信息安全理论信息安全理论信息系统安全测评认证概述信息系统安全测评认证概述中国信息安全产品测评认证中心(中国信息安全产品测评认证中心(CNITSECCNITSEC))www.itsec.gov.cnwww.itsec.gov.cnCISP-1-CISP-1-信息系统安全测评认证概述(培训样稿)信息系统安全测评认证概述(培训样稿)cnitseccnitsec目录目录信息安全测评认证基础信息安全测评认证基础我国信息安全测评认证基本情况我国信息安全测评认证基本情况信息安全标准信息安全标准•通用准则通用准则CCCC((GB/T18336idtISO/IECGB/T18336idtISO/IEC1540815408))•信息系统安全保障通用评估准则信息系统安全保障通用评估准则中国信息安全产品测评认证中心业务介中国信息安全产品测评认证中心业务介绍绍一一..信息安全测评认证基信息安全测评认证基础础cnitseccnitsec1.11.1测评认证基本概念测评认证基本概念什么是测评认证什么是测评认证测试、评估、认证是三个不同的概念测试、评估、认证是三个不同的概念测试/检验:按照规定的程序,为确定给定的产测试/检验:按照规定的程序,为确定给定的产品、材料、设备、生物组织、物理现象、工艺或品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作服务的一种或多种特性的技术操作评估:对测试/检验产生的数据进行分析、形成评估:对测试/检验产生的数据进行分析、形成结论的技术活动结论的技术活动认证是指认证是指第三方第三方依据程序对产品、过程或服务符依据程序对产品、过程或服务符合规定的要求给予合规定的要求给予书面保证书面保证(证书),用于评价(证书),用于评价产品质量产品质量和和企业质量管理企业质量管理水平水平认证的依据是认证的依据是标准标准和和测试/检验/评估的结果测试/检验/评估的结果cnitseccnitsec传统的安全测评方法传统的安全测评方法用户测试用户测试厂商自测厂商自测商业性测试商业性测试政府内部的安全测试与检测政府内部的安全测试与检测攻击性(分析、对抗性)检测攻击性(分析、对抗性)检测软件工程质量保障方法软件工程质量保障方法cnitseccnitsec传统测评方法的不足传统测评方法的不足缺乏标准的安全需求规范缺乏标准的安全需求规范缺乏通用的安全测评准则缺乏通用的安全测评准则缺乏客观的安全测评工具缺乏客观的安全测评工具缺乏专业的安全测评人员缺乏专业的安全测评人员缺乏公正的第三方测评机制缺乏公正的第三方...
