理实践提供了指南,包括考虑了组织信息安全风险环境的控制的选择、实现和管理.
本标准被设计用于组织:选择控制,即基于GB/T22080[10],在实现一个信息安全管理体系的过程中选择控制;实现通用的、可接受的信息安全控制;制定组织自己的信息安全管理指南.
2278.
GB/T25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求ISO/IEC27006:20112016-10-132017-05-01本文件对实施信息安全管理体系(以下简称"ISMS")审核和认证的机构规定了要求并提供了指南,以作为对ISO/IEC17021-1:2015和ISO/IEC27001:2013要求的补充.
本文件的主要目的是为ISMS认证机构的认可提供支持.
任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本文件中的要求.
本文件中的指南提供了对这些要求的进一步说明.
79.
GB/T28450-2012信息安全技术信息安全管理体系审核指南2012-06-292012-10-01本标准在GB/T19011-2003的基础上为信息安全管理体系(简称ISMS)的审核原则、审核方案管理和审核实施提供了指导,并对审核员的能力及其评价提供了指导.
本标准适用于需要实施ISMS内部审核、外部审核或对审核进行管理的所有组织.
80.
GB/T28453-2012信息安全技术信息系统安全管理评估要求2012-06-292012-10-01本标准依据GB/T20269-2006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式、组织和活动、方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求.
本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理.
81.
GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇ISO/IEC27000:20162017-12-292018-07-01本标准概述了信息安全管理体系(ISMS),提供了ISMS标准族中常用的术语及其定义.
本标准适用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织).
82.
GB/T31495.
1-2015信息安全技术信息安全保障指标体系及评价方法第1部分:概念和模型2015-05-152016-01-01GB/T31495的本部分界定了信息安全保障评价的基本概念,确立了信息安全保障评价的一般模型.
本部分适用于信息安全保障评价工作.
83.
GB/T31495.
2-2015信息安全技术信息安全保障指标体系及评价方法第2部分:指标体系2015-05-152016-01-01GB/T31495的本部分规定了用于开展信息安全保障评价的指标及其释义.
本部分适用于信息安全保障评价工作.
2384.
GB/T31495.
3-2015信息安全技术信息安全保障指标体系及评价方法第3部分:实施指南2015-05-152016-01-01GB/T31495的本部分规定了信息安全保障评价活动的实施指南.
本部分适用于信息安全保障评价工作.
85.
GB/T31496-2015信息技术安全技术信息安全管理体系实施指南ISO/IEC27003:20102015-05-152016-01-01本标准依据GB/T22080-2008,关注设计和实施一个成功的信息安全管理体系(ISMS)所需要的关键方面.
本标准描述了ISMS规范及其设计的过程,从开始到产生实施计划.
本标准为实施ISMS描述了获得管理者批准的过程,为实施ISMS定义了一个项目(本标准称作ISMS项目),并就如何规划该ISMS项目提供了相应的指导,产生最终的ISMS项目实施计划.
本标准可供实施一个ISMS的组织使用,适用于各种规模和类型的组织(例如,商业企业、政府机构、非赢利组织).
每个组织的复杂性和风险都是独特的,并且其特定的要求将驱动ISMS的实施.
小型组织将发现,本标准中所提及的活动可适用于他们,并可进行简化.
大型组织或复杂的组织可能会发现,为了有效地管理本标准中的活动,需要层次化的组织架构或管理体系.
然而,无论是大型组织还是小型组织,都可应用本标准来规划相关的活动.
本标准提出了一些建议及其说明,但并没有规定任何要求.
期望把本标准与GB/T22080-2008和GB/T22081-2008一起使用,但不期望修改和/或降低GB/T22080-2008中所规定的要求,或修改和/或降低GB/T22081-2008所提供的建议.
因此,不宜声称符合这一标准.
86.
GB/T31497-2015信息技术安全技术信息安全管理测量ISO/IEC27004:20092015-05-152016-01-01为了评估按照GB/T22080-2008规定实施的信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)和控制措施或控制措施组的有效性,本标准提供了如何编制测度和测量以及如何使用的指南.
本标准适用于各种类型和规模的组织.
2487.
GB/T31722-2015信息技术安全技术信息安全风险管理ISO/IEC27005:20082015-06-022016-02-01本标准为信息安全风险管理提供指南.
本标准支持GB/T22080所规约的一般概念,旨在为基于风险管理方法来符合要求地实现信息安全提供帮助.
知晓GB/T22080和GB/T22081中所描述的概念、模型、过程和术语,对于完整地理解本标准是重要的.
本标准适用于各种类型的组织(例如,商务企业、政府机构、非盈利性组织),这些组织期望管理可能危及其信息安全的风险.
88.
