国内外信息安全标准与信息安全模型PPT学习课件.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,国内外信息安全标准与模型,1,2025/7/17 周四,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的总结,问题与回答,提纲,第,2,页,2025/7/17 周四,第,3,页,信息安全标准概述,信息安全的重要性得到广泛的关注。,与此同时，国际和国内的各种官方和科研机构都发布了大量的安全标准。,这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。,第,3,页,2025/7/17 周四,第,4,页,信息安全标准的演进,第,4,页,2025/7/17 周四,第,5,页,主要的信息安全标准国际标准,发布的机构,安全标准,1,ISO,（国际标准组织）,ISO17799/ISO27001/ISO27002,ISO/IEC 15408,ISO/IEC 13335,ISO/TR 13569,2,ISACA,（,信息系统审计与控制学会）,COBIT 4.1,3,ISSEA,（国际系统安全工程协会）,SSE-CMM Systems Security Engineering-Capability Maturity Model 3.0,4,ISSA,（信息系统安全协会）,GAISP Version 3.0,5,ISF(,信息安全论坛）,The Standard of Good Practice for,Information Security,6,IETF,（互联网工程任务小组）,各种,RFC,（,Request for Comments,）,第,6,页,主要的信息安全标准国际标准,(,续）,发布的机构,安全标准,7,NIST,（国家标准和技术研究所）,NIST 800,系列,8,DOD(,美国国防部,),TCSEC,（可信计算机系统评测标准）彩虹系列,9,Carnegie Mellon Software Engineering Institute(SEI),Operationally Critical Threat,Asset,and Vulnerability Evaluation(OCTAVE)Criteria Version 2.0,10,OECD,（经济与贸易发展组织）,Guidelines for the Security of Information,Systems and Networks and Associated,Implementation Plan,11,The Open Group,Managers Guide to Information Security,12,ITIL,Security management,除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。,第,6,页,第,7,页,提纲,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的比较,问题与回答,第,7,页,2025/7/17 周四,第,8,页,主要的信息安全标准国内标准,发布的机构,安全标准,1,全国信息安全标准化技术委员会,等级保护系列标准,信息安全技术 信息系统安全等级保护基本要求,信息安全技术 信息系统安全等级保护定级指南,信息安全技术 信息系统安全等级保护实施指南,其他信息安全标准 截至,2007,年底，共,完成了国家标准,59,项，还有,56,项国家标准在研制中。,2,公安部、安全部、国家保密局、国家密码管理委员会等部门,一系列的信息安全方面的政策法规如：,计算机信息网络国际联网安全保护管理办法,互联网信息服务管理办法,计算机信息系统保密管理暂行规定,计算机软件保护条例,商用密码管理条例，等。,第,8,页,第,9,页,在下面的课程中，我们会主要介绍以下标准：,ISO,系列安全标准，包括,ISO17799/ISO27001/ISO27002,ISO/IEC 15408,ISO/IEC 13335,ISO/TR 13569,ISACA,的,COBIT 4.1,全国信息安全标准化技术委员会的等级保护系列标准,第,9,页,课程主要内容,2025/7/17 周四,目录,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的总结,问题与回答,第,10,页,2025/7/17 周四,第,11,页,国际标准化组织简介,国际标准化组织,(International Organization for Standardization),是由多国联合组成的非政府性国际标准化机构。到目前为止，,ISO,有正式成员国,120,多个,。,国际标准化组织,1946,年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准；,ISO,技术工作是高度分散的，分别由,2700,多个技术委员会,(TC),、分技术委员会,(SC),和工作组,(WG),承担。,ISO,技术工作的成果是正式出版的国际标准，即,ISO,标准。,ISO,在信息安全方面的标准主要包括：,ISO17799/ISO27001/ISO27002,ISO/IEC 15408,ISO/IEC 13335,ISO/TR 13569,第,11,页,2025/7/17 周四,第,12,页,关于,ISO/IEC 17799/27001/27002,ISO/IEC17799,是由国际标准化组织（,ISO,）与,IEC,（国际电工委员会）共同成立的联合技术委员会,ISO/IEC JTC 1,，以英国标准,BS7799,为蓝本而制定的一套全面和复杂的信息安全管理标准。