摘要
本文从CC和ISMS的发展过程、现状、应用的风险模型以及框架设计四个方面进行了比较。
This paper compares the history,present,the risk model and the framework of CC and ISMS
引文
[1]石竑松,高金萍,贾炜,等.CC标准中安全架构与策略模型的分析方法[J].清华大学学报(自然科学版),2016,56(05):493-498.
[2]谭良,佘堃,周明天.信息安全评估标准研究[J].小型微型计算机系统,2006(04):634-637.
[3]刘伟,张玉清,冯登国.通用准则评估综述[J].计算机工程,2006(01):171-173.
[4]黄元飞,陈晓桦.国家标准GB/T 18336介绍(一)[J].信息安全与通信保密,2001(06):70-71.
[5]James Backhouse,Carol W Hsu,Leiser Silva.Circuits of Power in Creating de jure Standards:Shaping an International Information Systems Security Standard[J].MIS Quarterly,2006(30):143-438.
[6]谢宗晓,王静漪.ISO/IEC 27001与ISO/IEC 27002标准的演变[J].中国标准导报,2015(07):48-52.
1)ISO/IEC JTC 1/SC 27/WG 3:安全评价、测试和规范(security evaluation,testing and specification)。
2)ISO/IEC JTC 1/SC 27/WG 1:信息安全管理体系(information security management systems),ISO/IEC JTC 1/SC 27目前设有5个组,除了已经提到的WG 1和WG 3,还有WG 2:密码与安全机制(cryptography and security mechanisms),WG 4:安全控制与服务(security controls and services)和WG 5:身份管理与隐私技术(identity management and privacy technologies)。另外,还设有AG 1:管理咨询组(management advisory group)和SWG-T:横向项目(transversal items)。
3)将Evaluation翻译为评估,是沿用了GB/T 18336.1-2001的翻译。
4)James Backhouse是伦敦政经大学教授,研究方向为信息系统管理,信息安全管理。
5)http://www.commoncriteriaportal.org/,该网站可以下载所有版本CC和CEM,以及CCRA(互认协议通用准则,Common Criteria Recognition Arrangement)。
6)对策(countermeasure),该词汇含义与GB/T 22080-2016/ISO/IEC 27001:2013中的“控制”类似,在早期信息安全风险评估标准中,例如ISO/IEC13335-3:1998用的也是countermeasure。