GB/T32920-2016信息技术安全技术行业间和组织间通信的信息安全管理ISO/IEC27010:20122016-08-292017-03-01本标准给出了信息安全管理体系(ISMS)标准族的补充指南,用于在信息共享团体中实现信息安全管理.
本标准特别为组织间和行业间通信给出了有关发起、实现、维护与改进信息安全的控制和指南.
本标准适用于行业间各种公共和私有的、国内的和国际的所有形式的敏感信息交换与共享.
特别是,本标准可适用于与组织或国家关键基础设施的供给、维护和保护相关的信息交换与共享.
89.
GB/T32923-2016信息技术安全技术信息安全治理ISO/IEC27014:20132016-08-292017-03-01本标准就信息安全治理的概念和原则提供指南,通过本标准,组织可以对其范围内的信息安全相关活动进行评价、指导、监视和沟通.
本标准适用于所有类型和规模的组织.
90.
GB/Z32916-2016信息技术安全技术信息安全控制措施审核员指南ISO/IECTR27008:20112016-08-292017-03-01本指导性技术文件为评审控制措施的实现和运行提供指南,包括对信息系统控制措施的技术符合性检查,以符合组织所建立的信息安全标准.
本指导性技术文件适用于所有类型和规模的组织,包括公有和私营公司、政府机构、非营利组织开展信息安全评审和技术符合性检查.
本指导性技术文件不适用于管理体系审核.
252、行政监管序号标准编号标准名称对应国际标准发布日期实施日期范围91.
GB/T29245-2012信息安全技术政府部门信息安全管理基本要求2012-12-312013-06-01本标准规定了政府部门信息安全管理基本要求,用于指导各级政府部门的信息安全管理工作.
本标准中涉及保密工作的,按照保密法规和标准执行;涉及密码工作的,按照国家密码管理规定执行.
本标准适用于各级政府部门,其他单位可以参考使用.
92.
GB/T32921-2016信息安全技术信息技术产品供应方行为安全准则2016-08-292017-03-01本标准规定了信息技术产品供应方在提供信息技术产品过程中,为保护用户相关信息、维护用户信息安全应遵守的基本准则.
本标准适用于信息技术产品供应、运行或维护过程中的供应方行为管理,也可为信息技术产品的研发、运维及测评等提供依据.
93.
GB/T35280-2017信息安全技术信息技术产品安全检测机构条件和行为准则2017-12-292018-07-01本标准规定了信息技术产品安全检测机构应具备的条件以及应遵守的行为准则.
本标准适用于从事信息技术产品安全性检测的第三方机构,可为相关主管部门、信息技术产品供应方和用户选择第三方检测机构提供参考.
94.
GB/T32926-2016信息安全技术政府部门信息技术服务外包信息安全管理规范2016-08-292017-03-01本标准建立了政府部门信息技术服务外包信息安全管理模型,提出了政府部门信息技术服务外包信息安全管理生命周期各阶段活动的管理要求.
本标准适用于政府部门采购和使用信息技术服务.
政府部门开展涉密信息技术服务外包工作,应参照国家保密局相关保密规定和标准执行,不在本标准范围内.
2695.
GB/Z24294-2009信息安全技术基于互联网电子政务信息安全实施指南2009-07-302010-02-01本指导性技术文件确立了基于互联网电子政务信息安全保障总体架构,为基于互联网电子政务所涉及的信息安全技术、信息安全管理、信息安全工程建设等方面安全要求的实施提供指导.
本指导性技术文件主要对统一的安全政务网络平台、安全政务办公平台、可信公共服务平台和安全支撑平台的建设提出规范与要求.
对于相关政务部门专有的业务系统,其安全防护根据明确责任、各负其责的原则,由主管部门采取适当的安全措施,本指导性技术文件适用于地市级(含以下)政府单位,基于互联网开展不涉及国家秘密的电子政务信息安全建设,为管理人员、工程技术人员、信息安全产品提供者进行信息安全建设提供管理和技术参考.
96.
GB/Z24294.
2-2017信息安全技术基于互联网电子政务信息安全实施指南第2部分:接入控制与安全交换2017-05-312017-12-01GB/Z24294的本部分明确了互联网电子政务分域控制的两个阶段,在接入控制阶段,对接入控制结构、接入安全设备功能、接入认证、接入控制规则、接入控制管理等方面给出指南性建议要求;在安全交换阶段,对安全交换模式、定制数据安全交换要求、数据流安全交换要求给出指南性建议要求.
本部分适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构,基于互联网开展不涉及国家秘密的电子政务安全接入控制策略设计、工程实施与系统研发,为管理人员、工程技术人员、信息安全产品提供者进行信息安全规划与建设提供管理和技术参考.
涉及国家秘密,或所存储、处理、传输信息汇聚后可能涉及国家秘密的,按照国家保密规定和标准执行.
97.
GB/Z24294.
