信息安全管理国际国内标准现况

　　近30年来，网络技术发展很快，应用很广。随着计算机网络的建设和应用，对网络的信息安全也提出了很高要求。与此同时，国际国内的有关标准化组织对信息安全标准化工作非常重视，先后制定了不少的安全技术标准。

　　1984年，国际标准化组织（ISO）的ISO/TC97“信息处理系统”标准化技术委员会组建了SC20“数据加密”分技术委员会（最先是工作组），着手组织制定安全技术方面的国际标准。1987年，ISO/TC97“信息处理系统”标准化技术委员会改为ISO/IEC JTC1“信息技术”标准化技术委员会。同年，SC20“数据加密”分技术委员会也改为ISO/IEC JTC1/SC27“信息技术的安全技术”分技术委员会。ISO/IEC JTC1/SC27的工作范围是负责IT安全的通用方法和技术的标准化工作。到目前为止，JTC1/SC27已制定了信息技术方面的国际标准共计70个。其中，安全管理方面的国际标准主要如下：
　　ISO/IEC13335-1：2004　信息技术　安全技术　信息和通信技术安全管理 第1部分:信息和通信技术安全管理概念和模型（代替ISO/IEC 13335-1：1996）
　　ISO/IEC TR13335-2：1997　信息技术　IT安全管理指南　第2部分:管理和规划IT安全（由13335-1：2004代）
　　ISO/IEC TR13335-3：1998　信息技术　IT安全管理指南　第3部分:IT安全的管理技术
　　ISO/IEC TR13335-4：2000　信息技术　IT安全管理指南　第4部分:防护措施的选择
　　ISO/IEC TR13335-5：2001　信息技术　IT安全管理指南　第5部分:网络安全管理指南
　　ISO/IEC 17799：2005　信息技术　信息安全管理实用规则（代替ISO/IEC 17799：2000）
　　ISO/IEC TR27001：2005　信息技术　安全技术　信息安全管理体系 要求

　　我国对安全技术的标准化工作一直非常重视，于1984年6月，由全国计算机与信息处理标准化技术委员会组建了“数据加密”直属工作组（后来转为分技术委员会）。于1992年改为“全国信息技术”标准化技术委员会的“信息技术安全”分技术委员会。于2002年单独成立“全国信息安全”标准化技术委员会。到目前为止，该标准化技术委员会已制定了（已发布）信息技术方面的我国国家标准共计53个。其中，安全管理方面的国家标准主要如下：
　　GB/T 19715.1-2005　信息技术　信息技术安全管理指南　第1部分:信息技术安全概念和模型（ISO/IEC 13335-1：1996，IDT）
　　GB/T 19715.2-2005　信息技术　信息技术安全管理指南　第2部分:管理和规划信息技术安全（ISO/IEC 13335-2：1997，IDT）
　　GB/T 19716-2005　信息技术　信息安全管理实用规则（ISO/IEC 17799：2000，MOD）
　　GB/T 20269-2006　信息安全技术　信息系统安全管理要求
　　对于这些国家标准，名称后面括号中的内容是采用的国际标准号及其采用程度。其中ISO/IEC 13335-1：1996和ISO/IEC 17799：2000已有新版本；同时，ISO/IEC 13335-2：1997也并入ISO/IEC13335-1：2004。