导论 1
0.1 引言 1
0.2 客观看待信息安全问题 1
0.3 信息安全是一个治理问题 2
0.4 测评认证是信息安全治理的有效手段 3
0.5 本书的结构 4
0.6 致谢 4
1.1.1 物理安全 8
1.1 信息安全概念的发展历程 8
第1章 信息安全观的发展 8
第1篇 信息安全测评认证 8
1.1.2 通信保密 9
1.1.3 计算机安全 10
1.1.4 信息安全 13
1.1.5 运行安全 17
1.1.6 系统安全 18
1.1.7 系统可靠性 19
1.1.8 信息安全保障 19
1.2 对信息安全概念的历史评述 22
2.1 引言 24
第2章 信息安全测评认证标准的发展 24
2.2 标准组织机构发展概述 25
2.2.1 国际信息安全标准组织 25
2.2.2 我国信息安全标准组织 26
2.3 信息安全测评认证标准体系 27
2.3.1 国外信息安全测评标准概述 27
2.3.2 我国信息安全测评认证标准的发展 31
第3章 信息安全测评认证的模型与方法 33
3.1 信息安全原理与模型 33
3.1.1 多级安全模型 33
3.1.2 多边安全模型 39
3.1.3 健壮性模型 42
3.1.4 基于时间的PDR模型 44
3.1.5 分布式动态主动模型 44
3.2 信息安全的测度模型与方法 45
3.2.1 安全审计 45
3.2.2 风险分析 45
3.2.3 能力成熟度模型 46
3.2.4 安全测评 49
3.3.1 信息安全评估准则 50
3.3 信息安全评估准则与方法 50
3.3.2 信息安全评估方法 59
3.3.3 信息安全保障体系有效性验证方法 64
3.3.4 信息安全评估准则的发展趋势 70
3.4 信息安全认证模式与方法 70
3.4.1 信息安全认证模式 70
3.4.2 信息安全认证方法 71
第4章 现代信息安全测评认证体系 80
4.1 概述 80
第2篇 测评认证体系的组织与管理 80
4.2 组织形式 81
4.2.1 IT安全评估申请者 81
4.2.2 国家认证机构 81
4.2.3 授权测评机构 81
4.3 测评认证过程 82
4.3.1 认证申请 82
4.3.2 测评过程 82
4.3.3 认证过程 83
4.3.4 认证维持 83
4.4.1 美国的信息安全测评认证制度 84
4.4 国外信息安全测评认证制度 84
4.4.2 英国的信息安全测评认证制度 86
4.4.3 澳大利亚的信息安全测评认证制度 87
4.4.4 加拿大的信息安全测评认证制度 88
4.4.5 德国的信息安全测评认证制度 89
4.4.6 法国的信息安全测评认证制度 90
4.4.7 荷兰的信息安全测评认证制度 90
4.4.8 西班牙的信息安全测评认证制度 90
4.4.10 韩国的信息安全测评认证制度 91
4.4.9 以色列的信息安全测评认证制度 91
4.4.11 日本的信息安全测评认证制度 92
4.5 中国信息安全测评认证制度的建立和发展 92
4.5.1 认证体系与认证机构 92
4.5.2 测评机构 93
4.6 信息安全测评认证的国际互认情况 93
第5章 认证机构的组织与管理 95
5.1 认证机构概述 95
5.1.1 认证机构的体制要求 95
5.1.2 认证机构的主要职责 95
5.1.3 认证机构的组织管理 95
5.1.5 信息安全认证管理委员会 96
5.1.4 认证机构的国际协作 96
5.2 认证机构的必备条件 97
5.3 认证机构的质量政策 97
5.3.1 质量方针 97
5.3.2 信息保密政策 98
5.3.3 记录管理制度 98
5.4 认证机构的管理体系 98
5.5 认证机构的质量管理 98
5.5.3 内部审核 99
5.5.4 管理评审 99
5.5.2 质量文档 99
5.5.1 质量主管 99
5.5.5 投诉和申诉 100
5.5.6 质量管理记录 101
5.6 认证机构的资源管理 101
5.6.1 认证人员 101
5.6.2 认证培训 102
5.6.3 认证合同 102
5.7.2 解释程序 103
5.7.1 认证程序 103
5.7 评估监督和认证管理 103
5.6.4 资源管理记录 103
5.7.3 评估监督和认证记录 104
5.8 认证机构的记录管理 104
5.8.1 记录管理 104
5.8.2 文档控制 106
5.8.3 证书管理 107
5.9 对授权测评机构的管理 108
5.9.1 对授权测评机构的认可要求 108