3-2017信息安全技术基于互联网电子政务信息安全实施指南第3部分:身份认证与授权管理2017-05-312017-12-01本部分根据信任体系构建策略要求,明确相关的身份认证及授权管理功能要求,定义身份认证与授权管理技术规范.
本部分适用于互联网电子政务系统中身份认证与授权管理系统的设计、研发与建设.
2798.
GB/Z24294.
4-2017信息安全技术基于互联网电子政务信息安全实施指南第4部分:终端安全防护2017-05-122017-12-01GB/Z24292的本部分按照终端安全防护策略,明确了基于互联网电子政务终端的安全防护技术要求.
本部分适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构,基于互联网开展不涉及国家秘密的电子政务信息安全建设,为管理人员、工程技术人员、信息安全产品提供者进行信息安全建设提供管理和技术参考.
涉及国家秘密,或所存储、处理、传输信息汇聚后可能涉及国家秘密的,按照国家保密规定和标准执行.
99.
GB/T32925-2016信息安全技术政府联网计算机终端安全管理基本要求2016-08-292017-03-01本标准规定了政府部门联网计算机终端的安全要求.
本标准适用于政府部门开展联网计算机终端安全配置、使用、维护与管理工作.
100.
GB/T31506-2015信息安全技术政府门户网站系统安全技术指南2015-05-152016-01-01本标准给出了政府门户网站系统安全技术控制措施.
本标准适用于指导政府部门开展门户网站系统安全技术防范工作,也可作为对政府门户网站系统实施安全检查的依据.
101.
GB/T30278-2013信息安全技术政务计算机终端核心配置规范2013-12-312014-07-15本标准提出了政务计算机终端核心配置的基本概念和要求,规定了核心配置的自动化实现方法,规范了核心配置实施流程.
本标准适用于政务部门开展计算机终端的核心配置工作.
涉密政务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行.
28102.
GB/T35282-2017信息安全技术电子政务移动办公系统安全技术规范2017-12-292018-07-01本标准基于电子政务移动办公系统的基本结构和主要安全风险,提出了电子政务移动办公系统的整体安全框架,规定了移动终端安全、信道安全、移动接入安全和服务端安全应满足的技术要求,其中,增强要求适用于安全等级较高的移动办公系统,如安全保护等级第三级或以上信息系统.
本标准适用于非涉密电子政务移动办公系统的安全设计、产品研发、工程实施和运行管理,也可作为对非涉密电子政务移动办公系统进行安全测评的依据.
非涉密电子政务系统自身的安全防护按照信息安全等级保护相关规定和标准执行.
涉及密码技术的产品,应按照国家密码管理局相关规定和标准执行.
涉密电子政务系统的移动办公应按照国家保密局相关规定和标准执行.
3、服务和人员序号标准编号标准名称对应国际标准发布日期实施日期范围103.
GB/T28447-2012信息安全技术电子认证服务机构运营管理规范2012-06-292012-10-01本标准规定了电子认证服务机构在业务运营、认证系统运行、物理环境与设施安全、组织与人员管理、文档、记录、与介质管理、业务连续性、审计与改进等多方面应遵循的要求.
本标准适用于在开放互联环境中提供数字证书服务的电子认证服务机构的建设、管理及评估.
对于在封闭环境中(如在特定团体或某个行业内)运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性的参考本标准.
国家有关的测评机构、监管部门也可以将本标准作为测评和监管的依据.
104.
GB/T30271-2013信息安全技术信息安全服务能力评估准则2013-12-312014-07-15本标准定义了服务过程模型和信息安全服务商的服务能力的评估准则.
本标准既可用于对信息安全服务提供商的能力进行评估,也可为服务提供商对于自身能力的改善提供指导.
29105.
GB/T30283-2013信息安全技术信息安全服务分类2013-12-312014-07-15本标准规定了信息安全服务定义、信息安全服务基本类别.
本标准适用于信息安全行业对信息安全服务概念的理解和分类管理,适用于信息安全服务的开发、提供、选用和采购.
本标准不适用于仅依附于某一信息安全产品的服务(如:信息安全产品的使用、维保等服务).
106.
GB/T31500-2015信息安全技术存储介质数据恢复服务要求2015-05-152016-01-01本标准规定了实施存储介质数据恢复服务所需的服务原则、服务条件、服务过程要求及管理要求.
本标准适用于指导提供存储介质数据恢复服务机构针对非涉及国家秘密的数据恢复服务实施和管理.
107.
GB/T32914-2016信息安全技术信息安全服务提供方管理要求2016-08-292017-03-01本标准针对信息安全服务提供方,提出了组织级管理和项目级管理的要求.
本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控,对信息安全服务需求方、评价机构和监管部门具有参考意义.
108.
