文档介绍:GB17859本讲提纲测评认证相关概念信息安全测评依据标准对信息技术产品、系统、服务提供商和人员进行测试与评估,检验其是否符合测评的标准信息安全测评是检验/测试活动信息安全认证对信息技术领域内产品、系统、服务提供商和人员的资质、能力符合规范及安全标准要求的一种确认活动,即检验评估过程是否正确,并保证评估结果的正确性和权威性。信息安全认证是质量认证活动,更确切地说是产品认证活动。两者关系信息安全测评为信息安全认证提供必要的技术依据。产品认证访问控制产品(防火墙/路由器/代理服务器/网关)鉴别产品安全审计产品安全管理产品数据完整性产品数字签名产品抗抵赖产品商用密码产品(须由国家商用密码管理办公室授权)防信息干扰、泄漏产品操作系统安全类产品数据库安全类产品……系统安全测评信息系统的安全测评,是由具有检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。系统安全测评旨在为以前没有安全保障或安全保障体系不完善的系统(网络)提供改进服务,从而降低系统的安全风险组织认证:对提供信息安全服务的组织和单位资质进行评估和认证,即服务资质认证个人认证:对信息安全专业人员的资质进行评估和认证,即人员资质认证我国信息安全测评认证体系组织结构于1997年启动,到1998年底,正式建立我国的信息安全测评认证体系,由三部分组成国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构国家信息安全测评认证管理委员会国家信息安全测评认证管理委员会是认证中心的监管机构。组成:由与信息安全相关的管理部门、使用部门、学术界和生产厂商四方面的代表组成主要职责:确定测评认证中心的发展策略,推动中心检测认证的标准研究和准则使用,对测评认证工作的公正性、科学性进行监督。管理委员会下设专家委员会和投诉、申诉委员会。ITSEC):是经中央批准的、由国家质量监督检验检疫总局授权成立的、代表国家实施信息安全测评认证的职能机构。对国内外信息安全设备和信息技术产品进行安全性检验与测试;对国内信息工程和信息系统进行安全性评估与安全质量体系认证; 对在中国境内销售、使用的信息技术产品和安全设备进行安全性认证;提供与信息安全有关的信息服务、技术服务及人员培训;与国际上相应的测评认证机构联系与交流。AB)AL)认可授权监督测评报告认证申请测评认证报告测评申请信息安全测评认证过程图示