1.3　信息安全標準化組織

1.3.1　國際組織

ISO成立于1947年2月23日，是世界上最大的非政府性國際標準化組織。“ISO”并不是首字母縮寫，而是一個單詞，它來源于希臘語，意為“相等”。從“相等”到“標準”，內涵上的聯系使“ISO”成為組織的名稱。ISO的目的和宗旨是在世界范圍內促進標準化工作的開展，以利于國際商品的交流和互助，并擴大各國在知識、科學、技術和經濟領域間的合作。

ISO的主要工作是制（修）訂與出版國際標準。其中，電工與電子工程標準由IEC負責制（修）訂，除電工與電子工程以外的所有領域標準由ISO負責，而信息技術標準化工作由ISO和IEC共同負責。1987年11月，這兩大國際組織成立了ISO/IEC的JTC1聯合技術委員會——信息技術委員會，現有50個成員團體參加其工作。ISO/IEC 27000：2018就是由聯合技術委員會ISO/IEC JTC1等制定，其秘書處是由德國標準協會承擔的。

ISO目前設正副主席各1名，財務負責人1名，秘書長1名，并設有理事會，理事會中有1個執委會，下設1個技術處，6個工作委員會，1個ISO/IEC聯合技術委員會（即前文提到的JTC1）。ISO每年召開1次全體成員大會，休會期間的日常工作由ISO中央秘書處主持。

中國于1978年加入ISO，在2008年10月的第三十一屆國際化標準組織大會上，中國正式成為ISO的常任理事國，代表中國的組織為中國國家標準化管理委員會（Standardization Administration of the People’s Republic of China，SAC）。

1.3.2　國內組織

國家標準化管理委員會是國務院授權履行行政管理職能、統一管理全國標準化工作的主管機構，成立于2001年10月。2018年3月，根據第十三屆全國人民代表大會第一次會議批準的國務院機構改革方案，將國家標準化管理委員會職責劃入了國家市場監督管理總局，對外保留牌子，以國家標準化管理委員會名義下達國家標準計劃；批準發布國家標準；審議并發布標準化政策、管理制度、規劃、公告等重要文件；開展強制性國家標準對外通報；協調、指導和監督行業、地方、團體、企業標準工作；代表國家參加國際標準化組織、國際電工委員會和其他國際或區域性標準化組織；承擔有關國際合作協議簽署工作；承擔國務院標準化協調機制日常工作。

我國信息安全標準化工作最早可追溯到20世紀80年代。1984年7月，我國組建了數據加密標準化技術委員會，并于1985年發布了第一個關于信息安全方面的標準。1997年8月，數據加密標準化技術委員會改組成全國信息技術標準化技術委員會信息技術安全分技術委員會，負責制定信息安全的國家標準，本著積極采用國際標準的原則，轉化了一批國際信息安全基礎技術標準，為我國信息安全標準化工作初步奠定了基礎。在其推動下，在公安部、國家安全部、國家保密局、國家密碼管理委員會（現國家密碼管理局）等有關部門參與下，制定了一批信息安全的國家或行業標準，為推動我國信息安全技術在各行業的應用和普及發揮了積極作用，其標準系列編號主要有GB、GB/T、GJB、BMB、GA、YD等。

2002年4月，經國家標準化管理委員會批準，在全國信息技術標準化技術委員會信息技術安全分技術委員會的基礎上，成立了全國信息安全標準化技術委員會（以下簡稱信安標委），委員會編號為SAC/TC 260，并于2004年1月發文，明確“自2004年1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經信安標委提出工作意見，協調一致后由信安標委組織申報；在國家標準制定過程中，標準工作組或主要起草公司要與信安標委積極合作，并由信安標委完成國家標準送審、報批工作”。

信安標委的成立，標志著我國信息安全標準化工作進入新時期。信安標委作為國家標準化管理委員會直屬委員會，負責全國信息安全技術、安全機制、安全管理、安全評估等領域的標準化工作，統一、協調申報信息安全國家標準項目，組織國家標準的送審、報批工作，向國家標準化管理委員會提出信息安全標準化工作的方針、政策和技術措施等建議。

信安標委下設7個工作組和1個大數據安全標準特別工作組，分別由國內相關部門、研究所、企業事業及高等院校等代表組成，共有成員公司400余家，秘書處設在中國電子技術標準化研究院。信安標委組織結構如圖1.7所示。

與信息安全管理體系相關的絕大部分標準主要等同采用或修改采用國際標準。