GB/T35288-2017信息安全技术电子认证服务机构从业人员岗位技能规范2017-12-292018-07-01本标准规定了电子认证服务机构的岗位划分及从业人员岗位技能要求.
本标准适用于提供电子认证服务的机构.
109.
GB/T35289-2017信息安全技术电子认证服务机构服务质量规范2017-12-292018-07-01本标准规定了电子认证服务机构业务服务质量要求、保障服务质量要求及服务质量分级,明确了电子认证服务机构服务质量的具体指标要求.
本标准适用于提供电子认证服务的机构.
304、个人信息保护序号标准编号标准名称对应国际标准发布日期实施日期范围110.
GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南2012-11-052013-02-01本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导.
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作.
111.
GB/T35273-2017信息安全技术个人信息安全规范2017-12-292018-05-01本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求.
本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估.
31四、安全测评标准1、关键设备测评序号标准编号标准名称对应国际标准发布日期实施日期范围112.
GB/T18018-2007信息安全技术路由器安全技术要求2007-06-132007-12-01本标准分等级规定了路由器的安全功能要求和安全保证要求,适用于指导路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照使用.
113.
GB/T20011-2005信息安全技术路由器安全评估准则2005-11-112006-05-01本标准从信息技术方面规定了按照GB17859-1999的五个安全保护等级的前三个等级,对路由器产品安全保护等级划分所需要的评估内容.
本标准适用于路由器安全保护等级的评估,对路由器的研制、开发、测试和产品采购也可参照使用.
114.
GB/T21028-2007信息安全技术服务器安全技术要求2007-06-292007-12-01本标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了服务器所需要的安全技术要求,以及每一个安全保护等级的不同安全技术要求.
本标准详细规定了服务器的安全功能要求和安全分等级要求.
其中,服务器安全功能要求包括设备安全、运行安全和数据安全;服务器安全分等级要求包括五个安全保护等级各自涵盖的安全功能要求和安全保证(含服务器安全子系统的自身安全保护、设计和实现、管理)要求.
标准还以附录的形式给出了服务器安全方面有关概念的说明.
本标准适用于按GB17859-1999的五个安全保护等级要求所进行的等级化服务器的设计、实现、选购和使用.
按五个等级对服务器安全进行的测试和管理也可参照使用.
32115.
GB/T21050-2007信息安全技术网络交换机安全技术要求(评估保证级3)2007-08-242008-01-01本标准规定了网络交换机EAL3级的安全技术要求,主要包括网络交换机的安全假设、威胁和组织策略安全环境,以及网络交换机EAL3级的安全目的、安全功能和安全保证要求.
本标准适用于网络交换机的研制、开发、测试、评估和采购.
本标准主要适用于信息系统安全工程师、产品生产商、安全产品评估者.
116.
GB/T25063-2010信息安全技术服务器安全测评要求2010-09-022011-02-01本标准规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求.
本标准没有规定第五级服务器安全测评的具体内容要求.
本标准适用于评测机构从信息安全等级保护角度对服务器安全进行的测评工作.
信息系统的主管部门及运营使用单位、服务器软硬件生产厂商也可参考使用.
332、产品测评序号标准编号标准名称对应国际标准发布日期实施日期范围117.
GB/T18336.
1-2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型ISO/IEC15408-1:20082015-05-152016-01-01GB/T18336的本部分建立了IT安全评估的一般概念和原则,详细描述了GB/T18336各部分给出的一般评估模型,该模型整体上可作为评估IT产品安全属性的基础.
本部分给出了GB/T18336的总体概述.
它描述了GB/T18336的各部分内容;定义了在GB/T18336各部分将使用的术语及缩略语;建立了关于评估对象(TOE)的核心概念;论述了评估背景;并描述了评估准则针对的读者对象.
此外,还介绍了IT产品评估所需的基本安全概念.
本部分定义了裁剪ISO/IEC15408-2和ISO/IEC15408-3描述的功能和保障组件时可用的各种操作.
本部分还详细说明了保护轮廓(PP)、安全要求包和符合性这些关键概念,并描述了评估产生的结果和评估结论.
GB/T18336的本部分给出了规范安全目标(ST)的指导方针并描述了贯穿整个模型的组件组织方法.
关于评估方法的一般信息以及评估体制的范围将在IT安全评估方法论中给出.
118.
GB/T18336.
2-2015信息技术安全技术信息技术安全评估准则第2部分:安全功能组件ISO/IEC15408-2:20082015-05-152016-01-01为了安全评估的意图,GB/T18336的本部分定义了安全功能组件所需要的结构和内容.
本部分包含一个安全组件的分类目录,将满足许多IT产品的通用安全功能要求.
119.
GB/T18336.