5.9.4 批准/认可的更新 109
5.9.3 扩大或缩小授权测评机构认可范围 109
5.9.2 确定并维护测试方法 109
5.9.5 批准/认可的撤销或暂停 110
5.9.6 审核 110
5.9.7 能力测试的制定和维护 110
5.9.8 对授权测评机构管理的记录 111
5.10 认证维持管理 112
5.10.1 认证维持程序 112
5.10.2 认证维持记录 112
6.2 授权测评机构的认可 113
6.1 授权测评机构概述 113
第6章 授权测评机构的组织与管理 113
6.2.1 获得认证机构认可 114
6.2.2 获得国家认可机构认可 114
6.2.3 认可范围 114
6.4 授权测评机构的质量体系 115
6.4.1 质量体系要求 115
6.4.2 质量体系文件层次图 115
6.3.2 审核 115
6.3.1 批准/认可的更新 115
6.3 授权测评机构的资格维持 115
6.4.3 授权测评机构质量体系 116
第3篇 测评认证的规范与指南 120
第7章 评估监督与认证规范 120
7.1 认证过程概述 120
7.1.1 认证目标 120
7.1.2 认证活动 120
7.1.3 认证准备阶段 121
7.1.4 认证监督阶段 121
7.2 认证员职责 122
7.2.1 监督评估过程 122
7.1.5 认证决定阶段 122
7.2.2 确认评估结果 123
7.2.3 代表认证机构 123
7.2.4 协调认证项目 123
7.2.5 提供技术支持 124
7.3 认证准备阶段 124
7.3.1 评审 124
7.3.2 会议 125
7.4 认证监督阶段 126
7.4.1 评估监督 126
7.3.3 记录 126
7.4.2 评审 127
7.4.3 会议 129
7.4.4 观察与见证 130
7.4.5 记录 130
7.5 认证决定阶段 131
7.5.1 记录 131
7.5.2 会议 132
7.6 认证记录系统 132
7.6.1 认证记录 132
7.6.3 评估证据 133
7.6.2 记录标识和索引 133
7.6.5 硬拷贝记录 134
7.6.6 停止认证记录 134
7.7 认证支持机制 134
7.7.1 技术支持 134
7.7.2 解释 134
7.6.4 电子记录 134
7.7.3 补救行为 135
7.7.4 评估问题的解决程序 135
7.7.5 认证机构交流机制 137
8.1.1 认证维持的目的 138
8.1.2 认证维持生命周期 138
第8章 认证维持规范 138
8.1 认证维持概述 138
8.2 认证维持程序 140
8.2.1 CMP接受 140
8.2.2 CMP维持 141
8.2.3 CMP各参与方 143
8.2.4 TOE变化的CMP范围 144
8.2.5 AMA概念和模型的应用 145
8.3.1 开发者职责 146
8.3 产品开发者职责 146
8.2.6 CMP记录保存 146
8.2.7 索取解释 146
8.2.8 其他CMP管理任务 146
8.3.2 安全分析员职责 147
8.4 申请者职责 148
8.4.1 申请者的CMP相关职责 148
8.4.2 委托多个授权测评机构 148
8.5.3 CMP评估职责 149
8.6.1 认证机构职责 149
8.6 认证机构职责 149
8.5.2 参加CMP任务的授权测评机构员工 149
8.5.1 对授权测评机构的认可 149
8.5 授权测评机构与评估者职责 149
8.6.2 认证员职责 150
第9章 认证申请指南 151
9.1 认证申请者概述 151
9.2 认证机构的服务支持 151
9.3 授权测评机构的咨询支持 151
9.5.1 评估申请过程 152
9.5 评估前阶段 152
9.4 信息访问与发布授权 152
9.4.1 私有或敏感信息 152
9.4.2 公开信息 152
9.5.2 申请者的责任 153
9.5.3 授权测评机构的责任 153
9.5.4 认证机构的责任 153
9.6 评估阶段 154
9.6.1 评估过程 154
9.6.2 申请者的责任 154
9.6.5 投诉和申诉 155
9.7 评估后阶段 155
9.6.3 授权测评机构的责任 155
9.6.4 认证员的责任 155
9.7.1 证书发放 156
9.7.2 评估记录管理 156
9.7.3 认证证书维持 156