,ISO/IEC17799,于,2000,年正式颁布。,ISO/IEC 17799,标准由两部分构成,:,第一部分是信息安全管理体系的实施指南，相当于,BS7799-1;,第二部分是信息安全管理体系规范，相当于,BS7799-2,。,ISO/IEC 17799,标准的内容涉及,10,个领域，,36,个管理目标和,127,个控制措施。,2005,年,ISO17799,更名为,ISO27001,和,ISO27002,，分别为：,ISO/IEC 27001:2005 Information technology-Security techniques-Information security management systems Requirements,ISO/IEC 27002:2005 Information technology-Security techniques-Code of practice for information security management,2007,年,ISO,又颁布了,Information technology-Security techniques-Requirements for bodies providing audit and certification of information security management systems.,第,12,页,2025/7/17 周四,第,13,页,ISO/IEC17799,模型,ISO/IEC 17799,标准的内容涉及,10,个领域，,36,个控制目标和,127,个控制措施。,第,13,页,2025/7/17 周四,第,14,页,ISO17799,模型,Security,Policy,Asset,Classification,And Control,Security,Organization,纪录和沟通信息系统政策和法规的审核,分配职责和分工，第,3,方授权，风险,/,控制的外包,资产的保存，对于敏感,/,商业风险的区分,第,14,页,2025/7/17 周四,第,15,页,ISO17799,模型,Personal,Security,Comm/Ops,Management,Physical and,Environment,Security,员工聘请，知识培训，事故报告等,物理安全参数，设备保护，桌面及电脑的重要文件的保护,事故流程，职责分离，系统规划，电子邮件控制,第,15,页,2025/7/17 周四,第,16,页,ISO17799,模型,Access,Control,Business,Continuity,Planning,System,Development,and,Maintenance,权限管理：包括应用系统，操作系统，网络,变更控制，环境划分，安全设备,商业可持续性计划及其框架，测试计划以及计划的维护和更新,Compliance,版权控制，记录和信息的保存，数据保护，公司制度的服从,第,16,页,2025/7/17 周四,第,17,页,ISO,/IEC,27001,/27002,:2005,的內容,总共,分成,11,个领域,、,39,个控制目标,、,133,个控制措施,。,11,个领域,包括,A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.,9,InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance,第,17,页,2025/7/17 周四,第,18,页,关于,ISO/IEC15408,90,年代开始，由于,Internet,的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题。,1991,年欧盟,(European Commission),颁布了,ITSEC(Information Technology Security Evaluation Criteria,信息技术安全评估准则,),。,在此基础上，美国、加拿大、英国、法国等,7,国组织联合研制了“信息技术评估安全公共准则”（,CC,：,Common Criteria,）。,1999,年,6,月,ISO,通过了,ISO/IEC 15408,安全评估准则（,ISO/IEC 15408:1999 Security TechniquesEvaluation Criteria for IT Security,）。目前的最新版本于,2005,年发布。,ISO/IEC 15408,是基于多个标准而产生的，它的演进过程如下图所示：,第,18,页,2025/7/17 周四,第,19,页,ISO/IEC 15408,的内容,ISO/IEC 15408,由以下三部分组成：,第一部分：介绍和一般模型,第二部分：安全功能需求,第三部分：安全认证需求,ISO/IEC 15408,准则比以往的其他信息技术安全评估标准更加规范，采用以下方式定义：,类别（,CLASS,）；,认证族（,ASSURANCE FAMILY,）；,认证部件（,ASSURANCE COMPONENT,）；,认证元素（,ASSURANCE ELEMENT,）。,其中类别中有若干族，族中有若干部件，部件中有若干元素,。,第,19,页,2025/7/17 周四,第,20,页,ISO/IEC 15408,的特点,ISO/IEC 15408,信息技术安全评估准则中讨论的是,TOE,（,target of evaluation),即评估对象。该准则关注于评估对象的安全功能，安全功能执行的是安全策略。,ISO/IEC 15408,定义了安全属性，包括用户属性、客体属性、主体属性、和信息属性。