下载掌阅APP,畅读海量书库
立即打开
ANSI(American National Standards Institute,美国国家标准学会)成立于1918年,总部设在纽约,是一个非营利性质的民间标准化团体,也是国际标准化组织(ISO)的成员单位。截至2020年1月,有超过240个标准开发机构通过了ANSI认证,有超过12.5万家公司和350万专业人士参与。ANSI已发布美国国家标准11500多个。
BSI(British Standards Institution,英国标准学会)成立于1901年,总部设在伦敦,是一个非营利机构。经过100多年的发展,现已成为世界闻名的,集标准研发、标准技术信息提供、产品测试、体系认证和商检服务五大互补性业务于一体的国际标准服务提供商,面向全球提供服务。BSI目前在世界110个国家和地区设有办事处或办公室,拥有员工5500人,其中75%在英国之外。
SAC(Standardization Administration of the People's Republic of China,中国国家标准化管理委员会)成立于2001年10月,总部设在北京,是国家质检总局管理的直属事业单位,履行国务院授权的行政管理职能,统一管理全国标准化工作。2018年3月起,SAC划入国家市场监督管理总局,SAC职责和名称不变。
我国与风险管理方向相关的标准化组织有“全国风险管理标准化技术委员会”(SAC/TC 310)和“全国信息安全标准化技术委员会”(SAC/TC 260) [13] 。
2007年11月,全国风险管理标准化技术委员会(SAC/TC 310)成立,秘书处设在中国标准化研究院,主要负责风险管理领域国家标准的制定和修订工作,对口ISO/TC 262。全国风险管理标准化技术委员会(SAC/TC 310)是我国负责风险管理标准化的技术委员会,风险管理的术语、方法、指南等相关基础,风险识别、风险分析、风险评估等风险管理技术,以及公司治理、业务持续管理、合同、人力资源管理、外购管理、公共政策制定等典型活动的风险管理等标准化技术工作。全国风险管理标准化技术委员会(SAC/TC 310)已经制定的风险管理相关国家标准如下。
● GB/T 23694—2009《风险管理 术语》
● GB/T 24353—2009《风险管理 原则与实施指南》
● GB/T 24420—2009《供应链风险管理指南》
● GB/T 26317—2010《公司治理风险管理指南》
● GB/T 27921—2011《风险管理 风险评估技术》
● GB/T 27914—2020《企业法律风险管理指南》
全国信息安全标准化技术委员会(SAC/TC 260)于2002年4月15日成立,秘书处设在中国电子技术标准化研究院,是国际标准化组织/第一联合技术委员会/安全技术分技术委员会安全技术分技术委员会(SC27)在中国开展标准化工作的接口单位,主要工作范围包括信息安全技术、机制、服务、管理、评估等领域的标准化技术工作。
图2-2是SAC/TC 260工作组布局。共有七个组:WG1(信息安全标准体系与协调工作组)的任务是研究信息安全标准体系,跟踪国际信息安全标准发展动态,研究、分析国内信息安全标准的应用需求,研究并提出新工作项目及工作建议;WG2(涉密信息系统安全保密标准工作组)的任务是研究提出涉密信息系统安全保密标准体系,制定和修订涉密信息系统安全保密标准;WG3(密码技术标准工作组)的任务是对密码算法、密码模块、密钥管理标准进行研究与制定;WG4(鉴别与授权标准工作组)的任务是对国内外PKI(Public Key Infrastructure,公钥基础设施)/PMI(Project Management Institute,项目管理协会)标准进行分析、研究和制定;WG5(信息安全评估标准工作组)的任务是调研国内外测评标准现状与发展趋势,研究提出测评标准项目和制定计划;WG6(通信安全标准工作组)的任务是调研通信安全标准现状与发展趋势,研究提出通信安全标准体系,制定和修订通信安全标准;WG7(信息安全管理标准工作组)的任务研究信息安全管理动态,调研国内管理标准需求,研究提出信息安全管理标准体系,制定信息安全管理相关标准;SWG-BDS(大数据安全特别工作组)的任务是负责大数据和云计算相关的安全标准化研制工作。
图2-2 SAC/TC 260工作组布局
全国信息安全标准化技术委员会(SAC/TC 260)目前已发布标准290个,其中与信息安全风险管理相关的也有很多,本书主要涉及以下国家标准:
● GB/T 20984《信息安全技术 信息安全风险评估规范》(2018征求意见稿)
● GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》
● GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》
● GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》
● GB/T 33132—2016《信息安全技术 信息安全风险处理实施指南》
● GB/T 36466—2018《信息安全技术 工业控制系统风险评估实施指南》
● GB/T 36637—2018《信息安全技术 ICT供应链安全风险管理指南》
国际上很多国家都在风险管理、信息安全等领域设立了相关的标准化组织,并制定了自己的标准。
美国ANSI等标准化组织是国际标准的积极制定者,ANSI与风险管理相关的标准,叫作《网络风险的财务管理:首席财务官实施框架》,网络风险的财务管理标准引入了一个新的框架来管理和降低与网络攻击相关的财务风险,这些攻击会威胁到企业和社会的安全。
除了ANSI,美国还有一个重要的标准化组织,名为NIST(National Institute of Standards and Technology,美国国家标准与技术研究院)。NIST直属美国商务部,从事物理、生物和工程方面的基础和应用研究,以及测量技术和测试方法方面的研究,提供标准、标准参考数据及有关服务,在国际上享有很高的声誉。NIST SP 800(Special Publications 800)是美国NIST发布的一系列关于信息安全的指南。在NIST的发布的系列文件中,虽然NIST SP系列并不是正式的法定标准,但在实际工作中,该系列已经成为许多国家认可的事实标准和权威指南。目前,NIST SP 800系列包含近90个同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育到安全控制措施的一整套信息安全管理体系。目前已经发布的SP标准为182项,其中有关信息安全风险管理的标准如下:
● NIST SP 800-30《IT系统风险评估实施指南》
● NIST SP 800-37《信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法》
● NIST SP 800-39《信息安全风险管理:组织、使命和信息系统》
● NIST SP 800-53《联邦信息系统和组织的安全和隐私控制》
● NIST SP 800-55《信息安全评测指南》
● NIST SP 800-60《信息和信息系统安全分类指南》
作为全球权威的标准研发和国际认证评审服务提供商,BSI倡导制定了世界上流行的ISO 9000、ISO/IEC 27000系列管理标准,在全球多个国家拥有注册客户,注册标准涵盖质量、环境、健康和安全、信息安全、电信和食品安全等几乎所有领域。BSI有5大业务部门,4大业务,管理着24万个现行的、7000个正在研制的英国国家标准。BSI已经发布与风险管理相关的标准包括BS 7799-3《信息安全风险管理指南》、BS ISO/IEC 19770-5《IT 资产管理的概述和术语》、BS ISO/IEC 19770-8《IT资产管理—工业实践与ISO/IEC 19770系列标准之间的映射指南》等。
DIN(德国标准化学会),成立于1917年,总部设在德国柏林,是德国最大的具有广泛代表性的公益性标准化民间机构。DIN于1951年加入了国际标准化组织。
AFNOR(法国标准化协会),成立于1926年,总部设在法国巴黎,是法国政府认可并资助的公益性非营利机构。AFNOR于1947年加入了国际标准化组织。
JISC(日本工业标准调查会),成立于1949年,总部设在日本东京,是根据日本工业标准化法建立的全国性标准化管理机构。JISC于1952年加入国际标准化组织。
SA(澳大利亚标准协会),成立于1922年,总部设在澳大利亚悉尼,是非政府非营利的标准化组织。SA于1947年加入国际标准化组织。澳大利亚/新西兰标准联合技术委员会在1995年发布的AS/NZS 4360:1995在全球引起了一定的关注。
CSA(加拿大标准协会),成立于1919年,总部设在加拿大多伦多,是一个独立的私营机构。CSA于1947年加入国际标准化组织。1997年,加拿大发布了CAN/CSA-Q850《风险管理—决策者指南》。与AS/NZS 4360:1995不同的是,加拿大的风险管理专家们在其标准中强调了沟通与咨询的重要性。
1991年,挪威标准机构在奥斯陆发布的《风险分析要求》(挪威语),是全球第一个与风险相关的标准,从此开始了持续至今的风险管理标准化之路。《风险分析要求》虽然不是一个典型的风险管理标准,但已经开始具备了一些风险管理标准的要素,这些要素到今天仍然存在。各个国家在国际标准化组织的指导下,不同程度地开展了对风险管理相关标准的研究、制定和实施。