10.1.2 体系中各机构的法定地位和职能 158
10.1 中国信息安全测评认证组织体系 158
10.1.1 中国信息安全测评认证体系描述 158
第10章 中国信息安全测评认证体系 158
第4篇 测评认证的实践与探索 158
10.1.3 相关文件 160
10.2 我国信息安全测评认证标准 165
10.2.1 信息技术安全性评估准则 166
10.2.2 信息产品安全技术要求 167
10.2.3 通用评估方法 168
10.2.4 信息安全管理标准 168
10.2.6 认证机构的能力要求 169
10.2.5 系统安全工程能力成熟度模型 169
10.2.7 检验和校准实验室的能力的要求 170
10.3 中国信息安全测评认证业务体系 170
10.3.1 产品认证 170
10.3.2 系统认证 170
10.3.3 服务资质认证 171
10.3.4 人员资质认证 171
10.4 信息安全测评认证体系在中国信息化建设中的作用 171
10.4.1 信息安全测评认证的安全保障作用 171
10.4.2 信息安全测评认证的技术壁垒作用 172
11.2 信息产品安全测评认证级别 173
11.1 信息产品安全测评认证概述 173
第11章 信息产品安全测评认证实践 173
11.3 信息产品安全测评认证流程 174
11.3.1 准备阶段 174
11.3.2 评估阶段 175
11.3.3 认证阶段 175
11.3.4 证后监督及维持阶段 175
12.1.1 信息系统安全认证内涵 177
12.1.2 信息系统安全测评认证意义 177
12.1 信息系统安全测评认证概述 177
第12章 信息系统安全测评认证实践 177
12.2 信息系统安全测评认证的基础与原则 178
12.2.1 信息系统安全保障评估 178
12.2.2 信息系统安全保障评估准则基本组成 180
12.2.3 信息系统的分级原则 181
12.2.4 信息系统的安全测评认证方法 182
12.2.5 信息安全产品的采购原则 182
12.3 信息系统安全测评认证程序 183
12.3.1 测评认证流程 183
12.3.2 安全评估阶段 183
12.3.4 认证监督阶段 185
12.3.3 安全认证阶段 185
第13章 信息安全服务资质认证实践 186
13.1 信息安全服务资质认证概述 186
13.1.1 信息安全服务概述 186
13.1.2 信息安全服务资质评估 186
13.2 信息安全工程过程及能力级别 186
13.2.1 信息安全工程过程 186
13.2.2 信息安全工程过程能力级别 187
13.2.3 信息安全服务资质等级划分 188
13.3 信息安全服务资质认证流程 189
13.3.1 申请 190
13.3.2 评审 190
13.3.3 认证与公布 190
13.3.4 保持认证 190
13.3.5 认证发展 191
13.3.6 处置 191
13.3.7 争议、投诉与申诉 191
13.3.8 认证企业档案 191
14.1.2 认证概述 192
14.1.1 认证背景 192
第14章 注册信息安全专业人员认证实践 192
14.1 注册信息安全专业人员认证概述 192
14.2 注册信息安全专业人员认证体系 193
14.2.1 知识体系 193
14.2.2 课程体系 193
14.3 注册信息安全专业人员认证流程 195
14.3.1 申请阶段 195
14.3.3 认证阶段 196
14.3.4 认证维持阶段 196
14.3.2 评估阶段 196
附录A 参考文献 197
附录B 缩略语及认证体系术语表 200
1.缩略语 200
2.认证体系术语表 203
附录C 国内外测评认证机构联系方式 207
C.1 中国 207
C.2 美国 208
C.3 英国 210
C.4 澳大利亚 210
C.6 德国 211
C.5 加拿大 211
C.7 法国 213
C.8 以色列 214
C.9 韩国 214
C.10 日本 214
C.14 挪威 215
C.15 西班牙 215
C.16 瑞典 215
C.13 荷兰 215
C.12 意大利 215
C.11 匈牙利 215
C.17 土耳其 216
附录D 评估案例——智能卡的安全评估 217
1.序言 217
2.参与机构 217
3.智能卡面临的威胁 217
4.评估依据 219
5.评估申请阶段 219
6.评估实施阶段 219
7.评估认证阶段 229
8.结语 229