,ISO/IEC 15408,加强了完整性和可用性的防护措施，强调了抗抵赖性的安全要求。,ISO/IEC 15408,还定义了加密的要求，强调对用户的隐私保护。,ISO/IEC 15408,还讨论了某些故障、错误和异常的安全保护问题。,第,20,页,2025/7/17 周四,第,21,页,ISO/IEC15408,的类别,ISO/IEC 15408,中，类别（,class),代表最概括的分类和定义方式。包括,:,安全功能类别,，共,11,个，分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路,/,通道。,安全认知类别,，共,8,个，分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。,评估认证级别类别，,共,7,个，分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。,评估类别,，共,3,个，包括,2,个预评估类别和,TOE,评估（即评估对象的评估）。其中预评估类别分别为：,防护框架评估（,Protection Profile evaluation,简称,PP,评估）,:,评估的一般是某类安全产品，如防火墙等，提出测评的常为是行业组织；,安全目标评估（,Security Target evaluation,简称,ST,评估）：评估的一般是某一类的特定产品，如某品牌的防火墙，提出测评的常为厂商。,第,21,页,2025/7/17 周四,第,22,页,ISO/IEC15408,的评估方法,对于信息系统和产品进行安全认证,ISO/IEC15408,通常采用如下方法进行评估：,分析和检查进程与过程,检查进程和过程被应用的情况,分析,TOE,设计表示一致性,分析,TOE,设计表示与需求的满足性,验证,分析指南文档,分析功能测试和测试结果,独立功能测试,分析脆弱性（包括漏洞假说）,侵入测试等,（,TOE,是评估对象（,Target of Evaluation,）的缩写,）,第,22,页,2025/7/17 周四,第,23,页,关于,ISO/IEC 13335,ISO/IEC 13335,Information TechnologyGuidelines for the Management of IT Security,是一套关于信息安全管理的技术文件，共由五个部分组成，这五个组成部分分别在,1996,至,2001,年间发布。,第一部分：安全概念和模型（,Part 1Concepts and Models for IT Security,），发布于,1996,年,12,月,15,日。,第二部分：安全管理和规划（,Part 2Managing and Planning IT Security,），发布于,1997,年,12,月,15,日。,第三部分：安全管理技术（,Part 3Techniques for the Management of IT Security,），发布于,1998,年,6,月,15,日。,第四部分：保护的选择（,Part 4Selection of Safeguards,），发布于,2000,年,3,月,1,日。,第五部分：外部联接的防护（,Part 5Management Guidance on Network Security,），发布于,2001,年,1,月,2,日。,其中第一部分分别于,1997,年和,2004,年发布了更新版本。,第,23,页,2025/7/17 周四,第,24,页,关于,ISO13569,ISO13569,的全称为,ISO/TR 13569:2005,Financial services-Information security guidelines,。它,提供了对于金融服务行业机构的信息安全程序开发的指导方针。它包括了对制度，组织结构和法律法规等内容的讨论。,该标准对组织选择和实施安全控制，和金融机构用于管理信息安全风险的要素进行了阐述。,ISO13569,于,1997,年首次发布，分别于,2003,年和,2005,年更新，目前的最新版本为,2005,年的版本。,第,24,页,2025/7/17 周四,第,25,页,ISO/IEC 13569,的主要内容,ISO/IEC 13569,是针对金融行业的信息安全标准，包括以下主要内容：,组织的,IT,安全政策,IT,安全管理,风险分析和评估,安全保护的实施和选择,IT,系统保护,金融服务行业专题，包括如银行卡、电子资金传输,(Electronic Fund Transfer),、支票、电子商务等内容；,另外，还包括如加密、审计、事件管理等专项讨论。,第,25,页,2025/7/17 周四,第,26,页,提纲,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的比较,问题与回答,第,26,页,2025/7/17 周四,第,27,页,COBIT,简介,COBIT,（,ControlObjectivesforInformationandrelatedTechnology,）是由信息系统审计与控制学会,ISACA,（,InformationSystemsAuditandControlAssociation,）在,1996,年所公布的控制框架；,目前已经更新至第,4.1,版,;,COBIT,的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、,IT,专业人员和审计专业人员日常使用。,COBIT,框架共有,34,个,IT,的流程，分成四个领域：,PO,（,计划与组织,）、,AI,（,获取与实施,）、,DS,（,交付与支持,）、和,ME,（,监控与评估,）。