强制性的安全标准与自愿的安全标准

摘要

建立一个信息安全标准或规范时,有两种可能的发布选择,一种是将其作为强制性的标准（Mandatory Standard）发布,即标准规定范围的主体必须加以执行,否则以违规甚至以违法论处,例如目前的等级保护标准;另一种方式是作为自愿执行的标准（Voluntary Standard）发布,相关主体可以选择执行或不执行。这种标准也称之为推荐标准,即虽不强求执行,但执行会带来一定益处,故加以推荐,例如《信息技术安全性评估准则》（即CC标准）,遵照CC一个安全保障级别来开发信息技术产品可提高该产品的安全可信度,采用的级别越高,安全可信度也就越高,当然成本也会相应提高。