信息安全测评认证理论与实践【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

信息安全测评认证理论与实践PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

导论1

0.1 引言1

0.2 客观看待信息安全问题1

0.3 信息安全是一个治理问题2

0.4 测评认证是信息安全治理的有效手段3

0.5 本书的结构4

0.6 致谢4

1.1.1 物理安全8

1.1 信息安全概念的发展历程8

第1章 信息安全观的发展8

第1篇 信息安全测评认证8

1.1.2 通信保密9

1.1.3 计算机安全10

1.1.4 信息安全13

1.1.5 运行安全17

1.1.6 系统安全18

1.1.7 系统可靠性19

1.1.8 信息安全保障19

1.2 对信息安全概念的历史评述22

2.1 引言24

第2章 信息安全测评认证标准的发展24

2.2 标准组织机构发展概述25

2.2.1 国际信息安全标准组织25

2.2.2 我国信息安全标准组织26

2.3 信息安全测评认证标准体系27

2.3.1 国外信息安全测评标准概述27

2.3.2 我国信息安全测评认证标准的发展31

第3章 信息安全测评认证的模型与方法33

3.1 信息安全原理与模型33

3.1.1 多级安全模型33

3.1.2 多边安全模型39

3.1.3 健壮性模型42

3.1.4 基于时间的PDR模型44

3.1.5 分布式动态主动模型44

3.2 信息安全的测度模型与方法45

3.2.1 安全审计45

3.2.2 风险分析45

3.2.3 能力成熟度模型46

3.2.4 安全测评49

3.3.1 信息安全评估准则50

3.3 信息安全评估准则与方法50

3.3.2 信息安全评估方法59

3.3.3 信息安全保障体系有效性验证方法64

3.3.4 信息安全评估准则的发展趋势70

3.4 信息安全认证模式与方法70

3.4.1 信息安全认证模式70

3.4.2 信息安全认证方法71

第4章 现代信息安全测评认证体系80

4.1 概述80

第2篇 测评认证体系的组织与管理80

4.2 组织形式81

4.2.1 IT安全评估申请者81

4.2.2 国家认证机构81

4.2.3 授权测评机构81

4.3 测评认证过程82

4.3.1 认证申请82

4.3.2 测评过程82

4.3.3 认证过程83

4.3.4 认证维持83

4.4.1 美国的信息安全测评认证制度84

4.4 国外信息安全测评认证制度84

4.4.2 英国的信息安全测评认证制度86

4.4.3 澳大利亚的信息安全测评认证制度87

4.4.4 加拿大的信息安全测评认证制度88

4.4.5 德国的信息安全测评认证制度89

4.4.6 法国的信息安全测评认证制度90

4.4.7 荷兰的信息安全测评认证制度90

4.4.8 西班牙的信息安全测评认证制度90

4.4.10 韩国的信息安全测评认证制度91

4.4.9 以色列的信息安全测评认证制度91

4.4.11 日本的信息安全测评认证制度92

4.5 中国信息安全测评认证制度的建立和发展92

4.5.1 认证体系与认证机构92

4.5.2 测评机构93

4.6 信息安全测评认证的国际互认情况93

第5章 认证机构的组织与管理95

5.1 认证机构概述95

5.1.1 认证机构的体制要求95

5.1.2 认证机构的主要职责95

5.1.3 认证机构的组织管理95

5.1.5 信息安全认证管理委员会96

5.1.4 认证机构的国际协作96

5.2 认证机构的必备条件97

5.3 认证机构的质量政策97

5.3.1 质量方针97

5.3.2 信息保密政策98

5.3.3 记录管理制度98

5.4 认证机构的管理体系98

5.5 认证机构的质量管理98

5.5.3 内部审核99

5.5.4 管理评审99

5.5.2 质量文档99

5.5.1 质量主管99

5.5.5 投诉和申诉100

5.5.6 质量管理记录101

5.6 认证机构的资源管理101

5.6.1 认证人员101

5.6.2 认证培训102

5.6.3 认证合同102

5.7.2 解释程序103

5.7.1 认证程序103

5.7 评估监督和认证管理103

5.6.4 资源管理记录103

5.7.3 评估监督和认证记录104

