信息安全等级保护标准化工作的回顾与思考,崔书昆2013.6.21,前言,今年是我国第一个国家信息安全主管机构成立30周年。1983年,在我国刚刚进入改革开放、安全保密形势发生巨大变化、计算机安全问题初步显露的关键时刻,党中央、国务院审时度势,决定在公安部成立“计算机安全监察局”(第十一局),开启了我国继通信保密(安全)之后信息安全的新阶段新领域。信息安全、信息安全等级保护,是一个巨大的系统工程。30年的历程有诸多的内容值得研究。我想仅就其标准化问题一点,作个粗浅发言。,一、国际上关于标准、标准化的概念,标准ISO/IEC二号指南的定义:为在一定范围内获得最佳秩序,对活动或其结果规定的共同的和重复使用的规则、指导原则或特性的文件。该文件经协商一致,并由一个公认机构批准。,ISO/IEC在该定义下注解称:标准应以科学、技术和经验的综合成果为基础,并以促进最大社会效益为目的。,这个定义可从四方面理解:1、标准是对标准制定对象进行统一描述的一种特殊文件。2、制定标准是为了满足人类社会某种需要,取得最佳经济或社会效益。3、标准产生是以科学、技术和经验的综合成果为基础,经有关方面协商一致,由一
