CC是什么?EAL又是什么?如何进行CC认证实施?CC:信息技术安全性评估准则,全称为“Common Criteria for Information Technology Security Evaluation”。CC标准是由美国、加拿大和欧洲共同体共同起草的单一通用准则,旨在统一信息安全评估标准。
CC(Common Criteria)认证是国际标准,用于评估计算机相关产品与信息技术产品的安全性。此标准由ISO15408定义,最新版本为1修订版5。CC认证基于保护配置文件(Protection Profile, PP),开发者需按照PP中的安全功能要求(SFR)与安全功能保证要求(SAR)开发产品,以满足认证需求。
cc的内容 EAL1:功能测试级。适用在对正确运行要求有一定信心的场合,此场合下认为安全威胁并不严重。个人信息保护就是其中一例。EAL2:结构测试级。在交付设计信息和测试结果时,需要开发人员的合作。但在超出良好的商业运作的一致性方面,不要花费过多的精力。EAL3:系统测试和检查级。
① 国际通用准则(CC)CC是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。1996年6月,CC第一版发布;1998年5月,CC第二版发布;1999年 10月CC V1版发布,并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC,并充分突出了“保护轮廓”概念。
1、上海市信息安全测评认证中心提供全面的业务服务,旨在确保各类信息系统的安全性。其核心业务包括: 产品安全认证:对信息安全产品进行强制认证检测(ISCCC国家信息安全产品认证)和IT产品安全认证(ISCCC产品信息安全认证),涵盖产品功能、性能的单项测试,以及软件产品的全面评估。
2、中心在测评理论、标准、方法和技术上持续创新,核心能力涵盖信息技术产品安全测评、信息系统安全测评、评估服务及信息安全管理体系咨询,业务范围已扩展至二十余种,为上海市及国家信息安全保障体系贡献力量。
3、中国金融电子化公司,可提供网络支付、银行卡收单及预付卡发行与受理服务。 上海市信息安全测评认证中心,涵盖上述所有业务。 银行卡检测中心,同样具备全面的支付服务检测能力。 工业和信息化部计算机与微电子发展研究中心(中国软件评测中心),专注于网络支付和银行卡收单业务。
4、依据国家信息安全管理的法律法规、《认证认可条例》及相关实施规则,中国信息安全认证中心在其指定的业务范围内,对信息安全产品实施认证。此外,中心还负责开展信息安全相关管理体系的认证、人员培训、技术研发等工作。
5、在强制性产品认证的产品范围内,中国信息安全认证中心被指定为无线局域网产品和信息安全产品的认证机构。 信息安全管理体系 随着病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍活动等问题日益增多,信息安全问题已成为威胁组织生存和发展的重大安全隐患。
6、中国信息安全认证中心的主要职责包括在国家认监委的许可范围内进行认证工作,确保按照既定的业务规定进行操作。中心致力于信息安全认证相关的标准制定和检测技术、评价方法的研发,为构建和完善信息安全认证体系提供坚实的科技支持。
1、在信息安全领域,中国信息安全测评中心发挥着关键作用,负责测评认证一系列与信息安全相关的产品、系统、服务以及专业人员资质。这一系列项目旨在确保信息技术产品的安全性、评估和认证国内信息系统的安全性,审核和评估提供信息安全服务的组织和单位的资质,以及对信息安全专业人员的资质能力进行考核和认证。
2、CISM:同样是来自中国信息安全测评中心的“注册信息安全员”(Certified Information Security Member)认证,主要面向信息安全从业人员和管理人员。CISM分为初级、中级和高级三个等级,认证能帮助掌握保障信息系统安全的基本知识和技能,具备从事信息安全相关工作的基本能力。
3、NSACE,即“网络安全能力评估和认证工程师”(Network Security Ability Certification Engineer),是由中国信息安全测评中心(CISP)授权的一种职业资格认证。这种认证着重于评估和认证个人在网络安全领域的技能,涵盖了网络安全知识、技术应用及实际操作能力等方面。
4、CISP-PTE(中国信息安全测评中心颁证)CISP-PTE针对高级应用安全人才,是实践与理论结合的渗透测试认证,持有者如深信服、360等大厂可免技术面试。是白帽高手的象征,有助于直接入职。
5、中国信息安全产品测评认证中心依据GB17859-1999《计算机信息系统安全保护等级划分准则》进行测评。 该中心参照GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》制定测评标准。 在进行信息安全评估时,中心采用GB/T 19716-2005《信息技术 信息安全管理实用规则》作为参考。