5.8 认证机构的记录管理104

5.8.1 记录管理104

5.8.2 文档控制106

5.8.3 证书管理107

5.9 对授权测评机构的管理108

5.9.1 对授权测评机构的认可要求108

5.9.4 批准／认可的更新109

5.9.3 扩大或缩小授权测评机构认可范围109

5.9.2 确定并维护测试方法109

5.9.5 批准／认可的撤销或暂停110

5.9.6 审核110

5.9.7 能力测试的制定和维护110

5.9.8 对授权测评机构管理的记录111

5.10 认证维持管理112

5.10.1 认证维持程序112

5.10.2 认证维持记录112

6.2 授权测评机构的认可113

6.1 授权测评机构概述113

第6章 授权测评机构的组织与管理113

6.2.1 获得认证机构认可114

6.2.2 获得国家认可机构认可114

6.2.3 认可范围114

6.4 授权测评机构的质量体系115

6.4.1 质量体系要求115

6.4.2 质量体系文件层次图115

6.3.2 审核115

6.3.1 批准／认可的更新115

6.3 授权测评机构的资格维持115

6.4.3 授权测评机构质量体系116

第3篇 测评认证的规范与指南120

第7章 评估监督与认证规范120

7.1 认证过程概述120

7.1.1 认证目标120

7.1.2 认证活动120

7.1.3 认证准备阶段121

7.1.4 认证监督阶段121

7.2 认证员职责122

7.2.1 监督评估过程122

7.1.5 认证决定阶段122

7.2.2 确认评估结果123

7.2.3 代表认证机构123

7.2.4 协调认证项目123

7.2.5 提供技术支持124

7.3 认证准备阶段124

7.3.1 评审124

7.3.2 会议125

7.4 认证监督阶段126

7.4.1 评估监督126

7.3.3 记录126

7.4.2 评审127

7.4.3 会议129

7.4.4 观察与见证130

7.4.5 记录130

7.5 认证决定阶段131

7.5.1 记录131

7.5.2 会议132

7.6 认证记录系统132

7.6.1 认证记录132

7.6.3 评估证据133

7.6.2 记录标识和索引133

7.6.5 硬拷贝记录134

7.6.6 停止认证记录134

7.7 认证支持机制134

7.7.1 技术支持134

7.7.2 解释134

7.6.4 电子记录134

7.7.3 补救行为135

7.7.4 评估问题的解决程序135

7.7.5 认证机构交流机制137

8.1.1 认证维持的目的138

8.1.2 认证维持生命周期138

第8章 认证维持规范138

8.1 认证维持概述138

8.2 认证维持程序140

8.2.1 CMP接受140

8.2.2 CMP维持141

8.2.3 CMP各参与方143

8.2.4 TOE变化的CMP范围144

8.2.5 AMA概念和模型的应用145

8.3.1 开发者职责146

8.3 产品开发者职责146

8.2.6 CMP记录保存146

8.2.7 索取解释146

8.2.8 其他CMP管理任务146

8.3.2 安全分析员职责147

8.4 申请者职责148

8.4.1 申请者的CMP相关职责148

8.4.2 委托多个授权测评机构148

8.5.3 CMP评估职责149

8.6.1 认证机构职责149

8.6 认证机构职责149

8.5.2 参加CMP任务的授权测评机构员工149

8.5.1 对授权测评机构的认可149

8.5 授权测评机构与评估者职责149

8.6.2 认证员职责150

第9章 认证申请指南151

9.1 认证申请者概述151

9.2 认证机构的服务支持151

9.3 授权测评机构的咨询支持151

9.5.1 评估申请过程152

9.5 评估前阶段152

9.4 信息访问与发布授权152

9.4.1 私有或敏感信息152

9.4.2 公开信息152

9.5.2 申请者的责任153

9.5.3 授权测评机构的责任153

9.5.4 认证机构的责任153

9.6 评估阶段154

9.6.1 评估过程154

9.6.2 申请者的责任154

9.6.5 投诉和申诉155

9.7 评估后阶段155

9.6.3 授权测评机构的责任155

9.6.4 认证员的责任155

9.7.1 证书发放156