3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件ISO/IEC15408-3:20082015-05-152016-01-01GB/T18336的本部分定义了保障要求,包括:评估保障级(EAL)——为度量部件TOE的保障定义了一种尺度;组合保障包(CAP)——为度量组合TOE的保障提供了一种尺度;组成保障级和保障包的单个保障组件;PP和ST的评估准则.
34120.
GB/T20008-2005信息安全技术操作系统安全评估准则2005-11-112006-05-01本标准从信息技术方面规定了按照GB/T17859-1999的五个安全保护等级对操作系统安全保护等级划分所需要的评估内容.
本标准适用于计算机通用操作系统的安全保护等级评估,对于通用操作系统安全功能的研制、开发和测试亦可参照使用.
121.
GB/T20009-2005信息安全技术数据库管理系统安全评估准则2005-11-112006-05-01本标准从信息技术方面规定了按照GB/T17859-1999的五个安全保护等级对数据库管理系统安全保护等级划分所需要的评估内容.
本标准适用于数据库管理系统的安全保护等级评估,对于数据库管理系统安全功能的研制、开发和测试亦可参照使用.
122.
GB/T20010-2005信息安全技术包过滤防火墙评估准则2005-11-112006-05-01本标准从信息技术方面规定了按照GB17859-1999的五个安全保护等级对采用"传输控制协议/网间协议(TCP/IP)"的包过滤防火墙产品安全保护等级划分所需要的评估内容.
本标准适用于包过滤防火墙安全保护等级的评估,对于包过滤防火墙的研制、开发、测试和产品采购也可参照使用.
123.
GB/T20272-2006信息安全技术操作系统安全技术要求2006-05-312006-12-01本标准依据GB17859-1999的五个安全保护等级的划分,根据操作系统在信息系统中的作用,规定了各个安全等级的操作系统所需要的安全技术要求.
本标准适用于按等级化要求进行的操作系统安全的设计和实现,对按等级化要求进行的操作系统安全的测试和管理可参照使用.
124.
GB/T20273-2006信息安全技术数据库管理系统安全技术要求2006-05-312006-12-01本标准依据GB17859-1999的五个安全保护等级的划分,根据数据库管理系统在信息系统中的作用,规定了各个安全等级的数据库管理系统所需要的安全技术要求.
本标准使用于按等级化要求进行的安全数据库管理系统的设计和实现,对按等级化要求进行的数据库管理系统安全的测试和管理可参照使用.
125.
GB/T20275-2013信息安全技术网络入侵检测系统技术要求和测试评价方法2013-12-312014-07-15本标准规定了网络入侵检测系统的技术要求和测试评价方法,要求包括安全功能要求、自身安全功能要求、安全保证要求和测试评价方法,并提出了网络入侵检测系统的分级要求.
本标准适用于网络入侵检测系统的设计、开发、测试和评价.
35126.
GB/T20276-2016信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求2016-08-292017-03-01本标准规定了对EAL4增强级和EAL5增强级的具有中央处理器的IC卡嵌入式软件进行安全保护所需要的安全技术要求.
本标准适用于具有中央处理器的IC卡嵌入式软件产品的测试、评估和采购,也可用于指导该类产品的研制和开发.
127.
GB/T20277-2015信息安全技术网络和终端隔离产品测试评价方法2015-05-152016-01-01本标准依据GB/T20279-2015的技术要求,规定了网络和终端隔离产品的测试评价方法.
本标准适用于按照GB/T20279-2015的安全等级要求所开发的网络和终端隔离产品的测试和评价.
128.
GB/T20278-2013信息安全技术网络脆弱性扫描产品安全技术要求2013-12-312014-07-15本标准规定了网络脆弱性扫描产品的安全功能要求、自身安全要求和安全保证要求,并根据安全技术要求的不同对网络脆弱性扫描产品进行了分级.
本标准适用于网络脆弱性扫描产品的研制、生产和检测.
129.
GB/T20279-2015信息安全技术网络和终端隔离产品安全技术要求2015-05-152016-01-01本标准规定了网络和终端隔离产品的安全功能要求、安全保证要求、环境适应性要求及性能要求.
本标准适用于网络和终端隔离产品的设计、开发与测试.
130.
GB/T20280-2006信息安全技术网络脆弱性扫描产品测试评价方法2006-05-312006-12-01本标准规定了对采用传输控制协议/和网际协议(TCP/IP)的网络脆弱性扫描产品的测试、评价方法.
本标准适用于对计算机信息系统进行人工或自动的网络脆弱性扫描的安全产品的评测、研发和应用.
本标准不适用于专门对数据库系统进行脆弱性扫描的产品.
131.
GB/T20281-2015信息安全技术防火墙安全技术要求和测试评价方法2015-05-152016-01-01本标准规定了防火墙的安全技术要求、测试评价方法及安全等级划分.
本标准适用于防火墙的设计、开发与测试.
132.