,第,27,页,2025/7/17 周四,第,28,页,COBIT,来源,1992,年：,ISACF(Information System Audit and Control Foundation),发起,，,参阅全球不同国家,、政府、,标准组织的,26,份文件,后,，,基于,其中之,18,份文件，研擬,COBIT,，,同时筹组,COBIT,指导委员会,(Steering Committee),。,1996,年：,COBIT,指导委员会公布,COBIT,第一版。,1998,年：,COBIT,指导委员会公布,COBIT,第二版，將第一版之,32,個,高级控制目标,(High Level Control Objectives),扩充成,34,个,。,2000,年：,COBIT,指导委员会公布,COBIT,第三版。,2005,年：,COBIT,指导委员会公布,COBIT,第,四,版,。,2007,年：发布,COBIT 4.1,版，为目前最新版本。,第,28,页,2025/7/17 周四,第,29,页,COBIT,涉及领域,商业目标及,IT,治理目标,效率,应用系统,信息,基础架构,人力,交付与支持,监控与评估,获得与实施,信息,IT,资源,CobiT,框架,效果,保密性,完整性,可用性,合规性,DS1,定义和管理服务水平,DS2,管理第三方服务,DS3,性能管理和容量管理,DS4,确保服务的连续性,DS5,确保系统安全,DS6,确定并分配成本,DS7,教育和培训用户,DS8,服务台和紧急事件管理,DS9,配置管理,DS10,问题管理,DS11,数据管理,DS12,物理环境管理,DS13,运营管理,ME1,监控和评价,IT,绩效,ME2,监控和评价内部控制,ME3,确保与法律的符合性,ME4,提供,IT,治理,P01,定义,IT,战略计划,P02,定义,IT,信息架构,P03,确定技术导向,P04,定义,IT,过程,/,组织和关系,P05 IT,投资管理,P06,传递管理目标和方向,P07 IT,人力资源管理,P08,质量管理,P09 IT,风险评估及管理,P10,项目管理,AI1,识别自动化解决方案,AI2,获取并维护应用软件,AI3,获取并维护技术基础设施,AI4,保障运营和使用,AI5,获取,IT,资源,AI6,变革管理,AI7,安装,/,授权解决方案和变更,计划与组织,可靠性,第,29,页,2025/7/17 周四,第,30,页,COBIT,的组件,实施概要,管理层指引,具体控制目标,构架,伴随高级控制目标,关键职能和目标说明,关键的成功因素,成熟的模板,审计指引,实施工具,第,30,页,2025/7/17 周四,第,31,页,COBIT,框架的原理,控制领域,(Domains),流程,(Processes),活动,(Activities/Tasks),人 力 资 源,应 用 系 统,基 础 架 构,信 息,信息技术资源,可信赖性需求,质 量 需 求,信 息 处 理 要 求,信息技术流程,安 全 性,需 求,第,31,页,2025/7/17 周四,第,32,页,COBIT,框架的原理,IT,流程管理各种,IT,资源，以产生、传递并存储可满足业务需求的各种信息。,CobiT,中定义的,IT,资源包括如下方面：,应用系统：处理信息的自动化信息系统及相应手册程序,信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式使用,基础架构：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境）,人员：策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员，可以是内部的也可以是外部的,应用系统,信息,基础架构,人员,IT,资源,信息处理要求,IT,流程,第,32,页,2025/7/17 周四,第,33,页,提纲,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的总结,问题与回答,第,33,页,2025/7/17 周四,第,34,页,全国信息安全标准化技术委员会简介,中国从,1984,年开始就组建了数据加密技术委员会，并在,1997,年,8,月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息安全的国家标准。,2001,年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，简称“全国安标委”。标准委员会的标号是,TC260,。,全国信息安全标准化技术委员会包括四个工作组：,信息安全标准体系与协调工作组,PKI,和,PMI,工作组,信息安全评估工作组,信息安全管理工作组,截至,2007,年底，全国信息安全标准化技术委员会已经完成了国家标准,59,项，还有,56,项国家标准在研制中。,第,34,页,2025/7/17 周四,第,35,页,等级保护是什么？,等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理,根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。,第,35,页,2025/7/17 周四,第,36,页,等级保护法律和政策依据,中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定：,“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”,计算机信息系统安全保护等级划分准则,GB17859-1999（,技术法规）规定：,“,国家对信息系统实行五级保护。”