9.7.2 评估记录管理156

9.7.3 认证证书维持156

10.1.2 体系中各机构的法定地位和职能158

10.1 中国信息安全测评认证组织体系158

10.1.1 中国信息安全测评认证体系描述158

第10章 中国信息安全测评认证体系158

第4篇 测评认证的实践与探索158

10.1.3 相关文件160

10.2 我国信息安全测评认证标准165

10.2.1 信息技术安全性评估准则166

10.2.2 信息产品安全技术要求167

10.2.3 通用评估方法168

10.2.4 信息安全管理标准168

10.2.6 认证机构的能力要求169

10.2.5 系统安全工程能力成熟度模型169

10.2.7 检验和校准实验室的能力的要求170

10.3 中国信息安全测评认证业务体系170

10.3.1 产品认证170

10.3.2 系统认证170

10.3.3 服务资质认证171

10.3.4 人员资质认证171

10.4 信息安全测评认证体系在中国信息化建设中的作用171

10.4.1 信息安全测评认证的安全保障作用171

10.4.2 信息安全测评认证的技术壁垒作用172

11.2 信息产品安全测评认证级别173

11.1 信息产品安全测评认证概述173

第11章 信息产品安全测评认证实践173

11.3 信息产品安全测评认证流程174

11.3.1 准备阶段174

11.3.2 评估阶段175

11.3.3 认证阶段175

11.3.4 证后监督及维持阶段175

12.1.1 信息系统安全认证内涵177

12.1.2 信息系统安全测评认证意义177

12.1 信息系统安全测评认证概述177

第12章 信息系统安全测评认证实践177

12.2 信息系统安全测评认证的基础与原则178

12.2.1 信息系统安全保障评估178

12.2.2 信息系统安全保障评估准则基本组成180

12.2.3 信息系统的分级原则181

12.2.4 信息系统的安全测评认证方法182

12.2.5 信息安全产品的采购原则182

12.3 信息系统安全测评认证程序183

12.3.1 测评认证流程183

12.3.2 安全评估阶段183

12.3.4 认证监督阶段185

12.3.3 安全认证阶段185

第13章 信息安全服务资质认证实践186

13.1 信息安全服务资质认证概述186

13.1.1 信息安全服务概述186

13.1.2 信息安全服务资质评估186

13.2 信息安全工程过程及能力级别186

13.2.1 信息安全工程过程186

13.2.2 信息安全工程过程能力级别187

13.2.3 信息安全服务资质等级划分188

13.3 信息安全服务资质认证流程189

13.3.1 申请190

13.3.2 评审190

13.3.3 认证与公布190

13.3.4 保持认证190

13.3.5 认证发展191

13.3.6 处置191

13.3.7 争议、投诉与申诉191

13.3.8 认证企业档案191

14.1.2 认证概述192

14.1.1 认证背景192

第14章 注册信息安全专业人员认证实践192

14.1 注册信息安全专业人员认证概述192

14.2 注册信息安全专业人员认证体系193

14.2.1 知识体系193

14.2.2 课程体系193

14.3 注册信息安全专业人员认证流程195

14.3.1 申请阶段195

14.3.3 认证阶段196

14.3.4 认证维持阶段196

14.3.2 评估阶段196

附录A 参考文献197

附录B 缩略语及认证体系术语表200

1．缩略语200

2．认证体系术语表203

附录C 国内外测评认证机构联系方式207

C.1 中国207

C.2 美国208

C.3 英国210

C.4 澳大利亚210

C.6 德国211

C.5 加拿大211

C.7 法国213

C.8 以色列214

C.9 韩国214

C.10 日本214

C.14 挪威215

C.15 西班牙215

C.16 瑞典215

C.13 荷兰215

C.12 意大利215

C.11 匈牙利215

C.17 土耳其216

附录D 评估案例——智能卡的安全评估217

1．序言217

2．参与机构217

3．智能卡面临的威胁217

4．评估依据219

5．评估申请阶段219

6．评估实施阶段219

7．评估认证阶段229

8．结语229