GB/T20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价方法2013-12-312014-07-15本标准规定了信息系统安全审计产品的技术要求和测试评价方法,技术要求包括安全功能要求、自身安全功能要求和安全保证要求,并提出了信息系统安全审计产品的分级要求.
本标准适用于信息系统安全审计产品的设计、开发、测试和评价.
36133.
GB/T22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求2016-08-292017-03-01本标准规定了对具有中央处理器的IC卡芯片达到EAL4+、EAL5+、EAL6+所要求的安全功能要求及安全保障要求.
本标准适用于IC卡芯片产品的测试、评估和采购,也可用于指导该类产品的研制和开发.
134.
GB/T25066-2010信息安全技术信息安全产品类别与代码2010-09-022011-02-01本标准规定了信息安全产品的主要类别与代码,包括物理安全类、主机及其计算环境安全类、网络通信安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面.
本标准适用于国家信息安全等级保护建设与信息安全行业分类管理.
本标准不适用于提供密码算法运算的商用密码产品(如密码芯片和密码模块等).
135.
GB/T28451-2012信息安全技术网络型入侵防御产品技术要求和测试评价方法2012-06-292012-10-01本标准规定了网络型入侵防御产品的功能要求、产品自身安全要求和产品保证要求,并提出了入侵防御产品的分级要求.
标准适用于网络型入侵防御产品的设计、开发、测试和评价.
136.
GB/T29765-2013信息安全技术数据备份与恢复产品技术要求与测试评价方法2013-04-282014-05-01本标准规定了数据备份与恢复产品的技术要求与测试评价方法.
本标准适用于对数据备份与恢复产品的研制、生产、测试、评价.
本标准所指的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的产品,不包括数据复制产品和持续数据保护产品.
137.
GB/T29766-2013信息安全技术网站数据恢复产品技术要求与测试评价方法2013-04-282014-05-01本标准规定了网站数据恢复产品技术要求与测试评价方法.
本标准适用于对网站数据恢复产品的研制、生产、测试和评价.
138.
GB/T30270-2013信息技术安全技术信息技术安全性评估方法ISO/IEC18045:20052013-12-312014-07-15本标准描述了在采用ISO/IEC15408《信息技术安全技术信息技术安全性评估准则》所定义的准则和评估证据进行评估时,评估者应执行的最小行为集,是ISO/IEC15408的配套标准.
139.
GB/T30282-2013信息安全技术反垃圾邮件产品技术要求和测试评价方法2013-12-312014-07-15本标准规定了反垃圾邮件产品的技术要求和测试评价方法.
本标准适用的反垃圾邮件产品范围包括透明的反垃圾邮件网关、基于转发的反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软件以及与邮件服务器一体的反垃圾邮件的邮件服务器.
本标准适用于对反垃圾邮件产品的研制、生产、测试和评价.
37140.
GB/T31499-2015信息安全技术统一威胁管理产品技术要求和测试评价方法2015-05-152016-01-01本标准规定了统一威胁管理产品功能要求、性能指标、产品自身安全要求和产品保证要求,以及统一威胁管理产品的分级要求,并根据技术要求给出了测试评价方法.
本标准适用于统一威胁管理产品的设计、开发、测试和评价.
141.
GB/T31505-2015信息安全技术主机型防火墙安全技术要求和测试评价方法2015-05-152016-01-01本标准规定了主机型防火墙的安全技术要求,测评评价方法及安全等级划分.
本标准适用于主机型防火墙的设计、开发与测试.
142.
GB/T31507-2015信息安全技术智能卡通用安全检测指南2015-05-152016-01-01本标准规定了智能卡类产品进行安全性检测的一般性过程和方法.
本标准适用于智能卡安全性检测评估和认证.
143.
GB/T32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法2016-08-292017-03-01本标准规定了WEB应用防火墙的安全功能要求、自身安全保护要求、性能要求和安全保证要求,并提供了相应的测试评价方法.
本标准适用于WEB应用防火墙的设计、生产、检测及采购.
144.
GB/T33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求2016-10-132017-05-01本标准规定了利用IPSec保护IP存储网络安全的技术要求,主要涉及了iSCSI、iFCP、FCIP等协议和因特网存储名称服务(iSNS).
本标准适用于IP存储网络安全设备的研制、生产和测试.
145.
GB/T33563-2017信息安全技术无线局域网客户端安全技术要求(评估保障级2级增强)2017-05-122017-12-01本标准规定了无线局域网客户端(评估保证级2级增强)的安全技术要求,主要包括无线局域网客户端的安全假设、威胁和组织策略,以及安全目的、安全功能要求和安全保证要求.
本标准在GB/T18336-2008中规定的评估保证级2级安全保证要求组件的基础上,增加了评估保证级3级中的ACM_SCP.
1(TOECM覆盖),ALC_FLR.
