13167162419   17797782508

ISO20000认证信息技术安全性评估准则
发布时间:2020-03-13 19:57    浏览次数:   

 信息科技安全性评估准则(Common Criteria for Information Technology Security Evaluation,下称CC)是在1985年美国防部明确提出的可靠计算机软件点评准则ISO20000认证(七色彩虹系列产品橘皮书)、1989年澳大利亚明确提出的可靠电子计算机产品评估准则CTCPEC、1991年欧洲四国(美国、荷兰、西班牙和法国)协同明确提出的信息科技安全性评估准则ITSEC及其1992年英国明确提出的英国信息科技安全性联邦政府准则FC等的基本上发展趋势出的一个全球性通用性准则。
 
 1996年六国七方(美国、澳大利亚、荷兰、法国、西班牙、美国国家安全局和国际标准技术性研究室)签定了《信息科技安全性通用性评估准则》,意味着CC的问世,此即CC1.0版。 CC自明确提出后获得了国际性上的普遍认同。1999年,CC2.0版变成国家标准ISO/IEC 15408,2001年,在我国将其转换为强制性国家行业标准GB/T 18336。CC伴随着信息科技的全面的发展在逐步完善调整,现阶段最新消息的版本号为CC3.1版 (CC v3.1. Release 5)。
 
 02 为何制订CC? CC的功效与实际意义 在进行CC內容的实际详细介绍以前,人们应当清晰为何制订安全性评估准则。这由于很多客户并不可以精确分辨她们的IT产品和系统软件的安全性是不是可以符合要求,又不期望仅遵从开发人员的一面之词,因而必须依靠评估的方式提高对安全性的自信心,从而就造成了对IT产品和系统软件的安全性评估准则的要求。 CC是现阶段最全方位的信息科技安全性评估准则,致力于对于IT产品的安全性作用以及保障对策出示一套通用性规定,为具备安全性作用的IT产品的开发设计、评估及其购置全过程出示具体指导,除此之外,评估全过程能为IT产品的安全性作用以及保障对策考虑这种规定的状况创建一个信赖级別,评估結果能够协助顾客明确该IT产品是不是考虑其安全性规定。 CC的另一个优点取决于创建了通用性规范双边协定协约(ISO20000认证),依据官在网上的最新消息数据信息获知现阶段现有包含英国和澳大利亚以内的32个國家的政府机构或政府部门中介机构添加了ISO20000认证。 这就代表一个IT产品在国外根据了CC评估后,在别的vip会员國家就不用再度评估,因而能够清除反复的评估,这也侧边体现出CC评估早已变成认证产品可否打进国外市场的关键方式,最该强调的是,在我国现阶段并未添加。 小结左右,CC的功效和实际意义取决于:
 
 1) 提高客户对IT产品和系统软件的自信心 2) 提升IT产品和系统软件的安全性
 
 3) 清除反复的评估 03 如何使用CC? CC的主要内容 通用性准则CC共包括三一部分內容,第一一部分是介绍和一般实体模型,第二一部分是安全性作用组件,第三一部分是安全性保障组件。 为了方便了解下面的內容,最先详细介绍一些关键专业术语的界定。 关键专业术语:
 
 1 TOE:评估目标 ( Target of Evaluation ) 一组将会包括手册的手机软件、固定件和/或硬件的结合,比如应用软件、服务器系统 、智能卡集成电路芯片、数据库查询运用这些。
 
 2.PP:维护轮廊 (Protection Profile) 对于一类TOE的、与保持不相干的安全性要求阐述。
 
 3 ST:安全生产 (Security Target) 对于一个特殊的已标志TOE,且与保持有关的安全性要求阐述。 PP和ST是CC中的2个重要定义,PP关心的是安全性要求,不取决于保持,而ST关心的是在安全性解决方法中出示了哪些对策,是取决于保持的。同样的PP能够做为模版用以结构很多不一样评估中的ST。PP和ST的內容架构有诸多重合,这儿得出ST的內容框图,如图所示。 PP和ST中的重要內容——安全性规定,由2组规定组成,各自为安全性作用规定SFR(将TOE安全性目地转换为规范語言)和安全性保障规定SAR(TOE考虑SFR所需得到的保障叙述)。
 
2组规定的规范化語言各自由CC第二一部分(安全性作用组件)和第三一部分(安全性保障组件)出示,能够说,CC包含表明安全性规定所必须的材质库(组件)和将这种原材料机构进PP、ST的文件格式与标准。 CC中出示了11个安全性作用类和8个安全性保障类,每一类下边包含一个或好几个族,每一族下边又包含一个或好几个组件。 CC中还界定了评估保障级別(EAL)用以叙述鉴定TOE保障规定考虑状况的限度。共界定了七个级別:EAL1-EAL7,按级別排列,每一个评估保障级比其较低的评估保障级表述大量的保障。 评估保障级的保障提升,靠换成同一保障族中的一个更高級其他保障组件(即提升严苛性、范畴和/或深层)和加上此外一个保障族的保障组件(即加上新的规定)来保持。
 
 每一评估保障级数最多包括每一保障族中的一个组件,及其每一组件的全部保障相互依赖。从以上能够清晰看得出每一评估保障级相匹配的保障组件编号。 在我国审理IT产品评估保障级(EAL)验证申请办理的组织是我国网络信息安全核查技术性与认证机构(ISO20000认证,原我国网络安全认证管理中心 ISCCC),根据后授予IT产品网络安全认证—评估保障级(EAL)资格证书和认证证书。此外,我国网络信息安全测评中心,也可从业信息管理系统产品等级分类评估,评估后輸出的是评估技术性汇报和评测资格证书。二者的差别取决于认证机构含有强制、资格证书性,由申请办理公司自身申请办理 ,而测评中心则是第三方授权委托特性。



  • Tel

    电话

    13167162419

  • Tel

    电话

    17797782508

  • address

    地址

    上海市宝山区沪太路5018号

扫码联系我们

友情链接: 矿源黄腐酸钾 华视微电子 cosplay摄影 上海商铺出租 眼镜加盟 聚异丁烯 游戏租号 天天乐超市 水晶灯厂家 宝寿司 阀门厂家 水塔老陈醋 元素肥料 云南跟团游 深圳注册公司 自动化公司
关键词:ISO27001认证,ISO20000认证,信息安全管理体系认证,信息技术服务管理体系认证,两化融合认证,两化融合管理体系认证,信息化和工业化融合认证,CCRC认证,信息安全服务资质认证,信心纺织品认证,

Copyright &2019上海择宽信息技术服务有限公司 所权所有 All rights reserved;    沪ICP备18011139号  技术支持:上海网站建设

相关词:上海,苏州,昆山,嘉兴,南通,无锡,杭州,南京,宁波,常州,条件,多少钱,加急,公司,价格,平台,流程,费用,多久,时间,审核,要求,文件,条件,
  • 首页
  • 电话
  • 返回顶部