论文部分内容阅读
建立一个信息安全标准或规范时,有两种可能的发布选择,一种是将其作为强制性的标准(Mandatory Standard)发布,即标准规定范围的主体必须加以执行,否则以违规甚至以违法论处,例如目前的等级保护标准;另一种方式是作为自愿执行的标准(Voluntary Standard)发布,相关主体可以选择执行或不执行。这种标准也称之为推荐标准,即虽不强求执行,但执行会带来一定益处,故加以推荐,例如《信息技术安全性评估准则》(即CC标准),遵照CC一个安全保障级别来开发信息技术产品可提高该产品的安全可信度,