2(缺陷报告过程)和AVA_MSU.
1(指南审查)三个保证组件.
本标准适用于符合评估保证级2级增强的无线局域网客户端的设计、开发、测试、评估和产品的采购.
38146.
GB/T33565-2017信息安全技术无线局域网接入系统安全技术要求(评估保障级2级增强)2017-05-122017-12-01本标准规定了对无线局域网接入系统的安全技术要求(评估保证级2级增强),主要包括无线局域网接入系统的安全假设、威胁和组织策略,以及安全目的、安全功能要求和安全保证要求.
本标准在GB/T18336-2008中规定的评估保证级2级评估保证组件的基础上,增加了评估保证级3级ACM_SCP.
1(TOECM覆盖),ALC_FLR.
2(缺陷报告程序)和AVA_MSU.
1(指南审查)三个保证组件.
本标准适用于符合评估保证级2级增强的无线局域网接入系统的设计、开发、测试、评估和产品采购.
147.
GB/T34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求2017-07-312018-02-01本标准规定了基于近距离无线通信的移动终端电子支付的智能卡和内置安全单元安全技术要求,内容包括评估对象(TOE)定义、安全问题定义、安全目的描述、安全要求描述等.
本标准适用于基于近距离通信技术、支持电子支付业务的载有智能卡或内置安全单元的移动终端电子设备.
148.
GB/T34990-2017信息安全技术信息系统安全管理平台技术要求和测试评价方法2017-11-012018-05-01本标准依据国家信息安全等级保护要求,提出了统一管理安全机制的平台,规定了信息安全策略和管理责任为基础的系统管理、安全管理、审计管理等功能,以及对象识别、策略设置、安全监控、事件处置等过程的平台功能要求,平台自身的安全要求、保障要求,以及测试评价方法.
本标准适用于安全管理平台的规划、设计、开发和检测评估,以及在信息系统安全管理中心中的应用.
149.
GB/T35101-2017信息安全技术智能卡读写机具安全技术要求(EAL4增强)2017-11-012018-05-01本标准规定了EAL4增强级智能卡读写机具(以下简称机具)的安全技术要求.
本标准主要适用于接触式智能卡读写机具的测试和评估,可以用于指导机具的研制、开发和产品采购.
150.
GB/T35277-2017信息安全技术防病毒网关安全技术要求和测试评价方法2017-12-292018-07-01本标准规定了防病毒网关的技术要求并给出了测试评价方法.
本标准适用于防病毒网关的设计、开发及检测.
151.
GB/T35278-2017信息安全技术移动终端安全保护技术要求2017-12-292018-07-01本标准依据《GB/T18336-2015信息技术安全技术信息技术安全评估准则》规定了移动终端的安全保护技术要求,包括移动终端的安全目的、安全功能要求和安全保障要求.
本标准适用于移动终端的设计、开发、测试和评估.
39152.
GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求2017-12-292018-07-01本标准规定了移动互联网应用服务器的安全技术要求,包括数据安全、业务安全、系统安全、设备安全、协议安全和运维安全等.
本标准适用于支持承载各类移动互联网应用业务的计算机系统,可用于指导移动互联网应用服务器开发、部署、管理运维和测试评估,也适用于相关产品的设计、实现、测试和服务等.
153.
GB/T35284-2017信息安全技术网站身份和系统安全要求与评估方法2017-12-292018-07-01本标准规定了网站身份和系统安全要求与评估方法,包括网站基本级要求、网站增强级要求、评估方法、评估结果展示和撤销等内容.
本标准适用于我国合法接入的互联网网站,也可为网站的开发、运维及评估等提供参考.
154.
GB/T35286-2017信息安全技术低速无线个域网空口安全测试规范2017-12-292018-07-01本标准规定了符合GB/T15629.
15-2010中安全机制WSAI(WPAN安全接入设施)的设备、协调器和可信第三方的安全协议的符合性检测方法.
本标准所涉密码算法应符合国家密码主管部门相关规定.
本标准适用于符合GB/T15629.
15-2010的设备中的WSAI安全机制的符合性测试.
155.
GB/T35290-2017信息安全技术射频识别(RFID)系统通用安全技术要求2017-12-292018-07-01本标准规定了射频识别(RFID)系统安全技术相关(以下简称RFID系统)的基本级要求和增强级要求.
本标准适用于具有安全技术要求的RFID系统整体及构成RFID系统的各类RFID标签、读写器、通信链路及后端系统的安全功能的设计、开发和使用.
40156.
GB/Z20283-2006信息安全技术保护轮廓和安全目标的产生指南ISO/IECTR15446:20042006-05-312006-12-01本标准描述保护轮廓(PP)与安全目标(ST)中的内容及其各部分内容之间的相互关系的详细指南.