,国家信息化领导小组关于加强信息安全保障工作的意见重点强调：,“,实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。”,第,36,页,2025/7/17 周四,第,37,页,等级保护的分级,等级保护分为,5,级管理制度：,第一级，自主保护级,：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。,第二级，指导保护级,：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,第三级，监督保护级,：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,第四级，强制保护级,：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。,第五级，专控保护级,：信息系统受到破坏后，会对国家安全造成特别严重损害。,第,37,页,2025/7/17 周四,第,38,页,安全保护要素与等级关系,业务信息安全被破坏时所侵害的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,第,38,页,等级保护监管级别与等级对应情况,等级,对象,侵害客体,侵害程度,监管强度,第一级,一般系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导,社会秩序和公共利益,损害,第三级,重要系统,社会秩序和公共利益,严重损害,监督检查,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查,第,39,页,第,40,页,等级保护定级流程,信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体得侵害程度可能不同，因此信息系统定级也应由业务信息安全和系统服务安全两方面确定。具体流程为：,确定业务信息安全受到,破坏时所侵害的客体,综合评定对客体的侵害程度,确定定级对象,业务信息安全等级,定级对象的安全保护等级,确定系统服务安全受到,破坏时所侵害的客体,综合评定对客体的侵害程度,系统服务安全等级,第,40,页,2025/7/17 周四,第,41,页,等级保护定级对象确定,作为定级对象的信息系统应具有如下基本特征：,具有唯一确定的安全责任单位,能够唯一地确定其安全责任单位,具有信息系统的基本要素,承载单一或相对独立的业务应用,第,41,页,2025/7/17 周四,等级保护的基本要求,信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，,基本安全要求分为,基本技术要求,和,基本管理要求,两大类。二者都是确保信息系统安全不可分割的两个部分。,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。,除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。,第,42,页,等级保护的基本要求（续）,基本技术要求,基本管理要求,与信息系统提供的,技术安全机制,有关,；,-,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现,。,与信息系统中,各种角色参与的活动,有关；,-,主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。,基本技术要求从,物理安全、网络安全、主机安全、应用安全和数据安全,几个层面提出。,基本管理要求从,安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,几个方面提出。,第,43,页,第,44,页,提纲,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的总结,问题与回答,第,44,页,2025/7/17 周四,第,45,页,信息安全标准总结,世界各国近几年来发布了各种各样的信息安全标准。,各种标准的对象、目的和范围都有所不同。,各个标准之间尽管侧重点不同，但原则上也有很多共同之处：,基于风险，即以信息安全风险为主要的探讨对象，为组织如何管理信息安全风险提供指导；,提供有关安全控制的操作实践；,各个标准建议的操作实践本身基本没有冲突。,第,45,页,2025/7/17 周四,第,46,页,关注的安全领域,安全标准,关注的安全领域,安全管理组件,安全原则,概括性的安全控制,详细的控制活动,安全模型或方法论,ISO/IEC,17799,ISO/IEC,13335,ISO/TR 13569,ISO/IEC 15408,COBIT,等级保护,第,46,页,关注的信息技术资源,安全标准,关注的信息技术资源,人员,People,应用程序,Applications,技术,Technology,设施,Facilities,数据,Data,ISO/IEC,17799,O,ISO/IEC,13335,ISO/TR 13569,O,ISO/IEC 15408,O,COBIT,等级保护,O,O,注释：较多描述,O:,中等详细程度：较少描述,第,47,页,第,48,页,认证,安全标准,认证信息,ISO/IEC,17799,本身不提供认证，但可以作为,BS7799,的认证参考指引。,ISO/IEC,13335,不提供认证。,ISO/TR 13569,不提供认证。,ISO/IEC 15408,为安全产品和系统提供认证标准。,COBIT,不提供认证。,等级保护,不适用。,第,48,页,