2007年JTC1/SC27会议信息安全标准热点跟踪

介绍了2007年ISO/IEC JTC1/SC27各工作组会议,研究了特定行业的ISMS标准、低功耗加密、三元实体鉴别、身份管理框架等重要热点问题,并结合我国国际信息安全标准化工作,提出了工作建议.     

《国家信息安全标准化"十一五"规划》(摘登)

为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和《国家标准化发展战略》对信息安全标准化工作的要求,统筹规划和指导＂十一五＂期间信息安全标准化工作,促进产业发展,为信息安全保障体系建设提供基础性技术支撑,国家标准化管理委员会、国务院信息化工作办公室联合编制《国家信息安全标准化＂十一五＂规划》.现将部分内容摘登如下.[编者按]     

标准夯筑国家信息安全基石——全国信息安全标准化技术委员会2011年度全体会议报道

由工信部近期印发的《信息安全产业"十二五"发展规划》进一步明确了信息安全产业在保障国家信息安全中的战略核心地位,信息安全产业肩负着为国家信息化基础设施的信息系统安全保障提供信息安全产品及服务的战略任务。该规划也明确要求完善标准体系,支撑产业发展,推动信息安全技术、     

印制电路检验工国家职业标准（试行）

1．职业概况 1．1职业名称：印制电路检验工。 1．2职业定义：在电子工业的印制电路（电子电路）制造中从事检验工作的从业人员，包括原材料检验、生产过程检验和成品检验等。     

印制电路检验工国家职业标准（试行）

1．职业概况 1．1职业名称：印制电路检验工。1．2职业定义：在电子工业的印制电路（电子电路）制造中从事检验工作的从业人员，包括原材料检验、生产过程检验和成品检验等。     

信息资源标准体系建设的政策研究

分析了信息资源开发利用的简要过程，提出了信息资源标准体系参考模型，最后对加强信息资源标准符合性测试和评估工作提出了建议。     

对现有信息安全评估标准的研究和比较

本文介绍了现有的信息安全评估标准，并对其适用范围和实用价值进行了较为详细的讨论、比较；研究了信息安全评估的现状和未来的趋势；给出了笔者实际的工作进展。     

五年基本建成国家信息安全保障体系--访国务院信息化工作办公室网络与信息安全组王渝次司长

刚刚过去的2004年是我国信息安全保障工作极不寻常的一年，一些对信息安全影响重大的事件相继发生，许多重要的工作积极向前推进，呈现出了与过去不同的新局面。这一态势对我国信息安全工作产生了哪些影响?对今后的工作具有哪些启示和指导意义?带着这些问题，记者近日采访了国务院信息化工作办公室网络与信息安全组王渝次司长。     

云服务安全审查标准研究取得进展

<正>网络安全审查是对关系国家安全和社会稳定信息系统中,使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。云计算作为政府部门和重点行业采用的一种重要服务,其安全性也在审查范围内。因此,加强为政府部门和重点行业提供云服务的云服务商的审查,是保障云计算平台安全和国家信息安全的重要手段。云服务安全国家标准将为云服务安全审查提供重要依据。美国早在2009年就开始了联邦政府使用云计算的安全评估与授权的研究,并于2011年12月8日正式发布了《云计算环境中信息系统的安全授权》,建立了联邦政府风险和授权管理项目(FedRAMP),规定了对云计算安全控制措施的要     

我国将建立国家信息安全等级保护监管机制信息安全分五级保护

从11月22日召开的第七届中国国际计算机网络和信息安全展览会新闻发布会上获悉，明年我国将出台“国家信息安全分级保护管理办法”。     

信息安全风险评估标准研究

信息安全是国家安全的重要组成部分，信息安全风险评估工作是保障国家和信息系统安全的长效机制，本文将讨论可以依据哪些国际和国内流行的标准指导信息安全风险评估工作的开展，并着重介绍了这些标准的内容和适用范围。     

信息安全风险评估的策划

提出了组织在进行信息安全风险评估时，在策划阶段应关注的一些问题，以保证整个风险评估过程的有效性。     

信息安全风险评估分析

随着信息技术的发展与普及,信息安全成了各个领域重点关注的问题,相应的风险评估方法与技术日益丰富。基于此,为有效减少信息安全隐患,文中围绕信息安全风险评估内涵与计算方法,深入研究了当前常用的几种评估技术,具体包括模糊分析法、定性与定量分析法、SoS分析法等,并根据信息安全风险评估提出了相关平台的搭建路径,以期为相关工作人员提供有效参考。     

信息系统安全风险评估研究

介绍信息系统安全风险分析的概念,分析安全风险评估的基本要素和常见的系统风险评估模式。文章在此基础上,系统性考虑了信息系统所面临的安全威胁、存在的脆弱性以及已经确知的安全控制策略等因素,提出一种信息系统安全风险评估的流程,从而提高风险评估的准确性。提出的安全风险评估流程,综合考虑了信息系统所面临安全威胁、潜在脆弱性以及安全防护确知等因素,可以在一定程度上提高安全风险评估的有效性和准确性。     

美国联邦信息安全风险管理框架及其相关标准研究

论文首先概述了美国联邦信息安全风险管理框架的实现及其相关标准,接着对NIST风险管理框架的八个步骤进行了详细描述;最后在对中国的等级保护三步式和美国FISMA的三阶段进行简单分析比较的基础上,根据中国信息化建设及管理的现状,对中国下一步等级保护工作提出了看法。     

浅谈对信息安全风险评估的认识

2006年1月国家网络与信息安全协调小组发表了《关于开展信息安全风险评估工作的意见》,意见中指出:随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。要重视信息安全风险评估工作,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。明确要求各系统各单位建立信息安全风险评估制度,及时发现系统存在的风险,采取一定的控制措施降低风险。     

信息化建设中的信息安全风险评估

风险评估是发现薄弱环节的基本方法,不仅需在系统建设之前进行,更要贯彻在信息系统从设计到运行乃至到报废的整个生命周期之中。信息安全风险评估是建立信息安全体系的基础,是信息系统安全工程的一个关键组成部分。分析了国内外信息安全风险评估的现状,包括相关的评估标准体系、评估方法和评估过程,针对中国信息安全发展现状,探讨了目前信息安全风险评估工作中急需解决的问题。     

信息安全风险评估工具及其应用分析

信息安全风险评估是信息安全保障工作中的一种科学的方法。要准确地评价信息系统中的薄弱点和风险状况,除依靠评估人员的技能外,评估工具也是一个重要的环节。文中对风险评估中常用的工具进行分析,分别介绍了主动型、被动型和管理型风险评估工具在风险评估工作中的工作机制与作用,并通过实例展示如何利用评估工具引导评估人员得到相对客观的结果。     

一个灰色信息安全风险评估应用模型

在信息系统安全风险评估研究方面,现有不少方法是非定量的或者抽象的,它们对系统安全风险只做出定性描述。目前缺乏能够对系统安全风险作出定量描述的评估模型。基于灰色层次模型提出了一个定量的信息系统安全风险评估模型,并结合熵权理论给出了相应的风险值计算方法,以消减主观因素的影响,提高评估结果实用性。最后通过一个应用实例对该模型的实用价值进行验证。     

电信网络安全风险评估的意义及实施

本文从信息网络安全风险评估的目的、内容、标准和原则、流程和方法以及项目的管理和质量保证几个方面对信息网络安全风险评估项目的实施进行了描述和介绍 ,对电信企业或其他此类大型项目的实施有很好的指导意义。