本标准给出PP与ST文档内容的概述、示例目录清单和目标用户最关心的内容,陈述了PP与ST之间的关系,以及PP与ST的开发编写过程.
本标准给出编写指南,它用来指导PP与ST的描述部分的编写,内容涵盖PP与ST的引言、针对用户和使用者的评估对象(TOE)描述以及针对ST作者和TOE开发者的PP应用注释;给出了TOE安全环境的定义;规定了安全目的,选择IT安全要求组件,描述了GB/T18336中定义的功能组件和保证组件的使用方法,以及非GB/T18336定义的组件的使用方法;规定了ST中TOE概要规范的编制方法和基本原理的编制方法;给出了复合TOE的PP与ST的编制方法,复合TOE是由两个或多个TOE组成;指导安全功能包和保证包的构成方法.
标准以附录的形式给出了指南的核查表、防火墙PP与ST示例、数据库示例.
本标准适用于开发者、使用者、测评者等用来更规范地描述安全目标和安全要求.
3、系统测评序号标准编号标准名称对应国际标准发布日期实施日期范围157.
GB17859-1999计算机信息系统安全保护等级划分准则1999-09-132001-01-01本标准给出了计算机信息系统相关定义,规定了计算机系统安全保护能力的五个等级.
158.
GB/T20270-2006信息安全技术网络基础安全技术要求2006-05-312006-12-01本标准描述了关键信息基础设施网络安全保护的角色和职责,规定了关键信息基础实施网络安全保护在识别认定、安全防护、检测评估、监测预警、应急处置等环节的基本要求.
本标准适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段.
41159.
GB/T20271-2006信息安全技术信息系统通用安全技术要求2006-05-312006-12-01本标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了信息系统安全所需要的安全技术的各个安全等级要求.
本标准主要从信息系统安全保护等级划分角度,说明为实现GB17859-1999中每一个安全保护等级的安全功能要求应采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异.
本标准首先对信息安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述,然后按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述.
标准以附录的形式给出了标准中各概念的说明,等级化信息系统安全设计的参考,以及安全技术要素与安全技术分等级要求之间的对应关系.
本标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统安全的测试和管理可参照使用.
160.
GB/T20274.
1-2006信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型2006-05-312006-12-01本部分给出了信息系统安全保障的基本概念和模型,并建立了信息系统安全保障框架.
本部分适用于从事信息系统安全保障工作的所有相关方,包括设计开发者、工程实施者、评估者、认证认可者等.
本部分不适用于一下方面:a)人员技能和能力的评估,但对人员安全的要求在管理保障中体现;b)系统评估方法学;c)密码算法固有质量的评价.
161.
GB/T20274.
2-2008信息安全技术信息系统安全保障评估框架第2部分:技术保障2008-07-182008-12-01本部分建立了信息系统安全技术保障的框架,确立了组织机构内的启动、实施、维护、评估和改进信息安全技术体系的指南和通用原则.
GB/T20274的本部分的定义说明了信息系统安全技术体系建设和评估中反映组织机构信息安全的技术体系架构能力级,以及组织机构信息系统安全的技术要求.
GB/T20274的本部分适用于启动、实施、维护、评估和改进信息安全技术体系的组织机构和涉及信息系统安全技术工作的所有用户、开发人员和评估人员.
42162.
GB/T20274.
3-2008信息安全技术信息系统安全保障评估框架第3部分:管理保障2008-07-182008-12-01本部分建立了信息系统安全技术保障的框架,确立了组织机构内的启动、实施、维护、评估和改进信息安全技术体系的指南和通用原则.
本部分的定义说明了信息系统安全管理保障能力的安全管理能力级,以及提供组织机构信息安全管理保障内容的管理保障控制类要求.
本部分适用于涉及信息系统安全管理工作的组织机构的所有用户、开发者和评估者.
163.
GB/T20274.
4-2008信息安全技术信息系统安全保障评估框架第4部分:工程保障2008-07-182008-12-01本部分建立了信息系统安全技术保障的框架,确立了组织机构内的启动、实施、维护、评估和改进信息安全技术体系的指南和通用原则.
GB/T20274的本部分定义和说明了信息系统安全工程保障工作中反映组织机构信息安全工程保障能力级,以及组织机构信息安全工程保障内容的安全工程保障控制类要求.
GB/T20274的本部分适用于启动、实施、维护、评估和改进信息安全工程的组织机构和涉及信息系统安全工程工作的所有用户、开发人员和评估人员.
164.
GB/T21052-2007信息安全技术信息系统物理安全技术要求2007-08-232008-01-01本标准规定按照计算机信息系统物理安全等级划分所需的检验试验的技术要求.
本标准适用于对计算机信息系统物理安全等级划分,适用于计算机信息系统物理安全的试验、检测、设计、施工、及相关产品的采购.